+ Responder ao Tópico



  1. #1

    Padrão Esses worms

    Se não me engano isto é tentativa de acesso de um worm a um web server Microsoft? Sempre acho vários desses nos meus logs do apache....

    200.XXX.110.XXX - - [27/Jul/2004:15:32:41 -0300] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%
    u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090
    %u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u000
    0%u00=a HTTP/1.0" 404 300

    auehuaeaeu isso nem me deixa preocupado!

    Mas isso me deixa:

    200.XXX.250.XXX- - [27/Jul/2004:21:07:10 -0300] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
    xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb
    1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
    02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
    \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
    x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
    \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
    x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
    xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x..........x90\x90\x90\x90\x90\x90\
    x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
    x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
    x90\x90\x90\x90\x90" 414 341

    eu resumi este log pois os caracteres chegam a 3 paginas mais ou menos... grande! O que será que causa isso?

  2. #2
    slice
    Visitante

    Padrão Esses worms

    hehehehe!!!

    São worms mesmo...
    Sempre aparece estas porcarias no log do meu apache tbém...
    Mas eu costumo devolver estas requisições para o próprio dono :-)
    Se ele tem vírus ele tem windows... se ele tem windows ele é vulnerável... e se ele quer me derrubar então ele pode cair tbém :-P
    Se teu log ficar muito poluído, o que provavelmente ficará... faça um script que varre o log e limpa ele.


    Inclua isso no seu httpd.conf

    <Directory /var/www/>
    AllowOverride None
    Order allow,deny
    Allow from all

    RedirectMatch (.*)\default.ida$ http://127.0.0.1/scripts/..%255c..%2...tWindowsEX%201

    RedirectMatch (.*)\cmd.exe$ http://127.0.0.1/scripts/..%255c..%2...tWindowsEX%201

    RedirectMatch (.*)\root.exe$ http://127.0.0.1/scripts/..%255c..%2...tWindowsEX%201

    RedirectMatch (.*)\SEARCH$ http://127.0.0.1/scripts/..%255c..%2...tWindowsEX%201
    </Directory>

    PS.: Aqui saiu quebrada a linha mas é tudo na mesma linha... como na linha abaixo:
    RedirectMatch (.*)\SEARCH$ http://127.0.0.1/.................

    flw

    Slice



  3. #3

    Padrão Esses worms

    hummm......po legal cara...não sabia desta de redirecionar.... valeu....
    vou fazer uns testes e procurar saber mais a respeito ....

  4. #4
    slice
    Visitante

    Padrão Esses worms

    Se descobrir mais alguma coisa interessante, posta aí pra gente!!!

    []'s

    Slice



  5. #5
    slice
    Visitante

    Padrão Esses worms

    PiTsA

    dê uma olhada no awstats é um excelente analizador de logs do apache, fantástico... e tem uma parte que vc configura ele para reconhecer no log do apache alguns worms...

    http://awstats.sourceforge.net/

    flw!

    Slice

  6. #6
    gmlinux
    Visitante

    Padrão Esses worms

    Existe um problema em "contra atacar", suponha que alguem forje um ataque a vc com endereço de outrem, a quem vc vai "contra atacar"...
    Desta forma, o outrem vai achar que vc é um atacante...



  7. #7
    slice
    Visitante

    Padrão Esses worms

    Citação Postado originalmente por gmlinux
    Existe um problema em "contra atacar", suponha que alguem forje um ataque a vc com endereço de outrem, a quem vc vai "contra atacar"...
    Desta forma, o outrem vai achar que vc é um atacante...
    estes ataques são gerados por vírus (em sua maioria), e na maioria das vezes o user/admin não sabem que estão infectados...

    e isso naun vai acontecer, pois a conexão sempre será redirecionada para o 'localhost' de quem está atacando... veja p http://127.0.0.1/....... e não de quem ele está forjando o ataque, quando for um ataque...

    outra opção é vc fazer um script com os mesmos nomes (default.ida por ex.) que loga os ataques e bloqueia o ip via iptables, pelo menos temporariamente... mas essa solução é radical demais, visto que um 'grande' cliente seu pode ter uma maquina infectada e ter o acesso ao teu site bloqueado por isso, imagine o prejuízo que vc pode ter!

    flw!

    Slice

  8. #8

    Padrão Esses worms

    ou simplesmente opte por ignorar e/ou limpar essas entradas do seu logfile.... nao eh nunca bom retaliar um ataque, um motivo e economizar a sua banda, o outro claro, nao prescisa falar.



  9. #9
    gmlinux
    Visitante

    Padrão Esses worms

    Se vc retaliar, um cracker pode usar esta condição para exploração, (mesmo que o ataque original seja gerado por vírus) colocando um contra o outro, de repente obtendo uma saturação da banda (DOS parcial).
    É como mistymst disse, não é boa prática o contra ataque (pelo menos automático )

  10. #10

    Padrão Esses worms

    na moral slice tô contigo vamu devolver o veneno para a propria cobra ... se vc sabe atacar parabens aprenda a se defender tumem .

    se vc tiver uns analisadores legais me manda uma mp com eles valeu e um abraçãum