PDA

Ver la versión completa : descubrir atacante



contumacia
29-05-2004, 18:03
Pues la pregunta es esta, a ver si me la responden, ¿cómo puedo conocer la dirección ip de quien envía una línea ciertamente larga a mi apache?
En el access.log me aparece el mismo largo código pero desde una ip diferente cada vez. He supuesto que es siempre la misma persona por dos motivos:
-El identificador de navegador es siempre "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" independientemente de la ip que aparezca
-Siempre es el mismo código¿?

¿Puedo saber la ip real de estos intentos de "conexión"?

Esto es lo que me aparece en el access.log
217.217.xxx.xx - - [26/May/2004:23:26:09 +0200] "SEARCH /\x90\x02\xb1\x02\...etc...x90\x90" 414 349 "-" "-"

¿Guarda el final de la línea alguna relación con la ip real de quien intenta esto?
¿Podría ser un virus o algún código automatizado?

¿Cómo puedo hacer para averiguar quien es? :mad:

Gracias. No duden en mover el post a donde mejor encaje.

TseTse
29-05-2004, 20:17
De esos tb tengo yo en la colección de mi apache, el ultimo el mismo día que tú y media hora antes....

213.89.xx.xx - - [26/May/2004:22:55:33 +0200] "SEARCH /\x90\x02\xb1\x02\xb1\x02\

No tienes mucho de que preocuparte, ya que es el exploit del WebDAV que afecta a los Windows con IIS. Esa vulnerabilidad también la usan algunos virus como el AGOBOT (creo que este era uno de los que la usaban). Por lo tanto, bien puede haber sido alguien buscando esa vulnerabilidad o un ordenador infectado buscando más ordenadores para infectar por esa vía.

TseTse

Almorca
29-05-2004, 22:16
Quiero instalar un servidor Apache 2.0.48 bajo Windows XP. Tengo que hacer algo para que ese exploit del que hablas no afecte a mi Apache.
Si de paso me podéis dar alguna recomendación de configuracción seguridad y demás os estaría muy agradecidos.

contumacia
30-05-2004, 00:23
Gracias Tse Tse, suponía mal al creer que provenían de una misma dirección. Parece ser que hay bastante actividad ... Con elequispé en cuestión de segundos me he visto desbordado :eek: pero veo que no es el caso :)

TseTse
30-05-2004, 03:02
Quiero instalar un servidor Apache 2.0.48 bajo Windows XP. Tengo que hacer algo para que ese exploit del que hablas no afecte a mi Apache.
Si de paso me podéis dar alguna recomendación de configuracción seguridad y demás os estaría muy agradecidos.

Que yo sepa, afecta a sistemas Windows con el IIS instalado (que no apache) aunque si lo configuras apache+webdav no te puedo decir.

La verdad que instalarse un server en el ordenador personal conlleva a unos riesgos considerables. Aquí tienes unos tips para el apache: http://httpd.apache.org/docs/misc/security_tips.html http://modperl.com:9000/perl_conference/apache_security/

El Apache que te quieres instalar tiene vulnerabilidades, que se solucion con el Apache 2.0.49.

TseTse