Foros del Web » Administración de Sistemas » Software para Servers »

Esto es un ataque ?: "\x90\x90\x90\x90\x90\x90"...

Estas en el tema de Esto es un ataque ?: "\x90\x90\x90\x90\x90\x90"... en el foro de Software para Servers en Foros del Web. Hola, he descargado el LOG de APACHE. Algunas lineas dicen: 85.186.73.244 - - [31/Jul/2005:02:24:41 -0500] "SEARCH /\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H... Y sigue = unos ...
  #1 (permalink)  
Antiguo 05/08/2006, 22:53
 
Fecha de Ingreso: junio-2006
Mensajes: 329
Antigüedad: 18 años, 6 meses
Puntos: 1
Esto es un ataque ?: "\x90\x90\x90\x90\x90\x90"...

Hola, he descargado el LOG de APACHE.

Algunas lineas dicen:

85.186.73.244 - - [31/Jul/2005:02:24:41 -0500] "SEARCH /\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H...

Y sigue = unos 3000 caracteres mas, para luego seguir asi:

...x04H\x04H\x04H\x90\x90\x90\x90\x90\x90\x90\x90\ x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9 0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\ x...

Ahora esto se sigue como por 9mil caracteres, (unas lineas laaaaaaaaaaaaaarguisimas...)...

Y finaliza asi:

...0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x 90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90 \x90\x90\x90\x90\x90\x90" 414 361

Eso que es ?
Es una peticion correcta ?
Un intento de sabotaje al server ?

Pues yo veo muchas otras asi:

209.50.252.138 - - [14/Jun/2006:18:36:40 -0400] "HEAD / HTTP/1.0" 200 0
209.50.252.138 - - [14/Jun/2006:18:39:43 -0400] "HEAD / HTTP/1.0" 200 0
194.72.238.60 - - [30/Aug/2006:21:20:47 -0500] "\x16\x03\x01" 501 -

Que significan esos últimos 3 numeros del final? la respuesta de APACHE ?

Tonces el 200 = OK !
Pero ese 414 y 501 ?

Luego... Ante una peticion HTTP tan extraña y larga... Por que no se callo el server ?

Gracias!.
  #2 (permalink)  
Antiguo 06/08/2006, 14:06
 
Fecha de Ingreso: junio-2006
Mensajes: 329
Antigüedad: 18 años, 6 meses
Puntos: 1
No se si me estas respondiendo o si estas enviandole un mensaje cifrado a tu contacto mercenario...

Alguien me ayuda plis ?
  #3 (permalink)  
Antiguo 06/08/2006, 22:04
 
Fecha de Ingreso: mayo-2006
Mensajes: 242
Antigüedad: 18 años, 7 meses
Puntos: 3
Por lo general no es un ataque, eso se dbe a vecez por no rotación del log del apache correctamente, o sea cuando se va rotar el log este deberia borrar el PID de control y no logra hacerlo, este error no quiere decir que siempre aprece. Tambien puede ser debido pero en poco casos, a mala instlación del OpenSSL .

Ahora si usas WebDav (normalmente esto es en Windows) entonces puede ser un ataque.
__________________
pageIMPACT
Web Hosting Automation - Fiable. Dedicado. Automatizado.
  #4 (permalink)  
Antiguo 06/08/2006, 23:36
 
Fecha de Ingreso: junio-2006
Mensajes: 329
Antigüedad: 18 años, 6 meses
Puntos: 1
Que TEST puedo correr con PHP o PUTTY para saber si OpenSSL esta mal instalado ?
Si esta ben cual sera el sintoma ?

Gracias.
  #5 (permalink)  
Antiguo 07/08/2006, 20:16
 
Fecha de Ingreso: mayo-2006
Mensajes: 242
Antigüedad: 18 años, 7 meses
Puntos: 3
No conozco ningun test, pero puedes hacer pruebas, ve por ejemplo como responde tu acceso seguro (https), si hay "goteras" o sea si avecez encuentras la pagina y otras vecez da error de pagina no encontrada.

Pero creo que no es de preocupar mucho, puede ser y estoy casi seguro, que es alguien que cree tienes instalado el WebDav y esta buscando una vulnerabilidad pero sino lo tienes instalado , no te preocupes puede escribir todo el URL lo mas grande posible sera siempre una peticion http y no tiene efecto sobre el server.

