[Pluto-security] Strani File Log

Tom dido@sicurweb.com
Fri, 17 May 2002 15:06:17 +0200


Confermo anche io. Nimda. Potrebbe anche essere quello che snort definisce=
=20
"Classification: Web Application Attack". Tenta comunque di sfruttare un=20
buffer overflow di IIS (apache non =E8 affetto) sui file di tipo ".ida".
Il problema di questo tipo di attacco =E8 che ti creer=E0 file di log di=
 Apache=20
lunghissimi...ma nessun altro effetto. Esistono tecniche che usano il perl=
=20
per leggere i log di apache, estrarne l'ip e creare una apposita regola di=
=20
iptables per bloccare gli accessi dai client infetti. Io per=F2 non te la=20
consiglio: questo tipo di attacco non viene solo da pc infetti, ma si=20
possono anche fare "a mano" come test di vulnerabilit=E0 usando un browser:=
=20
se un attacker prova, e dopo qualche tentativo vede che non rispondi pi=F9,=
=20
potrebbe creare delle richieste con ip sorgente modificato: se mette quello=
=20
dei dns, tu non navighi pi=F9 (solo un esempio, si potrebbero fare 100 altre=
=20
cosette..).
Tom

At 13.46 17/05/2002, you wrote:
>-----BEGIN PGP SIGNED MESSAGE-----
>Hash: SHA1
>
>Ciao,
>
>oggi spulciando fra i log file di Apache ho trovato dei file log che
>non mi tronano
>
>xxx.xxx.xxx.xxx - - [12/Apr/2002:20:15:48 +0200] "GET
>/default.ida?NNNN...........NNNNNN%u9090%uHTTP/1.0" 400 344 "-" "-"
>(l'ho accorciata ma sara lunga almeno 400 caratteri)
>xx.xxx.xxx.xx - - [13/Apr/2002:08:18:54 +0200] "GET
>/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 310 "-" "-"
>xxx.xxx.xxx.xxx - - [13/Apr/2002:08:18:54 +0200] "GET
>/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 310 "-" "-"
>xx.xxx.xxx.xx - - [13/Apr/2002:08:18:55 +0200] "GET
>/scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 324 "-" "-"
>
>Ecco alcune righe.
>Gli indirizzi Ip non sono indirizzi appartenenti alla rete.
>A parte il fatto che Apache l'avro' usato si e no 1 volta e per 10 min. ma=
=20
>che
>vogliono dire ????? avro' un centinaio di righe cos=EC.
>
>Ciao e grazie
>Beppe
>-----BEGIN PGP SIGNATURE-----
>Version: GnuPG v1.0.6 (GNU/Linux)
>Comment: For info see http://www.gnupg.org
>
>iEYEARECAAYFAjzk7aoACgkQgoVl+CngvKUxTACdHlgqf3mKZ8RG536gJ2RAekkl
>m5QAn0+izlIx0mk73y6/eHfr4LA8QxKd
>=3DechS
>-----END PGP SIGNATURE-----
>
>
>_______________________________________________
>pluto-security mailing list
>pluto-security@lists.pluto.linux.it
>http://lists.pluto.linux.it/mailman/listinfo/pluto-security