[Pluto-security] Strani File Log

[Beppe]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Alle 15:06, venerdì 17 maggio 2002, Tom ha scritto:
> Confermo anche io. Nimda. Potrebbe anche essere quello che snort definisce
> "Classification: Web Application Attack". Tenta comunque di sfruttare un
> buffer overflow di IIS (apache non è affetto) sui file di tipo ".ida".
> Il problema di questo tipo di attacco è che ti creerà file di log di Apache
> lunghissimi...ma nessun altro effetto. Esistono tecniche che usano il perl
> per leggere i log di apache, estrarne l'ip e creare una apposita regola di
> iptables per bloccare gli accessi dai client infetti. Io però non te la
> consiglio: questo tipo di attacco non viene solo da pc infetti, ma si
> possono anche fare "a mano" come test di vulnerabilità usando un browser:
> se un attacker prova, e dopo qualche tentativo vede che non rispondi più,
> potrebbe creare delle richieste con ip sorgente modificato: se mette quello
> dei dns, tu non navighi più (solo un esempio, si potrebbero fare 100 altre
> cosette..).
> Tom


Difatti mi era venuto il dubbio che fosse proprio il Nimbda.
Ok, Apache non è affetto apparte il discorso log ; ma proprio su
questo la cosa mi appare strana. Allora mettiamola così, ho Apache in 
esecuzione sulla macchina. Nel frattempo ricevo continui attacchi da un 
server baccato, in breve tempo la macchina sarebbe saturata di Log file.
Faccio questa supposizione perchè situzioni del genere le registro tutti i 
giorni e meno male che è sempre e cmq. una macchina casalinga.
L'unica sarebbe a questo punto limitare i Log file ma sarebbe allora alquanto 
restrittivo per WebServer molto trafficati o no ????

Ciao Beppe
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iEYEARECAAYFAjzlD/4ACgkQgoVl+CngvKXhOwCfeKkYgc7zR8vC9rGxl+ZplHvM
KR4AoIHUTz09l2jGPJdIFJUl6FxBT1Lw
=1Un6
-----END PGP SIGNATURE-----