| View previous topic :: View next topic |
| Author |
Message |
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4810
Location: http://www.gentoo-users.org/user/cloc3/
|
 Posted: Wed Jan 25, 2006 1:50 pm Post subject: |
 |
|
Adesso che ho configurato un apache con mod_security, trovo spesso nei log questo tipo di commento:
| Code: |
[Wed Jan 25 07:33:14 2006] [error] [client 209.139.229.78] mod_security: Access denied with code 500. Pattern match "^$" at HEADER [uri "/sumthin"]
|
È un tentativo di aggressione? Sbaglio oppure il carattere "^$" rappresenta un carattere di fine linea? Perché ad apache potrebbe dare fastidio?
In genere, il client che lancia la presunta aggressione fa alcuni tentativi e poi smette.
Oppure lo ficco in /etc/hosts.deny . È una reazione eccessiva?
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
 |
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Wed Jan 25, 2006 7:08 pm Post subject: |
|
|
"^$" = linea vuota
vuol dire che il client non ha fornito alcuni headers (ad esempio HTTP_USER_AGENT), quindi è molto probabile che sia un qualche script automatizzato.
_________________
When all else fails, read the instructions. |
|
| Back to top |
|
|
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4810
Location: http://www.gentoo-users.org/user/cloc3/
|
| Posted: Fri Jul 13, 2007 1:02 pm Post subject: |
|
|
| Code: |
s939 ~ # grep -rH 82.55.92.105 /var/log/apache2/error_log |wc -l
4383
s939 ~ # hostx 82.55.92.105
Nameserver not responding
82.55.92.105 PTR record not found, try again
|
non male, come numero di tentativi di accesso bloccati da modsecurity.
ancora, cerca di fare cose non tanto simpatiche, e prova a cammuffarsi da googlebot:
| Code: |
s939 ~ # grep -rH 82.55.92.105 /var/log/apache2/error_log |grep passwd|grep google
/var/log/apache2/error_log:[Sun Jul 08 13:25:04 2007] [error] [client 82.55.92.105] ModSecurity: Access denied with code 400 (phase 2). Found 1 byte(s) outside range: 1-255. [id "960901"] [msg "Invalid character in request"] [severity "WARNING"] [hostname "host45-238-dynamic.14-87-r.retail.telecomitalia.it"] [uri "/cgi-bin/googlesearch/GoogleSearch.php?APP[path][lib]=/etc/passwd%00"] [unique_id "dMIPHKwQyIAAAFnNVAoAAAAC"]
|
qualcuno sa chi è o cosa vuole?
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
|
Ferdinando
Veteran
Joined: 25 Nov 2003
Posts: 1027
Location: Gaeta (LT) - Italy
|
| Posted: Fri Jul 13, 2007 1:10 pm Post subject: |
|
|
| cloc3 wrote: | | qualcuno sa chi è o cosa vuole? |
Aspirante hacker napoletano con contratto telecom, a occhio (whois)
_________________
La risposta, non la devi cercare fuori, la devi cercare dentro di te: e però è SBAGLIATA!
-- Corrado Guzzanti, "Pippo Chennedy Show", 1997 |
|
| Back to top |
|
|
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4810
Location: http://www.gentoo-users.org/user/cloc3/
|
| Posted: Fri Jul 13, 2007 1:19 pm Post subject: |
|
|
| Ferdinando wrote: | | (whois) |
bello. e adesso cosa si fa di lui?
a chi è bene segnalare?
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Fri Jul 13, 2007 1:25 pm Post subject: |
|
|
| cloc3 wrote: | | Ferdinando wrote: | | (whois) |
bello. e adesso cosa si fa di lui?
a chi è bene segnalare? |
Visto che il suo provider sembra essere telecom dovresti mandare una mail ad abuse, di più non so se si possa fare (dubito che esista il reato di tentato accesso a sistema informatico ma potrei sbagliarmi).
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
|
Forum italiano (Italian) 
