[eside-ghost] Servidor web atacado

Fermat eside-ghost@deusto.es
18 Jun 2003 21:56:42 +0200

Previous message: [eside-ghost] Servidor web atacado
Next message: [eside-ghost] Servidor web atacado
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

--=-9rl9zr7pjV2aAthCvY/u
Content-Type: text/plain; charset=iso-8859-15
Content-Transfer-Encoding: quoted-printable

El mi? 18-06-2003 a las 21:08, Pablo Perez escribi=F3:
> Hola a todos:
>=20
	aupa Pablo!!

> Llevo menos de dos dias de uptime en el servidor web donde he puesto el
> mirror de x-evian y he contado 125 lineas en mis ficheros access.log
> situados en /var/log/apache. Resulta que 76 de esas lineas tienen este
> aspecto...
>=20
> 80.13.153.226 - - [18/Jun/2003:14:24:57 +0200] "GET /scripts/root.exe?/c+=
dir
> HTTP/1.0" 404 291 "-" "-"
> 80.13.153.226 - - [18/Jun/2003:14:25:00 +0200] "GET
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299 "-" "-"
> 80.13.153.226 - - [18/Jun/2003:14:25:01 +0200] "GET
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299 "-" "-"
>=20
>=20
> ...que tienen toda la pinta de ser intentos de ataque aprovechando el bug=
 de
> unicode de IIS por parte de algun script-kiddie. La cuestion es: =BFes
> internet asi de hostil o es que alguien me odia particularmente? =BFcuale=
s son
> vuestras experiencias?
>=20
	Yo tambi=E9n me pregunt=E9 eso los primeros d=EDas cuando empec=E9 con mi
server y si, internet es as=ED de hostil: por lo general son programas que
prueba todas las vulnerabilidades que conoce desde por ejemplo 60.0.0.0
hasta 212.255.255.255 (es un decir), pero si tienes tu servidor (apache
encima) actualizado no habr=E1 ning=FAn problema porque esos programas
intentan vulnerabilidades ya conocidas y solucionadas.

	Si que es molesto que te llene as=ED el log. Lo que yo hice es, con la
ayuda de las VirtualHosts, crearme 2 nombres virtuales, guardan
distintos logs por cada uno de ellos. El primer log ser=E1n donde te
lleguen esos ataques y el segundo ser=E1 el que utilices para ver los
accesos a tu site. (el primer nombre que pones coincide que si entras
v=EDa la ip y no la dns, se keda logueao en ese primer log)

	No s=E9 si me estoy liando en la explicaci=F3n, si eso me dices otra vez.

> Por cierto, la ip del atacante es real asi que si alguno tiene ganas y
> conocimientos suficientes que le de una ciber-paliza de mi parte, es fran=
ces
> y encima usa windows.
>=20
	Me da a m=ED que estos programas explotan algunos fallos de router adsl
(abriendo puertos a gente q ni se entera) y desde ah=ED te atacan, as=ED qu=
e
mejor ser=E1 dejarles, aunque sea gabacho :P

> Saludos.
> Pablo Perez.

saludos.
--=20
fermat@uritech:~$ ./aios
) wget -O - http://fermat.homelinux.net/fermat.asc | gpg --import
) Key fingerprint =3D 02C3 E5E5 2283 D08F 506C  3070 4713 40EF 21C5 21E2

) Apunta a las estrellas... quiz=E1s alcances el tejado.

--=-9rl9zr7pjV2aAthCvY/u
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada
	digitalmente

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (GNU/Linux)

iD8DBQA+8MP5RxNA7yHFIeIRAkguAJ9ky7PaIoq79peb5p6OOPNdcVH7+gCfTNcs
npjn8NgFKRsJUJ9UZYp0etk=
=rd5Q
-----END PGP SIGNATURE-----

--=-9rl9zr7pjV2aAthCvY/u--

Previous message: [eside-ghost] Servidor web atacado
Next message: [eside-ghost] Servidor web atacado
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]