Hello Anvar, Wednesday, May 26, 2004, 4:35:12 PM, you wrote:
>> Wed May 26 09:13:22 2004 [0x6a464020]parse_http_request(): Unrecognized method >> `SEARCH'. >> Wed May 26 09:13:42 2004 [0x6a4cc028]parse_http_request(): Unrecognized method >> `SEARCH'. >> Wed May 26 09:14:05 2004 [0x6a4d8031]parse_http_request(): Unrecognized method >> `SEARCH'. >> Wed May 26 09:14:06 2004 [0x6a3bc016]parse_http_request(): Unrecognized method >> `SEARCH'. >> ^^^^^^^^^^^^^^^^^^^^^^^^ вообще непонятно. что это? з.ы. я про луп. AB> Вот это и есть причина такоего поведения oops. Поясняю, зараженная машинка AB> с вирусом пытается найти других жертв по той же самой уязвимости. AB> Идет запрос с методом `SEARCH' (скорее всего это какое нибудь очередное AB> расширение AB> протокола от MS) в качестве URL посылается очень длинная строка 38кб AB> расчитанная AB> на переполнение буфера. Oops такого метода не знает (его нет в стандарте AB> протокола http1.1) и почему то от этой строки ему становиться очень плохо. AB> Сам запрос выглядит так: AB> SEARCH AB> /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02 AB> \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02 AB> [Skip 38kb] AB> \\x90\\x90\\x90\\x90\\x90\\x90\\x90\\x90\\x90\\x90\\x90\\x90\\x90\\x90\\x90\\x90 AB> \\x90\\x90HTTP/1.0 AB> Solution: блокировать зараженные машинки, пока не вылечат заразу в сеть AB> не подключать. Что может по этому поводу скахать сам Игорь? Как защититься? Можно ли в будущем внедрить некую защиту если действительно от этого упс умирает? з.ы. постоянно следить что сцапал юзер какую то заразу не очень катит.. Должна быть голова у юзеров на пелчах и не открывать незнакомые атачи извне... -- Best regards, Roman mailto:[EMAIL PROTECTED] ===================================================================== If you would like to unsubscribe from this list send message to [EMAIL PROTECTED] with "unsubscribe oops" in message body. Archive is accessible on http://lists.paco.net/oops-rus/
