| View previous topic :: View next topic |
| Author |
Message |
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
 Posted: Sat Mar 05, 2005 1:39 pm Post subject: [OT] ho apache da due giorni, e già rompono i maroni... |
 |
|
scusate tutti per l'ot, ma... secondo voi che significa 'sta roba nell' access_log di apache ?
| Code: | 82.51.186.176 - - [05/Mar/2005:13:17:10 +0100] "CONNECT 207.46.133.140:21 HTTP/1.0" 200 8274 "-" "-"
143.81.248.40 - - [05/Mar/2005:14:08:11 +0100] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 1047 "-" "-"
143.81.248.40 - - [05/Mar/2005:14:12:26 +0100] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 1047 "-" "-" |
apache é in piedi da due giorni, mi sembra come minimo strano subire attacchi o roba simile... ma altrettanto trovo strano che qualcuno si metta a cercare delle dll su gentoo 
che cosa puo' aver generato quel messaggio ? tra l'altro ho provato, dal mio pc, a riprodurre l'evento, ma il log é notevolmente differente:
| Code: | | 192.168.0.110 - - [05/Mar/2005:14:38:06 +0100] "GET /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 1029 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7) Gecko/20041013 Firefox/0.9.3 (Ubuntu)" |
ergo, come minimo chi ha fatto 'sta cosa ha nascosto il proprio OS e il proprio browser... il che non promette bene..
Coda |
|
| Back to top |
|
 |
fat_penguin
Apprentice
Joined: 25 Jul 2004
Posts: 294
Location: sud side of Switzerland
|
| Posted: Sat Mar 05, 2005 1:55 pm Post subject: |
|
|
Non penso ti debba preoccupare piu di tanto.
Sembra che qualcuno, ma piu probabilmente un qualche scanner automatico, stia testando se qualche host sulla rete sia affetta dal bug MS03-051 ... che direi nel tuo caso non sia un problema visto che usi Linux.
Ad ogni modo, a scanso d'equivoci, per qualche giorno tieni d'occhio i log.
Se invece vuoi "proteggerti" un po di piu dai un occhio a questo: http://www.modsecurity.org/projects/modsecurity/apache/index.html
Personalmente non l'ho mai usato... ma sembra interessante.
byebye
fat_penguin |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Sat Mar 05, 2005 2:01 pm Post subject: |
|
|
| fat_penguin wrote: | Non penso ti debba preoccupare piu di tanto.
Sembra che qualcuno, ma piu probabilmente un qualche scanner automatico, stia testando se qualche host sulla rete sia affetta dal bug MS03-051 ... che direi nel tuo caso non sia un problema visto che usi Linux.
Ad ogni modo, a scanso d'equivoci, per qualche giorno tieni d'occhio i log. |
ah, okey... ho provato a cercare un po' in giro, ma fin'ora avevo trovato solo log di altri siti su cui era stato effettuato lo stesso tentativo 
beh, interessante lo é davvero, anche se probabilemente al momento al di sopra delle mie capacità cognitive
Grazie !
Coda |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Sat Mar 05, 2005 2:06 pm Post subject: |
|
|
| hai attivo mod_proxy ? |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Sat Mar 05, 2005 2:12 pm Post subject: |
|
|
| makoomba wrote: | | hai attivo mod_proxy ? |
ehmm... che é ? come lo scopro ? provo a guardare nei file di conf di apache e ti dico...
Coda |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Sat Mar 05, 2005 2:14 pm Post subject: |
|
|
si', direi che é attivo:
| Code: | LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
LoadModule proxy_http_module modules/mod_proxy_http.so
|
che fo', lo commento ?
