Tema: prevenir ataque a Apache
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 22/02/2003, 12:56
Avatar de sci-fi
sci-fi
 
Fecha de Ingreso: marzo-2002
Mensajes: 157
Antigüedad: 22 años, 8 meses
Puntos: 0
prevenir ataque a Apache
Hola,

tengo instalados Apache-php-mysql (versión de apache: 1.3.23) en win 98 para testing solamente, y durante un año no tuve ningún problema. Pero a partir de enero, me doy cuenta a través de access.log y error.log de que hay alguien que trata de atacar apache en mi máquina. Los logs que figuran son de este tipo:

<!-- comienza log -->


[nº IP] - - [12/Feb/2003:18:36:45 -0300] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298

[nº IP] - - [12/Feb/2003:18:36:45 -0300] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298

[nº IP] - - [12/Feb/2003:18:51:00 -0300] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%u cbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b %u53ff%u0078%u0000%u00=a HTTP/1.0" 400 318

<!-- termina log -->

Otros tipos de logs:

<!-- comienza log -->

[nº IP] - - [07/Feb/2003:08:15:17 -0300] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274

[nº IP] - - [07/Feb/2003:08:15:42 -0300] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir

<!-- termina log -->

Son más o menos ésos que se repiten, con el mismo nº de IP, al menos cada "chorrera" con el mismo IP, pero variando el nº de IP cada vez en diferentes días y horarios (en los logs están estos números pero no los publico porque no sé si son fidedignos).

En error.log se corresponden éstos con archivos no encontrados para los requests que piden dirs/archivos de win nt, etc, pero también hay errores del tipo "encabezado de http request malformado", lo que me llevó a encontrar apenas recién esto en docs de apache (http://www.apache.org/dist/httpd/Announcement2.html): "VU#979793[1] Versiones de Windows 9x y Me pueden ser colapsados por un request malicioso a Apache que contenga nombres de dispositivo MS-DOS(...) Fix: http://www.microsoft.com/technet/Sec...n/ms00-017.asp Apache 2.0.44 también ha sido actualizado para filtrar correctamente nombres de dispositivo MS-DOS previniendo el colapso aún si el patch de Microsoft no ha sido aplicado".

Yo uso firewall (zonealarm), y por año no tuve nunca un solo conflicto, pero en determinado momento apache no funcionaba si estaba el firewall. Sacando el firewall, sí. Pero ahora me encuentro con que apache no funciona de ninguna forma (el error que me pone es que no puede escuchar al puerto 80; traté varias veces de cambiarle el puerto, y sin el firewall andando, pero no funcionó)... Aún no apliqué el patch de MS ni actualicé Apache (no quisiera hacerlo ya que lo necesito ahora), lo que probablemente sea la solución, pero de todas maneras quería comentar esto para prevenir. Ahora que lo pienso, durante esos días la pc se tildaba sin razón haciéndome imposible trabajar, y se debe haber debido a estos ataques y no a un antivirus que tenía instalado en ese momento y que pensaba que era la causa

Cualquier otra información sobre el problema me sería de mucha ayuda

gracias
__________________
webdeveloper
http://www.javascripters.com.ar/
diseño web y tecnología
Última edición por sci-fi; 22/02/2003 a las 14:01