Logs do apache

**1c3m4n** · 07-05-2005, 09:37

E ae povo baum?

Seguinte to montando um pacote de regras pro layer7, principalmente pra bloquear akeles worms chatos da m$ ou entaum akeles ataques de iis, sei q essa porcaria num afeta em nada o apache mas pelo menos da pra bloquear antes dele chegar no apache.

Se vcs tiverem mais logs desse tipo postem aki pra eu criar as regras, por enqto tenho essas:

Código :

/default\.ida\?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3
%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b
%u53ff%u0078%u0000%u00=a
 
GET (/scripts/root\.exe\?/c\+dir|/MSADC/root\.exe\?/c\+dir|/c/winnt/system32/cmd\.exe\?
/c\+dir|/d/winnt/system32/cmd\.exe\?/c\+dir|/scripts/\.\.%5c\.\./winnt/system32/cmd\.exe\?
/c\+dir|/_vti_bin/\.\.%5c\.\./\.\.%5c\.\./\.\.%5c\.\./winnt/system32/cmd\.exe\?
/c\+dir|/_mem_bin/\.\.%5c\.\./\.\.%5c\.\./\.\.%5c\.\./winnt/system32/cmd\.exe\?
/c\+dir|/msadc/\.\.%5c\.\./\.\.%5c\.\./\.\.%5c/\.\.\xc1\x1c\.\./\.\.\xc1\x1c\.\./\.\.\xc1\x1c\.\.
/winnt/system32/cmd\.exe\?/c\+dir|/scripts/\.\.\xc1\x1c\.\./winnt/system32/cmd\.exe\?
/c\+dir|/scripts/\.\.\xc0/\.\./winnt/system32/cmd\.exe\?/c\+dir|/scripts/\.\.\xc0\xaf\.\.
/winnt/system32/cmd\.exe\?/c\+dir|/scripts/\.\.\xc1\x9c\.\./winnt/system32/cmd\.exe\?
/c\+dir|/scripts/\.\.%35c\.\./winnt/system32/cmd\.exe\?/c\+dir|/scripts/\.\.%35c\.\.
/winnt/system32/cmd\.exe\?/c\+dir|/scripts/\.\.%5c\.\./winnt/system32/cmd\.exe\?
/c\+dir|/scripts/\.\.%2f\.\./winnt/system32/cmd\.exe\?/c\+dir)
 
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b
%u53ff%u0078%u0000%u00=a

**1c3m4n** · 07-05-2005, 17:56

Agora tenho mais esses:

Código :

/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir
 
awstats.pl?configdir=|%20id%20|
 
e esse repetindo esse codigo milhares de vezes:
"SEARCH /\x90\x02\xb1\

madem seus logs tb

, vo montar o pacote de protocolos com elas e dps coloco pro pessoal fazer download

**demiurgo** · 09-05-2005, 09:26

pow.... fiquei curioso quando vi esse seu post maluco e fui ver o projeto q eh o layer7.... mto foda mesmo o kra hein?

como vc estah implementando ele?

[]'s

**1c3m4n** · 09-05-2005, 09:36

po enqto to tentando criar as rules pra ele certinho, mas o l7 tem um problema, ele soh consegue analizar o pacote qdo ele entra na maquina, intaum num da pra usa em conjunto com prerouting,etc...

whinston · 11-05-2005, 15:06

nossa cara, da vontade de bater em cada corno que gera isto, pq sao milhares de linhas!!! mas sao estas q vc ja postou ae em cima

**xstefanox** · 17-03-2006, 12:17

Poxa 1c3... não é melhor já utilizar o Snort? O l7, embora seja perfeito pra fazer um bloqueio por conteúdo do pacote, consome muito processamento...

Logs do apache

Ferramentas de Tópicos

Logs do apache

Logs do apache

Logs do apache

Logs do apache

estes mesmos

Re: Logs do apache