Coda |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Sat Mar 05, 2005 2:31 pm Post subject: |
|
|
| codadilupo wrote: |
che fo', lo commento ?
|
ecco direi che è una buona idea, visto il response 200 nella prima riga di log. |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Sat Mar 05, 2005 2:45 pm Post subject: |
|
|
| makoomba wrote: | | codadilupo wrote: |
che fo', lo commento ?
|
ecco direi che è una buona idea, visto il response 200 nella prima riga di log. |
é successo di nuovo... | Code: | 84.222.166.86 - - [05/Mar/2005:15:23:31 +0100] "CONNECT 207.46.133.140:21 HTTP/1.0" 200 8274 "-" "-"
151.41.164.248 - - [05/Mar/2005:15:42:58 +0100] "CONNECT 207.46.133.140:21 HTTP/1.0" 200 8274 "-" "-" |
dici che mi stanno usando come proxy ? eppure ho commentato ! ti posto il file apache:
| Code: | ### mod_access (Order, Allow, etc..)
### mod_log_config (Transferlog, etc..)
### mod_mime (AddType, etc...)
###
LoadModule access_module modules/mod_access.so
LoadModule auth_module modules/mod_auth.so
LoadModule auth_anon_module modules/mod_auth_anon.so
LoadModule auth_dbm_module modules/mod_auth_dbm.so
LoadModule auth_digest_module modules/mod_auth_digest.so
LoadModule include_module modules/mod_include.so
LoadModule log_config_module modules/mod_log_config.so
LoadModule env_module modules/mod_env.so
LoadModule mime_magic_module modules/mod_mime_magic.so
LoadModule cern_meta_module modules/mod_cern_meta.so
LoadModule expires_module modules/mod_expires.so
LoadModule headers_module modules/mod_headers.so
LoadModule usertrack_module modules/mod_usertrack.so
LoadModule unique_id_module modules/mod_unique_id.so
LoadModule setenvif_module modules/mod_setenvif.so
#LoadModule proxy_module modules/mod_proxy.so
#LoadModule proxy_connect_module modules/mod_proxy_connect.so
#LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
#LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule mime_module modules/mod_mime.so
#LoadModule status_module modules/mod_status.so
LoadModule autoindex_module modules/mod_autoindex.so
LoadModule asis_module modules/mod_asis.so
#LoadModule info_module modules/mod_info.so
#LoadModule cgi_module modules/mod_cgi.so
#LoadModule cgid_module modules/mod_cgid.so
#LoadModule vhost_alias_module modules/mod_vhost_alias.so
LoadModule negotiation_module modules/mod_negotiation.so
LoadModule dir_module modules/mod_dir.so
#LoadModule imap_module modules/mod_imap.so
LoadModule actions_module modules/mod_actions.so
LoadModule speling_module modules/mod_speling.so
#LoadModule userdir_module modules/mod_userdir.so
LoadModule alias_module modules/mod_alias.so
#LoadModule rewrite_module modules/mod_rewrite.so
### |
Coda
Last edited by codadilupo on Sat Mar 05, 2005 2:53 pm; edited 1 time in total |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Sat Mar 05, 2005 2:50 pm Post subject: |
|
|
ma non hai disattivato i moduli ?
cmq, tanto per rassicurarti, uno degli ip contenuto nei log corrisponde a
| Code: |
pc248-40.kuwait.army.mil.
|
fai una cosa, digita
copia e incolla
| Code: |
CONNECT 207.46.133.140:21 HTTP/1.0
|
premi due volte invio e posta l'output |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Sat Mar 05, 2005 2:55 pm Post subject: |
|
|
| makoomba wrote: | | ma non hai disattivato i moduli ? |
beh, ho commentato come sopra, e ho riavviato apache... credo di si' !
| Quote: | cmq, tanto per rassicurarti, uno degli ip contenuto nei log corrisponde a
| Code: | | pc248-40.kuwait.army.mil. |
|
ah, ora si' che sto piu' tranquillo !
| Quote: | fai una cosa, digita
copia e incolla
| Code: | | CONNECT 207.46.133.140:21 HTTP/1.0 |
premi due volte invio e posta l'output |
ehmm... dove cop'incollo ?
| Code: | telnet tuoip.dynalias.org 80
Trying 84.222.14.18...
telnet: Unable to connect to remote host: Connection refused |
Coda
Last edited by codadilupo on Tue Mar 08, 2005 2:33 am; edited 1 time in total |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Sat Mar 05, 2005 3:00 pm Post subject: |
|
|
| ehm. . . ma che fine ha fatto il tuo server web ? |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Sat Mar 05, 2005 3:07 pm Post subject: |
|
|
| makoomba wrote: | | ehm. . . ma che fine ha fatto il tuo server web ? |
é sempre li'...
| Code: | ping tuoip.dynalias.org
PING tuoip.dynalias.org (84.222.14.18) 56(84) bytes of data.
