Esto es un ataque ?: "\x90\x90\x90\x90\x90\x90"...

Hola, he descargado el LOG de APACHE.

Algunas lineas dicen:

85.186.73.244 - - [31/Jul/2005:02:24:41 -0500] "SEARCH /\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\ x04H...

Y sigue = unos 3000 caracteres mas, para luego seguir asi:

...x04H\x04H\x04H\x90\x90\x90\x90\x90\x90\x90\x90\ x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9 0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\ x...

Ahora esto se sigue como por 9mil caracteres, (unas lineas laaaaaaaaaaaaaarguisimas...)...

Y finaliza asi:

...0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x 90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90 \x90\x90\x90\x90\x90\x90" 414 361

Eso que es ?
Es una peticion correcta ?
Un intento de sabotaje al server ?

Pues yo veo muchas otras asi:

209.50.252.138 - - [14/Jun/2006:18:36:40 -0400] "HEAD / HTTP/1.0" 200 0
209.50.252.138 - - [14/Jun/2006:18:39:43 -0400] "HEAD / HTTP/1.0" 200 0
194.72.238.60 - - [30/Aug/2006:21:20:47 -0500] "\x16\x03\x01" 501 -

Que significan esos últimos 3 numeros del final? la respuesta de APACHE ?

Tonces el 200 = OK !
Pero ese 414 y 501 ?

Luego... Ante una peticion HTTP tan extraña y larga... Por que no se callo el server ?

Gracias!.

No se si me estas respondiendo o si estas enviandole un mensaje cifrado a tu contacto mercenario...

Alguien me ayuda plis ?

Por lo general no es un ataque, eso se dbe a vecez por no rotación del log del apache correctamente, o sea cuando se va rotar el log este deberia borrar el PID de control y no logra hacerlo, este error no quiere decir que siempre aprece. Tambien puede ser debido pero en poco casos, a mala instlación del OpenSSL .

Ahora si usas WebDav (normalmente esto es en Windows) entonces puede ser un ataque.

Que TEST puedo correr con PHP o PUTTY para saber si OpenSSL esta mal instalado ?
Si esta ben cual sera el sintoma ?

Gracias.

No conozco ningun test, pero puedes hacer pruebas, ve por ejemplo como responde tu acceso seguro (https), si hay "goteras" o sea si avecez encuentras la pagina y otras vecez da error de pagina no encontrada.

Pero creo que no es de preocupar mucho, puede ser y estoy casi seguro, que es alguien que cree tienes instalado el WebDav y esta buscando una vulnerabilidad pero sino lo tienes instalado , no te preocupes puede escribir todo el URL lo mas grande posible sera siempre una peticion http y no tiene efecto sobre el server.

Por ejemplo yo he notado que ultimamente EV1 tiene muchos servidores hackeados porque recibo (claro luego bloqueo el IP del server) en promedio 30.000 solicitudes vía FTP probando el usuario "Administrator" y password, el usuario Admnistrator es para servidores Windows linux usa root, además los servidores windows biewn admnistrados nunca usan el usuario "Administrator"para acceder, y en la politicas de acceso uno puede deshabilitar el login de ese usuario y crear otro usuario administrador con otro nombre (ojo no borrar ni deshabilitar la cuenta Administrator para usuarios de Windows solamente deshabilitar el login).

Así es efectivamente, es un intento de ataque....
lo que estás viendo son las opcodes de una shellcode
todo eso son instrucciones en ensamblador con su respectiva equivalencia en hexadecimal.... (por ejemplo los 0x90 son nop's)


Lo del HEAD es por que el atacante está queriendo identificar el servidor que trata de "atacar"
por que no se cayó tu servidor , ante una petición tan larga?

1) Por que está bien programado
2) Por que si se cayera sería vulnerable a un Buffer Overflow (por decir)

No sé que vulnerabilidad trató de explotar pero no parece ser el WebDav (por que conosco las peticiones) pero bueh, mantente tránquilo en ese sentido.

Aunque estate atento.

un saludo

Chanfle!,

Y ahora quien podra aclararme ?...

Pero +:

Carajos!, SI ES UN ATAQUE!!!!!

Y como puedo saber CUAL ?

Deberia MIRAR mas a menudo mi LOG de APACHE ?

Pero... Y que hago con eso si NO SE QUE ES CADA COSA ?

GRACIAS!!

Coincido con NightDark, es un ataque. Y te recomiendo instalar Mod_Security, es una gran herramienta para proteger ataques desde peticiones Apache, si configuras buenas reglas puedes filtrar el 99% de los ataques al server web, esta disponible para windows, linux y bsd, también soporta apache 1.3.x y la rama 2.x .

Un saludo!

Gracias,

Pueden tener la amabilidad de contarme A MODO DE CURIOSIDAD...

Que podria haber susedido si "LOGRAN EL ATAQUE" ?
Abrian podido cambiar el ROOT ?
Borrar info ?
Dejarme TROYANOS alli dentro ?
Y COMO PUEDO SABER QUE NO LO LOGRARON ?
Y COMO PUEDO SABER QUE NO LO LOGRARON ?
Y COMO PUEDO SABER QUE NO LO LOGRARON ?
Y COMO PUEDO SABER QUE NO LO LOGRARON ?
Y COMO PUEDO SABER QUE NO LO LOGRARON ?

Les agradezco mucho su tiempo.

Bueno... si lograran el ataque, dependiendo del bug si posees alguno, podían haber tomado privilegios de usuario, para tratar de escalar a root.. o también podían haber tomado el root directamente, todo depende del agujero de seguridad, de su nivel de conocimiento, y otros factores.

Si son root, pueden borrar info, formatearte las particiones, dejarte sin webs, utilizar tu server para lanzar otros ataques remotos, etc, etc.

Te sugiero que no entres en pánico, hay un 99% de posibilidades de que no sea más que un log de un intento frustrado de ataque, pero si quieres estar 100% segura, te sugiero que contrates a una compañia de seguridad o un consultor independiente, que se encargue de auditar tu sistema de forma correcta, por más consejos que te demos para que evalues la seguridad de tu sistema, no podrás hacerlo de la misma manera que una persona que sabe lo que hace, y lo que ve en los resultados.

Un saludo!

Aqui puede ver la posible causa de este problema

http://mail-archives.apache.org/mod_...l.gmail.com%3e

http://mail-archives.apache.org/mod_...68.117.6%5d%3e