Tema: kas turit krištolinį rutulį?
Autorius: Ingodas Vytrastas
Data: 2010-08-02 13:58:00
Kuom šitas traffic'as gali būt įtartinas CERT'ui? Sako botnet'as ir
valyk Autorun.inf. Kad aš jį turėčiau...
2010-06-30 07:35:18.681 TCP x.y.z.a:80 -> 83.15.10.202:45404
2010-06-30 07:36:03.683 TCP x.y.z.a:80 -> 83.15.10.202:45404
2010-06-30 07:36:18.727 TCP x.y.z.a:80 -> 83.15.10.202:45405
2010-06-30 07:36:53.447 TCP x.y.z.a:80 -> 83.15.10.202:45404
2010-06-30 07:37:03.729 TCP x.y.z.a:80 -> 83.15.10.202:45405
2010-06-30 07:37:18.744 TCP x.y.z.a:80 -> 83.15.10.202:45406
2010-06-30 07:37:53.450 TCP x.y.z.a:80 -> 83.15.10.202:45405
2010-06-30 07:38:03.744 TCP x.y.z.a:80 -> 83.15.10.202:45406
2010-06-30 07:38:52.046 TCP x.y.z.a:80 -> 83.15.10.202:45406
2010-06-30 07:39:14.273 TCP x.y.z.a:80 -> 217.156.110.34:39754
2010-07-27 07:18:34.385 TCP x.y.z.a:80 -> 83.15.10.202:41045
2010-07-27 07:19:19.383 TCP x.y.z.a:80 -> 83.15.10.202:41045
2010-07-27 07:19:34.433 TCP x.y.z.a:80 -> 83.15.10.202:41046
2010-07-27 07:20:08.413 TCP x.y.z.a:80 -> 83.15.10.202:41045
2010-07-27 07:20:19.434 TCP x.y.z.a:80 -> 83.15.10.202:41046
2010-07-27 07:20:34.486 TCP x.y.z.a:80 -> 83.15.10.202:41047
2010-07-27 07:21:09.020 TCP x.y.z.a:80 -> 83.15.10.202:41046
2010-07-27 07:21:19.479 TCP x.y.z.a:80 -> 83.15.10.202:41047
2010-07-27 07:21:34.532 TCP x.y.z.a:80 -> 83.15.10.202:41048
2010-07-27 07:22:08.820 TCP x.y.z.a:80 -> 83.15.10.202:41047
Iš mano pusės, Apache log'uose žinios apie šį host'ą yra su kita
data/laiku, kas yra blogai.
Vėliausias - "83.15.10.202 - - [24/Jun/2010:15:32:09 +0300] "GET
/daily-11228.cdiff HTTP/1.1" 200 10430 clamav/0.90.1"
mod_proxy neįjungtas.
debsums sako kad viskas pagal sąrašą.
--
ejs