Re: Что такое?

От: Dmitry Akindinov <dimak_at_mx_ru>
Дата: Tue 25 Sep 2001 - 12:27:25 MSD


on 25.09.2001 10:28, Dmitry Valdov at dv@dv.ru wrote: 

> On Tue, 25 Sep 2001, Dmitry Akindinov, Stalker Labs wrote:
>

>> Date: Tue, 25 Sep 2001 10:21:59 +0400
>> From: "Dmitry Akindinov, Stalker Labs" <dimak@stalker.com>
>> Reply-To: CGatePro@mx.ru
>> To: CGatePro@mx.ru
>> Subject: [CGP] Re: Что такое?
>>
>> Hello,
>>
>> On Tue, Sep 25, 2001, 06:08:41 GMT
>> Dmitry Valdov, <dv@dv.ru> wrote:
>> 
>>> On Mon, 24 Sep 2001, Vladimir A. Butenko wrote:
>>> 
>>>> Date: Mon, 24 Sep 2001 16:14:36 -0700
>>>> From: "Vladimir A. Butenko" <vladimir_butenko@stalker.com>
>>>> Reply-To: CGatePro@mx.ru
>>>> To: CGatePro@mx.ru
>>>> Subject: [CGP] Re: Что такое?
>>>> 
>>>> On Tue, 25 Sep 2001 08:57:17 +1100
>>> 
>>>>> Здравствуйте! Появилась странная надпись, [ ROUTER failed to
>>>>> route 'LoginPage@www' ]
>>>>> что это  такое и как с ним бороться?
>>>> 
>>>> Это к Вашему HTTP серверу обращаются (всякие вирусы) с URL вида:
>>>> http://www/.....
>>>> 
>>>> Вроде как у Microsoft IIS сервера на такие URL дырка, вот они и пробуют...
>>>> 
>>> 
>>> А почему такая странная диагностика?

>>
>> Потому что домен с именем www (без какой-либо квалификации) не определен на
>> вашем сервере. LoginPage - это псевдо-аккаунт, который используется сервером
>> для роутинга URL-ей HTTP запросов. 
> 
> Хмм. Не совсем понял термин "роутинг URL-ей HTTP запросов." Можно чуть
> подробнее?

В URL есть доменная часть (в данном случае - www). Доменная часть (то, сто идет до первого слэша или вопросительного знака после http://) тоже обрабатывается роутером в CGPro и сравнивается с зарегистрированными доменными именами и их алиасами, на предмет не является ли этот запрос - запросом к WebAdmin, WebUser или WebSite интерфейсам какого-либо локального домена. 

> А вот примеры запросов этого вируса-червя:
> arabia.access.ch - - [25/Sep/2001:10:10:12 +0400] "GET
> /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 321
> arabia.access.ch - - [25/Sep/2001:10:10:12 +0400] "GET
> /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 321
> arabia.access.ch - - [25/Sep/2001:10:10:13 +0400] "GET
> /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 338
> arabia.access.ch - - [25/Sep/2001:10:10:13 +0400] "GET
> /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 338
> 
> Вроде как нет тут обращения к домену www.

То что его нет в логах, не значит, что его не было в запросе. HTTP запрос включает в себя не только команду GET (PUT/POST/HEAD etc.) но и набор заголовков:

GET /Settings/General.html HTTP/1.0
...
User-Agent: Mozilla/4.75C-CCK-MCD {C-UDP; EBM-APPLE} (Macintosh; U; PPC) ...
Authorization: Basic b64codedgyrgyr=
...
Host: dimak.stalker.gamma.ru:8010

Для <http://dimak.stalker.gamma.ru:8010/Settings/General.html> 

-- 
Best regards,
Dmitry Akindinov -- Stalker Labs


##################################################################
Вы получили это сообщение потому, что подписаны на список рассылки
  <CGatePro@mx.ru>.

Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
Для административных запросов адрес <CGatePro-request@mx.ru>
Получено Tue Sep 25 08:27:22 2001

Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:14:08 MSK