Re: [ml] "SEARCH /\x90\xc9\xc9\ ... " nei log di Apache

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2004 ml@sikurezza.org
Soggetto: Re: [ml] "SEARCH /\x90\xc9\xc9\ ... " nei log di Apache
Mittente: Rev3rse
Data: Sun, 14 Nov 2004 16:19:20 +0100 (CET)

On Fri, 12 Nov 2004 18:43:08 +0100, Igor Falcomata' <koba@xxxxxxxxxxxxx> wrote:
> Cosi' a  naso, tentativo di xploit  per la vulnerabilita' webdav  di iis
> (od altra  vulnerabilita' webdav) (non  ho al  volo i riferimenti  ma li
> trovi su www.securityfocus.com/bid, www.secunia.com o icat.nist.gov).
> 
Si e' per webdav :)

> Su apache non  ha effetti, in particolar  modo se non hai  il modulo dav
> attivo :)
> 
> Btw, la  richiesta per  sfruttare la  vuln di  iis dovrebbe  essere ~65k
> char, suppongo  che apache  "rifiuti" e  logghi la  richiesta a  max. il
> numero di char  che vedi (oppure che  si tratti di un  tentativo di vuln
> differente :).. dovresti  anche avere un "request failed:  URI too long"
> in corrispondenza nell'error.log (non devi guardare solo l'access.log :)
> 
> Btw2, sugli archivi di incidents.org e simile, dovrestri trovare tutti i
> riferimenti, o banalmente su google.
> 
> bye
> Koba (moderatore)
> 
Ok, tutto corretto.
Io sto usando il modulo mod_secuirity per evitare di riempire i log di
roba inutile:
82.54.72.164 - - [13/Nov/2004:17:25:22 +0100] "SEARCH /\x90\x02±\x02±
...etc etc...

Nel file di configurazione di apache uso:
<IfModule mod_security.c>
AddHandler application/x-httpd-php .php
SecAuditEngine On
SecAuditLog logs/audit_log
SecFilterScanPOST On
SecFilterEngine On
SecFilterDefaultAction "deny,log,status:500"
# Command execution attacks
SecFilter /etc/password
SecFilter /bin/ls
# Webdav
SecFilter "SEARCH /\x90\x02±" log,pass
# Directory traversal attacks
SecFilter "\.\./"
# XSS attacks
SecFilter "<(.|\n)+>"
#SecFilter "'"
SecFilter "\""
SecFilter "<[[:space:]]*script"
# SQL injection attacks
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
</IfModule>

Nei log:
$ cat ../logs/audit_log |grep 82.54.72.164
Request: 82.54.72.164 - - [Sat Nov 13 17:25:22 2004] "SEARCH
/?±±±±±...HTTP/1.0 414 Request-URI Too Large

Ora vi chiedo, esiste un modo affinche apache eviti di loggare e
rispondere a queste richieste?
Io pensavo di risolverlo come sopra...ma non credo che SecFilter
SEARCH sia la cosa giusta...

Ciao

Rev`

> ----- Forwarded message from Alessio Cecchi <alessice(at)aruba.it> -----
> From: Alessio Cecchi <alessice(at)aruba.it>
> Subject: "SEARCH /\x90\xc9\xc9\ ... " nei log di Apache
> Date: Fri, 12 Nov 2004 17:26:09 +0100
> 
> Salve
> 
> nei log di Apache 1.3.33 vedo questa stringa:
> 
> 217.19.211.201 - - [11/Nov/2004:23:33:11 +0100] "SEARCH
> /\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc
> [...] 0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
> 414 346
> 
> La stringa è lunga in tutto 32799 caratteri e si presenta per due volte,
> da due IP della stessa classe ma differenti.
> 
> Il server non è pubblicizzato, nel senso che era up da poche ore su un
> indirzzo IP senza un nome collegato, quindi sicuramente ci sono arrivati
> scansionando intere classi.
> 
> Cosa potrebbe essere?
> Mi devo preoccupare
> 
> Grazie
> 
> ----- End forwarded message -----
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
> 


-- 
Rev`

> Unix core <

In risposta a:
- [ml] "SEARCH /\x90\xc9\xc9\ ... " nei log di Apache, Igor Falcomata'

Data:
- precedente: R: [ml] netbus, Giorgio Parpinelli
- successivo: [ml] Consiglio orientamento certificazione per novizio, Sauro
- indice

Argomento:
- precedente: [ml] "SEARCH /\x90\xc9\xc9\ ... " nei log di Apache, Igor Falcomata'
- successivo: Re: [ml] "SEARCH /\x90\xc9\xc9\ ... " nei log di Apache, Igor Falcomata'
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005