64 bytes from host-84-222-14-18.cust-adsl.tiscali.it (84.222.14.18): icmp_seq=1 ttl=64 time=0.750 ms
64 bytes from host-84-222-14-18.cust-adsl.tiscali.it (84.222.14.18): icmp_seq=2 ttl=64 time=0.711 ms
64 bytes from host-84-222-14-18.cust-adsl.tiscali.it (84.222.14.18): icmp_seq=3 ttl=64 time=0.762 ms |
Coda
Last edited by codadilupo on Tue Mar 08, 2005 2:34 am; edited 2 times in total |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Sat Mar 05, 2005 3:14 pm Post subject: |
|
|
visto che hai postato l'ip, ho provato io, spero non ti dispiaccia.
sei ok, il server risponde semplicemente con tua la pagina web. |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Sat Mar 05, 2005 3:15 pm Post subject: |
|
|
| makoomba wrote: | visto che hai postato l'ip, ho provato io, spero non ti dispiaccia.
sei ok, il server risponde semplicemente con tua la pagina web. |
ho appena visto... già che ci sei, fatti un giro
P.S.: figurati se mi dispiace: con tutto l'aituo che mi stai dando, poi
Coda |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Sat Mar 05, 2005 3:23 pm Post subject: |
|
|
| codadilupo wrote: |
P.S.: figurati se mi dispiace: con tutto l'aituo che mi stai dando, poi
|
figurati, tanto oggi non ho voglia di lavorare
...
e poi quel nOOb sotto il nick mi irrita. . . . ma quando scatta la promozione ? |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Sat Mar 05, 2005 3:30 pm Post subject: |
|
|
| makoomba wrote: | figurati, tanto oggi non ho voglia di lavorare
... |
eh, beato te... io é un mese che sono a casa, e mi rompendo le balle
| Quote: | | e poi quel nOOb sotto il nick mi irrita. . . . ma quando scatta la promozione ? |
ehmm... boh
Coda |
|
| Back to top |
|
|
X-Drum
Advocate
Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy
|
| Posted: Sat Mar 05, 2005 4:37 pm Post subject: |
|
|
quando non ero dietro firewall e mi connettevo in dial-up o gprs
ricevevo un mucchio di "attacchi"/scansioni che cercavano o richieste
GET maliziose....
ma quello che mi lascio' un po' perplesso fu lo scoprire che azzurra, il popolare
server irc, spammava e nn poco sulla porta 80....
(azzurra si giustifica dicendo che sono controlli eseguiti su ogni client)
EDIT:allora e oggi uso apache in locale solo per lo sviluppo e quindi nn apro mai la porta
all'esterno (forward)
_________________
"...There are two sort of lies, lies and benchmarks..." |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Sat Mar 05, 2005 4:45 pm Post subject: |
|
|
| X-Drum wrote: | quando non ero dietro firewall e mi connettevo in dial-up o gprs
ricevevo un mucchio di "attacchi"/scansioni che cercavano o richieste
GET maliziose.... |
si', ma io almeno in teoria un firewall ce l'ho, anche se chiaramente ho aperto certe porte, tipo la 80
Coda |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Sat Mar 05, 2005 4:59 pm Post subject: |
|
|
un firewall, anche ben configurato, non basta: una buona parte di intrusioni avviene proprio tramite server web
basta una ricerca su google/altavista, un pò di trial and error e beccata l'applicazione scritta con il cul. . . .sedere si sventra il server in 12s netti. |
|
| Back to top |
|
|
X-Drum
Advocate
Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy
|
| Posted: Sat Mar 05, 2005 5:10 pm Post subject: |
|
|
ovvio che hai aperto la 80 lol!!!
