• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Помогите обуздать webDAV

victorhalf

Green Team
29.05.2007
79
3
BIT
0
День добрый всем
С недавнего времени в веблоге стали появляться через каждые 5 мин такие вот записи
upload_2016-7-12_8-43-10.png

Я так понимаю что это вэбдав балуется? Хотя я его не использую (вроде?!).
Но после выключения webDAV(снял галку в документе вебсервера) и перезагрузки сервера ситуация не изменилась, всё так же валяться запросы. Может для выключения вэбдава еще где-то нужно что-то дернуть?
Помогите пож. понять что он хочет(зачем он лезет к nweb.exe) и как с этим бороться
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 927
608
BIT
150
Я так понимаю что это вэбдав балуется?
ога ;) с другого хоста вашей сети, сам туда забрался и балуется...
для информации
это т.н. вебретривер (старый костыль)
 
Последнее редактирование:

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 927
608
BIT
150
но вот то что юзается административна шара винды, меня наводит на подозрения (вирусняк)
а вот выясняется, что ваш хост под виндядко розлива7
хост 10.23.1.110
можете смело хватать за... юзера и пытать
выяснить имя компа, скорее-всего, можно командой nslookup 10.23.1.110
 
Последнее редактирование:

victorhalf

Green Team
29.05.2007
79
3
BIT
0
но вот то что юзается административна шара винды, меня наводит на подозрения (вирусняк)
хост 10.23.1.110
ндаа, всё страньше и страньше :)
мазохистом я небыл и хватать себя за... повременю.
Получается виндовый вебдав клиент с моей машины лезет на сервак. Вот еще бы узнать какого рожна он это делает и зачем ему nweb.exe.
Кстати, заметил, что на тестовом сервере такая же фигня, но там вебдав клиент пытается добраться с моей же машины до dbcapture.exe.
 
Последнее редактирование:

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 927
608
BIT
150
странно не то что он лезет на сервер, странно что он знает административную виндошарушару ;)
а она доступна?
возможный вариант - что-то отследило активность на опред. ресурсе и теперь пытается взаимодействовать с программами, возможно - с целью их изменить
параноидальный режим: отключите свой комп загрузитесь с аверовского дистра (таковых есть в тырнетах и у касперского и у дрвеб)
прочекайте свой диск
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 927
608
BIT
150
а вообще - завязывайте с виндой (поди еще и не патченой)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!