Re: Restricciones con apache/ipchains
Con ip dinámica e ipchains, lo veo difícil. Por otro lado, yo no creo que sea a mala leche. Será un NT con un virus. Pueden incluso ser distintas personas. ¿Cómo sabes que siempre es el mismo? Mientras se cansa (o te cansas tú), puedes tener los logs controlados así: /etc/apache/httpd.conf: SetEnvIf Request_URI default\.ida no_log_request SetEnvIf Request_URI root\.exe no_log_request SetEnvIf Request_URI cmd\.exe no_log_request CustomLog /var/log/apache/ataques.log combined env=no_log_request CustomLog /var/log/apache/access.log combined env=!no_log_request ErrorLog /var/log/apache/error.log Pon un cron que se cargue esos archivos y a rulari, como un jefazo :-) A mí me comía la moral que la página más visitada de mi servidor fuera esa, qué asco de estadísticas... :-) Paciencia y mucha suerte. -- .''`. "No tengo el coño pa ruidos" -- David Amor, dear friend : :' : `. `' Proudly running Debian GNU/Linux Sid (Kernel 2.4.9) `-www.amayita.com www.malapecora.com www.chicasduras.com
Re: Restricciones con apache/ipchains
Matías , [EMAIL PROTECTED]:38:22(-0300): > >Nota: Puede ser un gusano, pero los ataques son de 9 a 12 exactamente (con >intervalos de 1 segundo hasta 3 minutos, imaginense los logs que tengo >gracias a esos intentos fallidos de lamers. ¿12? Pues ya estás de suerte. Yo he visto: ippl: www connection attempt from [EMAIL PROTECTED] [1.2.3.4] last message repeated 33 times -- David Serrano <[EMAIL PROTECTED]> - Linux Registered User #87069
Re: Restricciones con apache/ipchains
Gracias, pero cuando escanié esos ips, ningúno de ellos tenía el puerto 80, pero de todas formas voy a estar atento a eso. On Mon, 17 Dec 2001, Angel Alvarez wrote: > No es que estas actividades esten de moda, es mas deberian mandarle un mail > o contactar a los titulares de esos servidores porque seguramente ni ellos > saben que tienen un gusano que infecta el ISS ( fijense si el atacante tiene > abierto el puerto 80) y para propagarse empieza a buscar servidores web ISS > A mi me paso con una empresa chilena y les mande un mail avisandoles, y me > respondieron agradeciendome y pidiendo disculpas > No todo es malo > Saludos > > > Angel C Alvarez >
Re: Restricciones con apache/ipchains
Gracias, pero en mi potato no esta disponible el iptables (creo que está en woody), y todavía no tengo ganas de pasarme a woody (o por lo menos no he juntado la suficiente documentación para pasarme confiado de que en un día lo voy a poder usar como mi potato). On Mon, 17 Dec 2001, Celso Gonzalez wrote: > On Mon, Dec 17, 2001 at 12:49:13AM -0300, Matías wrote: > > Graicas, justo algo así necesitaba. > > > Tienes otra opcion que es sustituir ipchains por iptables, con iptables > puedes limitar el numero de conexiones (opcion limit) y te puedes ahorrar el > log inmenso. Si quieres hilar mas fino hay un modulo string que te permite > filtrar peticiones en base a una cadena > > Un saludo > > -- > Celso González (PerroVerd en irc-hispano) E-Mail: [EMAIL PROTECTED] > http://bulmalug.net Bisoños Usuarios de Linux de Mallorca y Alrededores > Clave GPG disponible en http://webs.ono.com/mitago > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > >
Re: Restricciones con apache/ipchains
Fe de erratas:: Donde dice ISS debe decir IIS ( por lo de "it isnt secure. =:-D ) - Original Message - From: "Angel Alvarez" <[EMAIL PROTECTED]> To: Sent: Monday, December 17, 2001 10:44 AM Subject: Re: Restricciones con apache/ipchains > No es que estas actividades esten de moda, es mas deberian mandarle un mail > o contactar a los titulares de esos servidores porque seguramente ni ellos > saben que tienen un gusano que infecta el ISS ( fijense si el atacante tiene > abierto el puerto 80) y para propagarse empieza a buscar servidores web ISS > A mi me paso con una empresa chilena y les mande un mail avisandoles, y me > respondieron agradeciendome y pidiendo disculpas > No todo es malo > Saludos > > > Angel C Alvarez > > - Original Message - > From: "Federico Montesino Pouzols" <[EMAIL PROTECTED]> > To: "Matías" <[EMAIL PROTECTED]> > Cc: > Sent: Sunday, December 16, 2001 5:38 PM > Subject: Re: Restricciones con apache/ipchains > > > > On Sun, Dec 16, 2001 at 05:43:55PM -0300, Matías wrote: > > > Hola: > > > Mi pregunta es algo simple, pero no pude encontrar una respuesta > > > por ningún lado. > > > Tengo una página de internet (en mi propio servidor), y un > > > brasilenio me esta rompiendo la paciencia (y creando logs de 20 megas), > > > tratando de buscar el acceso a cmd.exe y a