[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Agosto 2001 ml@sikurezza.org Soggetto: Altre stranezze nei Log Mittente: ~MeRliNo Data: 22 Aug 2001 11:46:31 -0000
Salve, Vorrei porre una domanda stupida......ma non troppo. In questi ultimi tempo ho notato un traffico molto strano sulla rete, tornato dalle ferie (solo 7 giorni aime') ho verificato continue richieste verso il server httpd alla ricerca dell'ennesima variabile di Code Red II. Utilizzando Apache e non IIS la cosa mi preoccupa relativamente, mi preoccupa molto di piu' la saturazione della banda. [inizio log apache] 195.171.56.18 - - [21/Aug/2001:19:15:26 +0200] "GET /default.ida? XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090% u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00% u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 315 "-" "-" 195.171.56.18 - - [21/Aug/2001:19:17:28 +0200] "GET /default.ida? XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090% u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00% u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 315 "-" "-" [fine log apache] Ma non e' finita....non solo CodeRedII: in concomitanza con la richiesta del file default.ida il packet filter mi zappava sta roba qui: [inizio log Kernel] Aug 21 19:15:56 merlino kernel: Packet log: input DENY ppp0 PROTO=6 192.168.92.128:80 xxx.xxx.18.242:44059 L=236 S=0x00 I=23819 F=0x4000 T=51 (#6) Aug 21 19:16:07 merlino kernel: Packet log: input DENY ppp0 PROTO=6 192.168.92.131:80 xxx.xxx.18.242:58184 L=52 S=0x00 I=61621 F=0x4000 T=242 (#6) Aug 21 19:16:56 merlino kernel: Packet log: input DENY ppp0 PROTO=6 192.168.92.128:80 xxx.xxx.18.242:44059 L=236 S=0x00 I=23820 F=0x4000 T=51 (#6) [fine log Kernel] La storia e' durata per oltre 20 minuti ma quello che mi suona strano e' l'indirizzo che tentava di accedere alle mie porte 44059 e 58184, si vede chiaramente l'indirizzamento di una rete privata. Le domande che mi vengono spontanee sono 2: 1 - su 44059 e 58184 che tipo di BO dovrebbe essere in ascolto? 2 - come e' possibile uscire con IP di reti private su internet? Mesi fa notai la stessa "stranezza" nei log e postai la stessa domanda su questa ML e si taglio' corto dicendo che si trattava di un router con il NAT mal configurato. Abitualmente preferisco non saper leggere e scrivere e sono convinto che a pensare male e' peccato ma a volte ci si "azzecca" quindi sono dell'idea che , nella fattispecie, trattasi di pacchetti spoofati. Posso ipotizzare l'esistenza di applicazioni che fanno in modo di forzare al log della macchina attaccata la scrittura di un'indirizzo IP privato al fine di rendere impossibile il rintracciamento del possibile aggressore. Dall'analisi del log e' possibile risalire ad un solo indirizzo IP valido ed e' quello di apache....che sia lo stesso host che tentava di accedere alle porte altre del mio host? Voi cosa ne pensate (a parte di bloccare esplicitamente tutti i pacchetti provenienti dall'interfaccia pppX con indirizzamento IP privato)?? Il firewall utilizzato e' IPChains e le porte alle quali e' consentito accedere sono la 25, 80, 110 e 443, il Kernel linux e' 2.4.2-2 di RH 7.1. Tnks, ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005