[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Luglio 2003 ml@sikurezza.org Soggetto: Re: Apache e default.ida Mittente: Gelpi Andrea Data: 26 Jul 2003 17:11:32 -0000
On Tue, 2003-07-22 at 17:49, Andrea Riela wrote: > Ciao ragazzi, > > Come penso molti di voi, ricevo diverse chiamate ad un presunto file > default.ida nella dir di apache. Si tratta di Code Red. Logicamente > Apache non ne à affetto, ma mi chiedevo questo: per evitare che tutte le > volte il mio server invii una pagina di errore 404 (à pur sempre > traffico sulla mia banda) voi cosa consigliate? > > Creare uno O file in htdocs denominato default.ida? O altro? A parte il fatto che la richiesta a default.isa non mi risulta essere parte di Cod Red, in ogni caso quello che l'attaccante cerca di fare à richiamare quel file passandogli come parametro una stringa con pià di 256 caratteri. Questo negli ISS non patchati provoca un buffer overflow. Quelli che vedi arivare sono script che cercano la vulnerabilitÃ. Se la trovano ti entrano. Ovviamente su apache la cosa non funziona, ma non credo cambino le cose se crei un file con quel nome. La cosa migliore, a mio avviso, sarebbe non rispondere, ma non ho idea di come si possa dire ad apache di non rispondere a certe get. Il non rispondere oltre a non consumare la banda mette in attesa lo script dell'attacante rompendogli un pochino le scatole in quanto lo rallenta. Già che ci sono lo stesso discorso vale per le richieste a cmd.exe che se inviate da Cod Red sono sempre 4 o 5 cingue se non di pià tutte in fila. -- Gelpi ing. Andrea **************************** * Landmine must be stopped. **************************** ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005