otros más desde las > direcciones > > > (http://midominio/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir y > > > otras más). No estoy asustado ni nada menos, creo tener el apache bien > > > configurado, y aparte, NUNCA podrá encontrar nada que sea un .exe en mi > > > máquina. > > > > Yo he tenido que cortar con ipchains muchas direcciones IP que > > pertenecen a Telefónica y a Wanadoo Francia. Parece que esas > > "actividades" están ultimamente de moda. > > > > > Pero de todas maneras me molesta, y quisiera poder anular su > > > dirección para que pueda ver cualquier cosa de mi servidor; o que desde > el > > > ipchains, ante cualquier tipo de petición, le de REJECT a todo. > > > Pero tiene ip dinamico, se conecta por adsl desde brasil. Escanie > > > y me fije lo que tiene, y en el tema de seguridad esta MUY MAL (tiene el > > > acceso "anonimo" habilitado para acceder a su red interna. Pero yo no > > > quiero hacerle ningún tipo de daño, ni nada de eso. Solo QUIERO > > > RESTRINGIRLE EL ACCESO A MI SITIO, nada más que eso, ya sea por medio > del > > > apache, o de ipchains. > > > > > > > > ¿Estás seguro de que es el mismo? ¿No serán varios? > > > > > > -- > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > > > > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > >
Re: Restricciones con apache/ipchains
No es que estas actividades esten de moda, es mas deberian mandarle un mail o contactar a los titulares de esos servidores porque seguramente ni ellos saben que tienen un gusano que infecta el ISS ( fijense si el atacante tiene abierto el puerto 80) y para propagarse empieza a buscar servidores web ISS A mi me paso con una empresa chilena y les mande un mail avisandoles, y me respondieron agradeciendome y pidiendo disculpas No todo es malo Saludos Angel C Alvarez - Original Message - From: "Federico Montesino Pouzols" <[EMAIL PROTECTED]> To: "Matías" <[EMAIL PROTECTED]> Cc: Sent: Sunday, December 16, 2001 5:38 PM Subject: Re: Restricciones con apache/ipchains > On Sun, Dec 16, 2001 at 05:43:55PM -0300, Matías wrote: > > Hola: > > Mi pregunta es algo simple, pero no pude encontrar una respuesta > > por ningún lado. > > Tengo una página de internet (en mi propio servidor), y un > > brasilenio me esta rompiendo la paciencia (y creando logs de 20 megas), > > tratando de buscar el acceso a cmd.exe y a otros más desde las direcciones > > (http://midominio/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir y > > otras más). No estoy asustado ni nada menos, creo tener el apache bien > > configurado, y aparte, NUNCA podrá encontrar nada que sea un .exe en mi > > máquina. > > Yo he tenido que cortar con ipchains muchas direcciones IP que > pertenecen a Telefónica y a Wanadoo Francia. Parece que esas > "actividades" están ultimamente de moda. > > > Pero de todas maneras me molesta, y quisiera poder anular su > > dirección para que pueda ver cualquier cosa de mi servidor; o que desde el > > ipchains, ante cualquier tipo de petición, le de REJECT a todo. > > Pero tiene ip dinamico, se conecta por adsl desde brasil. Escanie > > y me fije lo que tiene, y en el tema de seguridad esta MUY MAL (tiene el > > acceso "anonimo" habilitado para acceder a su red interna. Pero yo no > > quiero hacerle ningún tipo de daño, ni nada de eso. Solo QUIERO > > RESTRINGIRLE EL ACCESO A MI SITIO, nada más que eso, ya sea por medio del > > apache, o de ipchains. > > > > > ¿Estás seguro de que es el mismo? ¿No serán varios? > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > >
Re: Restricciones con apache/ipchains
On Mon, Dec 17, 2001 at 12:49:13AM -0300, Matías wrote: > Graicas, justo algo así necesitaba. > Tienes otra opcion que es sustituir ipchains por iptables, con iptables puedes limitar el numero de conexiones (opcion limit) y te puedes ahorrar el log inmenso. Si quieres hilar mas fino hay un modulo string que te permite filtrar peticiones en base a una cadena Un saludo -- Celso González (PerroVerd en irc-hispano) E-Mail: [EMAIL PROTECTED] http://bulmalug.net Bisoños Usuarios de Linux de Mallorca y Alrededores Clave GPG disponible en http://webs.ono.com/mitago
Re: Restricciones con apache/ipchains
Graicas, justo algo así necesitaba. On Mon, 17 Dec 2001, Hue-Bond wrote: > Claro que está mal, como que tiene un "virus" instalado :^D. > > No hay otra solución que aguantarse. Uno de los gurús de > bugtraq posteó algo para al menos evitar el tráfico de los 404 que > devuelve nuestro servidor: > > AliasMatch ^/scripts(.*) /var/www/cero.html > > Y luego 'touch /var/www/cero.html'. Lógicamente insertaremos > más de un AliasMatch con diferentes expresiones regulares. > > > -- > David Serrano <[EMAIL PROTECTED]> - Linux Registered User #87069 > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > >
