[Pluto-security] Strani File Log

Tom dido@sicurweb.com
Fri, 17 May 2002 16:32:34 +0200


Beppe, il problema =E8 abbastanza noto... e sono state proposte varie=20
soluzioni, ma tutte abbastanza "di fortuna". Quella che sembrava la pi=F9=20
carina era questa: iptables nasce con una patch per il match dei pacchetti=
=20
in base a una _stringa_ in esso contenuta (la cosa mi ha lasciato un po'=20
perplesso: io ero convinto che iptables lavorasse al livello 4 del mod.=20
osi, mentre per poter accedere al contenuto, credo si debba lavorare a=20
livello ben pi=F9 alto!). Comuque, tu potevi dire di droppare un pacchetto=
=20
che contenesse la stringa "cmd.exe". Tutto ok, apache non lo registrava...=
=20
problema: la richiesta di connessione era gi=E0 stata fatta, quindi lato=20
server avevi gi=E0 un socket aperto. Droppare il pacchetto non =E8 come=20
resettare la connessione, per cui il tuo socket rimaneva in stato "stale"=20
fino a timeout sulla connessione. Questo poteva portare ad una cosa molto=20
brutta: se qualcuno ti manda un attacco fatto di migliaia di richieste, tu=
=20
potevi avere un DoS in quanto non potevi pi=F9 accettare connessioni fino=20
alla scadenza del timeout. Spero di essere stato chiaro...
Allora molti, per limitare la dim dei lock, usano uno script in perl che=20
processa il file di log e elimina le richieste "nimda". Io non l'ho fatto,=
=20
e non lo so fare (sono molto indietro col perl).
TOm


>Difatti mi era venuto il dubbio che fosse proprio il Nimbda.
>Ok, Apache non =E8 affetto apparte il discorso log ; ma proprio su
>questo la cosa mi appare strana. Allora mettiamola cos=EC, ho Apache in
>esecuzione sulla macchina. Nel frattempo ricevo continui attacchi da un
>server baccato, in breve tempo la macchina sarebbe saturata di Log file.
>Faccio questa supposizione perch=E8 situzioni del genere le registro tutti=
 i
>giorni e meno male che =E8 sempre e cmq. una macchina casalinga.
>L'unica sarebbe a questo punto limitare i Log file ma sarebbe allora=
 alquanto
>restrittivo per WebServer molto trafficati o no ????
>
>Ciao Beppe
>-----BEGIN PGP SIGNATURE-----
>Version: GnuPG v1.0.6 (GNU/Linux)
>Comment: For info see http://www.gnupg.org
>
>iEYEARECAAYFAjzlD/4ACgkQgoVl+CngvKXhOwCfeKkYgc7zR8vC9rGxl+ZplHvM
>KR4AoIHUTz09l2jGPJdIFJUl6FxBT1Lw
>=3D1Un6
>-----END PGP SIGNATURE-----
>
>
>_______________________________________________
>pluto-security mailing list
>pluto-security@lists.pluto.linux.it
>http://lists.pluto.linux.it/mailman/listinfo/pluto-security