quello che intendevo dire è che dato che uso apache solo per
sviluppare in php, tengo ovviamento la 80 chiusa -_-"
_________________
"...There are two sort of lies, lies and benchmarks..." |
|
| Back to top |
|
|
mouser
Veteran
Joined: 10 Aug 2004
Posts: 1419
Location: Milano
|
| Posted: Sat Mar 05, 2005 5:23 pm Post subject: |
|
|
Bhe', un'altra soluzione per far si che gli attacchi siano pressoche' inutili, anche se questa non risolve il problema degli attacchi, e' quella di mettere Apache in una prigione chrootata!!!! Ai tempi lo avevo fatto, ora dovrei rinfrescarmi la memoria, ma in generale si trovano molti howto su come fare!
mouser
[edit]
Se, come mi e' sembrato di capire, il tuo apache gira sotto un pc Debian, puoi dare un'occhiata qui.
E comunque per gentoo, non cambiano molto le cose! |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Sat Mar 05, 2005 5:28 pm Post subject: |
|
|
| mouser wrote: | | Bhe', un'altra soluzione per far si che gli attacchi siano pressoche' inutili, anche se questa non risolve il problema degli attacchi, e' quella di mettere Apache in una prigione chrootata!!!! Ai tempi lo avevo fatto, ora dovrei rinfrescarmi la memoria, ma in generale si trovano molti howto su come fare! |
te vuoi troppo da questa povera testolina
[edit]
Se, come mi e' sembrato di capire, il tuo apache gira sotto un pc Debian, puoi dare un'occhiata qui.
E comunque per gentoo, non cambiano molto le cose![/quote]
ehmm... debian ??????? e quando mai ! Il mio server é gentoo prova a sbagliare un idirizzo nel mio sito e te ne accorgerai
Coda |
|
| Back to top |
|
|
mouser
Veteran
Joined: 10 Aug 2004
Posts: 1419
Location: Milano
|
| Posted: Sat Mar 05, 2005 5:39 pm Post subject: |
|
|
| codadilupo wrote: |
ehmm... debian ??????? e quando mai ! Il mio server é gentoo
|
Chiedo venia 
Comunque in fondo alla pagina c'e' un'articolo piu' generico, ed, in sostanza, altro non e' che creare un "finto" fs all'interno di una directory.
Per esempio, un semplice serie di directory:
| Code: |
# mkdir /home/prigione
# mkdir /home/prigione/bin
# mkdir /home/prigione/lib
# mkdir /home/prigione/usr
# mkdir /home/prigione/share
...
|
Poi installi tutto apache all'interno di questa directory, e sposti le librerie da /lib a /home/prigione/lib, fai si che apache vada ad utilizzare quelle appena copiate e, quandi lanci il webserver, invece che dare
| Code: |
# /sbin/apachectl start
|
da qualcosa di simile a
| Code: |
# chroot /home/prigione '/sbin/apachectl start'
|
Cosi' che apache parta all'interno della prigione!
Ovviamente non e' cosi' semplice tutto il procedimento, ma alla fine altro non si tratta che creare qualche cartella, copiare qualche libreria e basta!
Ciriciao
mouser |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Sat Mar 05, 2005 5:43 pm Post subject: |
|
|
installando mod_security il chroot di apache è estremamente più semplice, qualche passaggio in più per l'invio posta, ma poca roba.
è già un passo in avanti, ma db e siti restano cmq vulnerabili. |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Sat Mar 05, 2005 9:06 pm Post subject: |
|
|
@coda: non ti preoccupare più di tanto. Come ti hanno detto gli altri le scansioni sono all'ordine del giorno. Se vuoi vedere un poco si log ti posso inviare il mio, è circa un anno che ho il server su e di scansioni ne ho subite molte, anche se le tipologie sono quasi sempre le stesse.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
