[ml] "SEARCH /\x90\xc9\xc9\ ... " nei log di Apache

Cosi' a  naso, tentativo di xploit  per la vulnerabilita' webdav  di iis
(od altra  vulnerabilita' webdav) (non  ho al  volo i riferimenti  ma li
trovi su www.securityfocus.com/bid, www.secunia.com o icat.nist.gov).

Su apache non  ha effetti, in particolar  modo se non hai  il modulo dav
attivo :)

Btw, la  richiesta per  sfruttare la  vuln di  iis dovrebbe  essere ~65k
char, suppongo  che apache  "rifiuti" e  logghi la  richiesta a  max. il
numero di char  che vedi (oppure che  si tratti di un  tentativo di vuln
differente :).. dovresti  anche avere un "request failed:  URI too long"
in corrispondenza nell'error.log (non devi guardare solo l'access.log :)

Btw2, sugli archivi di incidents.org e simile, dovrestri trovare tutti i
riferimenti, o banalmente su google.

bye
Koba (moderatore)

----- Forwarded message from Alessio Cecchi <alessice(at)aruba.it> -----
From: Alessio Cecchi <alessice(at)aruba.it>
Subject: "SEARCH /\x90\xc9\xc9\ ... " nei log di Apache
Date: Fri, 12 Nov 2004 17:26:09 +0100

Salve

nei log di Apache 1.3.33 vedo questa stringa:

217.19.211.201 - - [11/Nov/2004:23:33:11 +0100] "SEARCH 
/\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc 
[...] 0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" 
414 346

La stringa è lunga in tutto 32799 caratteri e si presenta per due volte, 
da due IP della stessa classe ma differenti.

Il server non è pubblicizzato, nel senso che era up da poche ore su un 
indirzzo IP senza un nome collegato, quindi sicuramente ci sono arrivati 
scansionando intere classi.

Cosa potrebbe essere?
Mi devo preoccupare

Grazie

----- End forwarded message -----