LINUX.ORG.RU

Сообщения animhotep

 

FreeSWITCH exploit?

В общем история такая:

в логах фрисвича запрос на авторизацию Requesting Registration from: [xx@y.y.y.y]

потом без сообщения о успехе (Register) светится внешний палестинский ип, потом пару сообщений Send challenge for и открывается канал для этой учётки

New Channel sofia/external/xx@y.y.y.y

Channel sofia/external/xx@y.y.y.y entering state [received][100]

Remote SDP: IP4 192.168.1.103 s=eyeBeam

и потом от произвольных учётных записей пошли звонки

нашел только одно упоминание о уязвимости на офф сайте, и то говорится про ядро линукса...

стоит FreeSWITCH Version 1.0.4 (hacked) - пишут «NOT IT IS NOT HACKED... ITS CALLED A JOKE»

CentOS release 5.6 x86_64

 , ,

animhotep
()
29 комментариев

хакнули апач?

заметил торможение веба на сервере centos 5.6 в логах httpd куча левых post/get запросов 

212.251.221.246 - - [30/Aug/2011:13:54:33 +0100] "GET http://x3.chatforyoursite.com/subscribe/5f0efa7a-182b-11e0-ace6-4fa1527e14af/5840a6a1258aad586a8a62452f2c70bf
60.28.228.40 - - [30/Aug/2011:13:54:33 +0100] "GET http://cs.ganji.com/fang2/11082820_18174.htm HTTP/1.0" 500 611
218.232.165.29 - - [30/Aug/2011:13:54:33 +0100] "GET http://blog.naver.com/sjh3675/140135134097 HTTP/1.1" 500 613
78.26.179.22 - - [30/Aug/2011:13:54:33 +0100] "GET http://images.google.com/ HTTP/1.1" 500 616
98.93.20.157 - - [30/Aug/2011:13:54:33 +0100] "CONNECT 24.215.175.222:6881 HTTP/1.0" 500 615
98.93.20.157 - - [30/Aug/2011:13:54:33 +0100] "CONNECT 75.85.174.43:58687 HTTP/1.0" 500 614
180.178.56.234 - - [30/Aug/2011:13:54:33 +0100] "GET http://relsh.com/ HTTP/1.1" 500 608
95.133.42.1 - - [30/Aug/2011:13:54:33 +0100] "POST http://s7.mlgame.ru/messagebroker/myamflongpoll HTTP/1.0" 500 611
112.65.247.42 - - [30/Aug/2011:13:54:33 +0100] "GET http://debates06.proboards.com/index.cgi?action=register HTTP/1.0" 500 622
116.255.174.165 - - [30/Aug/2011:13:54:33 +0100] "GET http://www.thinkactwin.org/dys/ HTTP/1.1" 500 618
77.253.3.212 - - [30/Aug/2011:13:54:33 +0100] "GET http://us.yhs4.search.yahoo.com HTTP/1.1" 500 623
212.251.221.246 - - [30/Aug/2011:13:54:33 +0100] "GET http://x3.chatforyoursite.com/subscribe/5f0efa7a-182b-11e0-ace6-4fa1527e14af/5840a6a1258aad586a8a62452f2c70bf
95.133.42.1 - - [30/Aug/2011:13:54:34 +0100] "POST http://s7.mlgame.ru/messagebroker/myamflongpoll HTTP/1.0" 500 611
95.129.239.16 - - [30/Aug/2011:13:54:34 +0100] "POST http://wap.mheart.ru/?area=login HTTP/1.1" 500 612
221.123.164.138 - - [30/Aug/2011:13:54:34 +0100] "GET http://product.it168.com/detail/doc/458163/index.shtml HTTP/1.0" 500 616
218.240.38.43 - - [30/Aug/2011:13:54:34 +0100] "POST http://mobds.ganji.com/DataSharing.aspx?accessMode=wifi&activity=1&width=320&upgradeMode=1 HTTP/1.1" 500 614
184.95.47.170 - - [30/Aug/2011:13:54:34 +0100] "GET http://lookup1.avatar.vip.mud.yahoo.com/wimages?yid=brianacharlie@snet.net&size=medium&type=png&ts=6000&sig=XXX
211.103.128.34 - - [30/Aug/2011:13:54:34 +0100] "GET http://ip138.com/ip2city.asp HTTP/1.1" 500 608
60.209.205.34 - - [30/Aug/2011:13:54:34 +0100] "GET http://www.teendre.com/forumdisplay.php?fid=3 HTTP/1.1" 500 614
212.251.221.246 - - [30/Aug/2011:13:54:34 +0100] "GET http://x3.chatforyoursite.com/subscribe/5f0efa7a-182b-11e0-ace6-4fa1527e14af/5840a6a1258aad586a8a62452f2c70bf
114.79.35.232 - - [30/Aug/2011:13:54:33 +0100] "GET http://www.baidu.com/ HTTP/1.1" 500 612
67.215.246.226 - - [30/Aug/2011:13:54:34 +0100] "GET http://www.eastturkistan.net/chinese/ HTTP/1.1" 500 620
95.129.239.16 - - [30/Aug/2011:13:54:34 +0100] "POST http://wap.mheart.ru/?area=login HTTP/1.1" 500 612
98.93.20.157 - - [30/Aug/2011:13:54:34 +0100] "CONNECT 90.206.163.32:10760 HTTP/1.0" 500 615
98.93.20.157 - - [30/Aug/2011:13:54:34 +0100] "CONNECT 2.10.75.171:44424 HTTP/1.0" 500 613
199.87.232.66 - - [30/Aug/2011:13:54:34 +0100] "CONNECT tw.edit.yahoo.com:443 HTTP/1.1" 500 617



поставил апачу не 80й порт - спам прекратился
чё это может быть?
animhotep
()
12 комментариев

RSS подписка на новые темы