Re: Restricciones con apache/ipchains
Gracias a estos ataques estoy configurando el snort. Pero lo que yo quiero (y no se si el snort o lids lo hacen) es cortarles todo tipo de acceso a esta gente, y que si es por el puerto de http, https o ftp les salga un mensaje y nada más, y que siempre les salga este mensaje, o como última alternativa que tengan prohibido todo intento (sea el REJECT o el tan querido 403 Forbiden). On Sun, 16 Dec 2001, THPR wrote: > De ultima matias te recomendaria usar algun ids como snort o lids. > saludos
Re: Restricciones con apache/ipchains
On Sun, 16 Dec 2001, Federico Montesino Pouzols wrote: > También puede ser que el gusano o lo que quiera que estén > utilice esa técnica. Prueba a usar nmap para ver si los puertos que > tienen abiertos los atacantes son siempre los mismos, eso puede dar > una idea de si es el mismo atacante. Es lo primero que intento, es así que ya identifiqué a dos, uno con kerberos, ldap y otras yerbas, que admite el logueo anonimo mediante samba, salvo que no me deja hacer un browse (por ahora). Ahora estoy tratando de instalar ese mod de apache, puede ser que sea mi solución. Nota: Puede ser un gusano, pero los ataques son de 9 a 12 exactamente (con intervalos de 1 segundo hasta 3 minutos, imaginense los logs que tengo gracias a esos intentos fallidos de lamers.
Re: Restricciones con apache/ipchains
Matías , [EMAIL PROTECTED]:43:55(-0300): > > Pero tiene ip dinamico, se conecta por adsl desde brasil. Escanie >y me fije lo que tiene, y en el tema de seguridad esta MUY MAL Claro que está mal, como que tiene un "virus" instalado :^D. >Solo QUIERO RESTRINGIRLE EL ACCESO A MI SITIO, nada más que eso, ya sea por >medio del apache, o de ipchains. No hay otra solución que aguantarse. Uno de los gurús de bugtraq posteó algo para al menos evitar el tráfico de los 404 que devuelve nuestro servidor: AliasMatch ^/scripts(.*) /var/www/cero.html Y luego 'touch /var/www/cero.html'. Lógicamente insertaremos más de un AliasMatch con diferentes expresiones regulares. -- David Serrano <[EMAIL PROTECTED]> - Linux Registered User #87069
Re: Restricciones con apache/ipchains
De ultima matias te recomendaria usar algun ids como snort o lids. saludos - Original Message - From: "Matías" <[EMAIL PROTECTED]> To: Sent: Sunday, December 16, 2001 5:43 PM Subject: Restricciones con apache/ipchains Hola: Mi pregunta es algo simple, pero no pude encontrar una respuesta por ningún lado. Tengo una página de internet (en mi propio servidor), y un brasilenio me esta rompiendo la paciencia (y creando logs de 20 megas), tratando de buscar el acceso a cmd.exe y a otros más desde las direcciones (http://midominio/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir y otras más). No estoy asustado ni nada menos, creo tener el apache bien configurado, y aparte, NUNCA podrá encontrar nada que sea un .exe en mi máquina. Pero de todas maneras me molesta, y quisiera poder anular su dirección para que pueda ver cualquier cosa de mi servidor; o que desde el ipchains, ante cualquier tipo de petición, le de REJECT a todo. Pero tiene ip dinamico, se conecta por adsl desde brasil. Escanie y me fije lo que tiene, y en el tema de seguridad esta MUY MAL (tiene el acceso "anonimo" habilitado para acceder a su red interna. Pero yo no quiero hacerle ningún tipo de daño, ni nada de eso. Solo QUIERO RESTRINGIRLE EL ACCESO A MI SITIO, nada más que eso, ya sea por medio del apache, o de ipchains. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Restricciones con apache/ipchains
On Sun, Dec 16, 2001 at 06:21:36PM -0300, Matías wrote: > > ¿Estás seguro de que es el mismo? ¿No serán varios? > > > > > Hoy parece haber uno nuevo (16/Dic/2001), pero estoy casi seguro que era > el mismo porque me logiaba con samba (smbclient -L ip_del_tarado) y me > daba siempre el mismo grupo de trabajo (que no era el clasico Workgroup), > pero me restringia el acceso para navegar todo lo que tenia compartido (el > samba es bastate mas util de lo que creia). Aunque no todos los días que > este tipo lo hacia (de 9 a 12 horas -100) También puede ser que el gusano o lo que quiera que estén utilice esa técnica. Prueba a usar nmap para ver si los puertos que tienen abiertos los atacantes son siempre los mismos, eso puede dar una idea de si es el mismo atacante.
