Foros del Web » Administración de Sistemas » Seguridad y redes »

prevenir ataque a Apache

Estas en el tema de prevenir ataque a Apache en el foro de Seguridad y redes en Foros del Web. Hola, tengo instalados Apache-php-mysql (versión de apache: 1.3.23) en win 98 para testing solamente, y durante un año no tuve ningún problema. Pero a partir ...
  #1 (permalink)  
Antiguo 22/02/2003, 12:56
Avatar de sci-fi  
Fecha de Ingreso: marzo-2002
Mensajes: 157
Antigüedad: 22 años, 8 meses
Puntos: 0
prevenir ataque a Apache

Hola,

tengo instalados Apache-php-mysql (versión de apache: 1.3.23) en win 98 para testing solamente, y durante un año no tuve ningún problema. Pero a partir de enero, me doy cuenta a través de access.log y error.log de que hay alguien que trata de atacar apache en mi máquina. Los logs que figuran son de este tipo:

<!-- comienza log -->


[nº IP] - - [12/Feb/2003:18:36:45 -0300] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298

[nº IP] - - [12/Feb/2003:18:36:45 -0300] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298

[nº IP] - - [12/Feb/2003:18:51:00 -0300] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%u cbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b %u53ff%u0078%u0000%u00=a HTTP/1.0" 400 318

<!-- termina log -->

Otros tipos de logs:

<!-- comienza log -->

[nº IP] - - [07/Feb/2003:08:15:17 -0300] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274

[nº IP] - - [07/Feb/2003:08:15:42 -0300] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir

<!-- termina log -->

Son más o menos ésos que se repiten, con el mismo nº de IP, al menos cada "chorrera" con el mismo IP, pero variando el nº de IP cada vez en diferentes días y horarios (en los logs están estos números pero no los publico porque no sé si son fidedignos).

En error.log se corresponden éstos con archivos no encontrados para los requests que piden dirs/archivos de win nt, etc, pero también hay errores del tipo "encabezado de http request malformado", lo que me llevó a encontrar apenas recién esto en docs de apache (http://www.apache.org/dist/httpd/Announcement2.html): "VU#979793[1] Versiones de Windows 9x y Me pueden ser colapsados por un request malicioso a Apache que contenga nombres de dispositivo MS-DOS(...) Fix: http://www.microsoft.com/technet/Sec...n/ms00-017.asp Apache 2.0.44 también ha sido actualizado para filtrar correctamente nombres de dispositivo MS-DOS previniendo el colapso aún si el patch de Microsoft no ha sido aplicado".

Yo uso firewall (zonealarm), y por año no tuve nunca un solo conflicto, pero en determinado momento apache no funcionaba si estaba el firewall. Sacando el firewall, sí. Pero ahora me encuentro con que apache no funciona de ninguna forma (el error que me pone es que no puede escuchar al puerto 80; traté varias veces de cambiarle el puerto, y sin el firewall andando, pero no funcionó)... Aún no apliqué el patch de MS ni actualicé Apache (no quisiera hacerlo ya que lo necesito ahora), lo que probablemente sea la solución, pero de todas maneras quería comentar esto para prevenir. Ahora que lo pienso, durante esos días la pc se tildaba sin razón haciéndome imposible trabajar, y se debe haber debido a estos ataques y no a un antivirus que tenía instalado en ese momento y que pensaba que era la causa

Cualquier otra información sobre el problema me sería de mucha ayuda

gracias
__________________
webdeveloper
http://www.javascripters.com.ar/
diseño web y tecnología

Última edición por sci-fi; 22/02/2003 a las 14:01
  #2 (permalink)  
Antiguo 23/02/2003, 11:00
Avatar de Necros  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 431
Antigüedad: 22 años, 9 meses
Puntos: 0
La respuesta esta en tener bién configurado y parcheado tu apache bajo WIN,aunque yo te aconsejaria q para testear como server utilices otros S.O como Linux... Y si no deseas hacer publico tu web server fuera de tu Intranet, la respuesta la tienes en la buena configuración del FireWALL...

Byez
__________________
By NeCrOS
FrEe WoRlD is FrEe CoDE
http://www.NeCrOS.com
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 08:41.