Por ejemplo yo he notado que ultimamente EV1 tiene muchos servidores hackeados porque recibo (claro luego bloqueo el IP del server) en promedio 30.000 solicitudes vía FTP probando el usuario "Administrator" y password, el usuario Admnistrator es para servidores Windows linux usa root, además los servidores windows biewn admnistrados nunca usan el usuario "Administrator"para acceder, y en la politicas de acceso uno puede deshabilitar el login de ese usuario y crear otro usuario administrador con otro nombre (ojo no borrar ni deshabilitar la cuenta Administrator para usuarios de Windows solamente deshabilitar el login).
__________________
pageIMPACT
Web Hosting Automation - Fiable. Dedicado. Automatizado.
  #6 (permalink)  
Antiguo 15/08/2006, 09:55
 
Fecha de Ingreso: enero-2006
Ubicación: mi casa
Mensajes: 255
Antigüedad: 18 años, 11 meses
Puntos: 0
Si es un INTENTO de ataque

Así es efectivamente, es un intento de ataque....
lo que estás viendo son las opcodes de una shellcode
todo eso son instrucciones en ensamblador con su respectiva equivalencia en hexadecimal.... (por ejemplo los 0x90 son nop's)


Lo del HEAD es por que el atacante está queriendo identificar el servidor que trata de "atacar"
por que no se cayó tu servidor , ante una petición tan larga?

1) Por que está bien programado
2) Por que si se cayera sería vulnerable a un Buffer Overflow (por decir)

No sé que vulnerabilidad trató de explotar pero no parece ser el WebDav (por que conosco las peticiones) pero bueh, mantente tránquilo en ese sentido.

Aunque estate atento.

un saludo
  #7 (permalink)  
Antiguo 15/08/2006, 12:37
 
Fecha de Ingreso: junio-2006
Mensajes: 329
Antigüedad: 18 años, 6 meses
Puntos: 1
Cita:
Iniciado por Okidoki Ver Mensaje
Por lo general no es un ataque, eso se dbe a vecez por no rotación del log del apache correctamente...
Cita:
Iniciado por NightDark Ver Mensaje
efectivamente, es un intento de ataque....
Chanfle!,

Y ahora quien podra aclararme ?...

Pero +:

Carajos!, SI ES UN ATAQUE!!!!!

Y como puedo saber CUAL ?

Deberia MIRAR mas a menudo mi LOG de APACHE ?

Pero... Y que hago con eso si NO SE QUE ES CADA COSA ?

GRACIAS!!
  #8 (permalink)  
Antiguo 15/08/2006, 18:14
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 2 meses
Puntos: 162
Coincido con NightDark, es un ataque. Y te recomiendo instalar Mod_Security, es una gran herramienta para proteger ataques desde peticiones Apache, si configuras buenas reglas puedes filtrar el 99% de los ataques al server web, esta disponible para windows, linux y bsd, también soporta apache 1.3.x y la rama 2.x .

Un saludo!
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
  #9 (permalink)  
Antiguo 15/08/2006, 19:22
 
Fecha de Ingreso: junio-2006
Mensajes: 329
Antigüedad: 18 años, 6 meses
Puntos: 1
Gracias,

Pueden tener la amabilidad de contarme A MODO DE CURIOSIDAD...

Que podria haber susedido si "LOGRAN EL ATAQUE" ?
Abrian podido cambiar el ROOT ?
Borrar info ?
Dejarme TROYANOS alli dentro ?
Y COMO PUEDO SABER QUE NO LO LOGRARON ?
Y COMO PUEDO SABER QUE NO LO LOGRARON ?
Y COMO PUEDO SABER QUE NO LO LOGRARON ?
Y COMO PUEDO SABER QUE NO LO LOGRARON ?
Y COMO PUEDO SABER QUE NO LO LOGRARON ?

Les agradezco mucho su tiempo.
  #10 (permalink)  
Antiguo 15/08/2006, 20:42
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 2 meses
Puntos: 162
Bueno... si lograran el ataque, dependiendo del bug si posees alguno, podían haber tomado privilegios de usuario, para tratar de escalar a root.. o también podían haber tomado el root directamente, todo depende del agujero de seguridad, de su nivel de conocimiento, y otros factores.

Si son root, pueden borrar info, formatearte las particiones, dejarte sin webs, utilizar tu server para lanzar otros ataques remotos, etc, etc.

Te sugiero que no entres en pánico, hay un 99% de posibilidades de que no sea más que un log de un intento frustrado de ataque, pero si quieres estar 100% segura, te sugiero que contrates a una compañia de seguridad o un consultor independiente, que se encargue de auditar tu sistema de forma correcta, por más consejos que te demos para que evalues la seguridad de tu sistema, no podrás hacerlo de la misma manera que una persona que sabe lo que hace, y lo que ve en los resultados.

Un saludo!
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
  #11 (permalink)  
Antiguo 15/08/2006, 21:26
 
Fecha de Ingreso: mayo-2006
Mensajes: 242
Antigüedad: 18 años, 7 meses
Puntos: 3
Aqui puede ver la posible causa de este problema

http://mail-archives.apache.org/mod_...l.gmail.com%3e

http://mail-archives.apache.org/mod_...68.117.6%5d%3e
__________________
pageIMPACT
Web Hosting Automation - Fiable. Dedicado. Automatizado.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 10:10.