Re: Restricciones con apache/ipchains
> Yo he tenido que cortar con ipchains muchas direcciones IP que > pertenecen a Telefónica y a Wanadoo Francia. Parece que esas > "actividades" están ultimamente de moda. Justo es eso lo que no tengo ganas de hacer, aunque es una buena idea (tendría que cortar todo lo que venga desde 200.algo.algo.*) > ¿Estás seguro de que es el mismo? ¿No serán varios? > > Hoy parece haber uno nuevo (16/Dic/2001), pero estoy casi seguro que era el mismo porque me logiaba con samba (smbclient -L ip_del_tarado) y me daba siempre el mismo grupo de trabajo (que no era el clasico Workgroup), pero me restringia el acceso para navegar todo lo que tenia compartido (el samba es bastate mas util de lo que creia). Aunque no todos los días que este tipo lo hacia (de 9 a 12 horas -100) Pero para que te des una idea, van 200.143 accesos 404 desde esos ip (que cuando me fijo el dns son del tipo dsl.[algo_que_no_me_acuerdo].com.br), aunque también pueden ser de distintas personas (no me fije dia tras dia que tenian estas máquinas y que no)
Re: Restricciones con apache/ipchains
On Sun, Dec 16, 2001 at 05:43:55PM -0300, Matías wrote: > Hola: > Mi pregunta es algo simple, pero no pude encontrar una respuesta > por ningún lado. > Tengo una página de internet (en mi propio servidor), y un > brasilenio me esta rompiendo la paciencia (y creando logs de 20 megas), > tratando de buscar el acceso a cmd.exe y a otros más desde las direcciones > (http://midominio/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir y > otras más). No estoy asustado ni nada menos, creo tener el apache bien > configurado, y aparte, NUNCA podrá encontrar nada que sea un .exe en mi > máquina. Yo he tenido que cortar con ipchains muchas direcciones IP que pertenecen a Telefónica y a Wanadoo Francia. Parece que esas "actividades" están ultimamente de moda. > Pero de todas maneras me molesta, y quisiera poder anular su > dirección para que pueda ver cualquier cosa de mi servidor; o que desde el > ipchains, ante cualquier tipo de petición, le de REJECT a todo. > Pero tiene ip dinamico, se conecta por adsl desde brasil. Escanie > y me fije lo que tiene, y en el tema de seguridad esta MUY MAL (tiene el > acceso "anonimo" habilitado para acceder a su red interna. Pero yo no > quiero hacerle ningún tipo de daño, ni nada de eso. Solo QUIERO > RESTRINGIRLE EL ACCESO A MI SITIO, nada más que eso, ya sea por medio del > apache, o de ipchains. > > ¿Estás seguro de que es el mismo? ¿No serán varios?
Re: Restricciones con apache/ipchains
El Sun, 16 Dec 2001 17:43:55 -0300 (ART) Matías <[EMAIL PROTECTED]> escribió: > Hola: > Mi pregunta es algo simple, pero no pude encontrar una respuesta > por ningún lado. > Tengo una página de internet (en mi propio servidor), y un > brasilenio me esta rompiendo la paciencia (y creando logs de 20 megas), > tratando de buscar el acceso a cmd.exe y a otros más desde las direcciones > (http://midominio/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir y > otras más). No estoy asustado ni nada menos, creo tener el apache bien > configurado, y aparte, NUNCA podrá encontrar nada que sea un .exe en mi > máquina. > Pero de todas maneras me molesta, y quisiera poder anular su > dirección para que pueda ver cualquier cosa de mi servidor; o que desde el > ipchains, ante cualquier tipo de petición, le de REJECT a todo. > Pero tiene ip dinamico, se conecta por adsl desde brasil. Escanie > y me fije lo que tiene, y en el tema de seguridad esta MUY MAL (tiene el > acceso "anonimo" habilitado para acceder a su red interna. Pero yo no > quiero hacerle ningún tipo de daño, ni nada de eso. Solo QUIERO > RESTRINGIRLE EL ACCESO A MI SITIO, nada más que eso, ya sea por medio del > apache, o de ipchains. > > hola... lo mejor que podes usar es el mod_antihak para el apche. lo que hace es detectar ese tipi de ataques y los restringe por ip usando ipchains, aunque se puede modificar para que lo haga con iptables. lo podes encontrar en freshmeat.net cualquier cosa avisame. saludos, Diego.
