Re: Peticiones "extrañas", Apache2
On 5/13/05, gesala gesala <gesala@gmail.com> wrote:
> Hola a todos:
> Hoy por la mañana viendo los logs de apache me he encontrado las
> siguientes lineas:
>
> 81.192.173.101 - - [13/May/2005:03:31:50 +0200] "GET
> /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0" 404 317 "-" "-"
> 61.74.254.142 - - [13/May/2005:03:35:25 +0200] "CONNECT
> maila.microsoft.com:25 HTTP/1.0" 405 340 "-" "-"
> 61.74.254.142 - - [13/May/2005:03:35:26 +0200] "CONNECT
> maila.microsoft.com:25 HTTP/1.0" 405 340 "-" "-"
> 61.74.254.142 - - [13/May/2005:03:35:28 +0200] "CONNECT
> maila.microsoft.com:25 HTTP/1.0" 405 340 "-" "-"
> 81.22.194.62 - - [13/May/2005:04:29:00 +0200] "GET
> /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0" 404 317 "-" "-"
>
> Tengo un mosqueo de la leche .
> Parece en la 1º y ultima peticion el servidor apache les da un error
> 404. Me equivoco? y las lineas del medio no las logro entender.
>
No te preocupes, esas lineas del log hacen referencia a un ataque
aprovechando una vulnerabilidad de IIS y un servidor infectado con
Code Red
Si buscas en google de "default.ida" te dará más información, pero te
dejo un par de links para ahorrarte el trabajo ;-)
http://archives.serverwatch.com/0108/msg00001.html
http://www.apacheweek.com/features/codered
> Me han hackeado? He mirado los logs de mi maquina pero no parece que
> han hecho nada mas.
>
> Por otra parte, tengo un servidor ssh y de vez en cuando veo intentos
> de login desde una ip "extraña", la cual intenta logearse
> repetidamente con nombres ingleses, por supuesto no logra entrar ya
> que mi maquina no tiene esos nombres. Hay alguna forma de bloquear
> durante un tiempo una ip que intenta logearse y falla por ejemplo 3
> veces?
> O alguna otra idea?
>
>
Sobre los intentos de conexión por ssh, no creo que sea necesario el
bloqueo de IP, pero si quieres hacerlo, prueba portsentry:
# apt-cache show portsentry
Package: portsentry
Priority: optional
Section: non-free/net
Installed-Size: 130
Maintainer: Guido Guenther <agx@debian.org>
Architecture: i386
Version: 1.1-3
Depends: libc6 (>= 2.2.4-4), net-tools, procps, debconf, libfile-temp-perl
Recommends: tcpd
Suggests: logcheck
Filename: pool/non-free/p/portsentry/portsentry_1.1-3_i386.deb
Size: 59420
MD5sum: f8574cb4259e4936ba28239e1a450be6
Description: Portscan detection daemon
PortSentry has the ability to detect portscans(including stealth scans) on
the network interfaces of your machine. Upon alarm it can block the attacker
via hosts.deny, dropped route or firewall rule. It is part of the Abacus
program suite.
.
Note: If you have no idea what a port/stealth scan is, I'd recommend to have
a look at http://www.psionic.com/abacus/portsentry/ before installing this
package. Otherwise you might easily block hosts you'd better not(e.g. your
NFS-server, name-server, ...).
De todas formas antes de eso, yo aseguraria el servidor ssh al máximo.
Cambia el puerto de escucha del servidor ssh - seguridad mediante la
oscuridad que dirían los entendidos.
Normalmente estos ataques vienen dados por un scanner de puertos y
cuando detectan el puerto 22 abierto intentan logearse con usuarios
tipo (lo que te está pasando a tí).
Permite sólo ssh versión 2, nada de rhosts o la versión 1. No permitir
logearse a root, usar certificados...
Hay un montón de manuales en internet para asegurar ssh, y creo que
nunca está de más aumentar la seguridad.
-
Reply to: