[FUGSPBR] Ataque ao meu Apache

Sp0oKeR Labs spooker em spooker.com.br
Qui Jan 16 09:24:58 BRST 2003


 Bom, quant a linha do default.ida nao precisa se preocupar, mas quanto ao
SSL pode ficar preocupado. Por vocee esta com o openssl muito antigo. De uma
olhada no seu /tmp  , um ls  -la e ve se nao tem nenhum arquivo suspeito.
Outra boa maneira, é tu pegar na packetstormsecurity.org o openssl-too-open
e se auto atacar e ver se seu servidor pode ser facilmente invadido .

                                                                        []z!
Sp0oKeR!


----- Original Message -----
From: "Fabio" <alt13n em ieg.com.br>
To: <fugspbr em fugspbr.org>
Sent: Thursday, January 16, 2003 8:24 AM
Subject: [FUGSPBR] Ataque ao meu Apache


> Pessoal, desculpem o conteudo meio off... preciso de um help
>
> seguinte, tenho um freebsd como servidor de internet e um linux atras
> dele como servidor de arquivos... nesse linux tem também um apache só
> para testes, e (pelo menos agora) estao liberados para apenas um IP
> externo...
>
> apache 1.3.22  em um Conectiva Linux [desculpem! :) ]
>
> até ontem, a regra do firewall estava errada e eu nao tinha percebido,
> só fui ver quando abri o log (access_log) do apache e achei várias
> requisições estranhas, tipo aquelas que vem de exploits para windows, e
> entre elas estava o seguinte:
>
> 61.153.148.209 - - [16/Jan/2003:07:23:52 -0200] "GET
>
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0" 400 327
>
> Tudo bem, parece só uma tentativa de buffer overflow, entre as várias
> outras que encontrei... só pelo fato de que essa era sempre a ultima
> tentativa de cada IP que tentou atacar
> (isso foi ontem)
> aí eu coloquei as regras do firewall num script e beleza...
> hj de manha eu cheguei e descobri que o script nao tinha rodado, e que o
> firewall estava aberto novamente... até aí tudo bem, mas entao eu abri o
> log do apache e vi que hoje só tinha uma tentativa de ataque, que é essa
> aí em cima (está com a data de hoje)
> entao fiquei realmente preocupado...
>
> 1. pelo fato de essa requisição ser sempre a ultima, será que ela nao
> foi bem sucedida?
>
> 2. pelo fato de que hoje só apareceu essa, será que nao quer dizer que o
> 'cara' já sabe e ta se sentindo em casa no meu servidor?
>
> já fechei o firewall agora, está tudo certo, mas estou preocupado... tem
> como eu saber se essa requisição deu buffer overflow no meu apache?
>
> no error_log apareceu o seguinte:
>
> [Thu Jan 16 07:15:36 2003] [notice] Apache/1.3.22 (Unix)
> (Conectiva/Linux) mod_ssl/2.8.5 OpenSSL/0.9.6c configured -- resuming
> normal operations
> [Thu Jan 16 07:15:36 2003] [notice] Accept mutex: sysvsem (Default:
sysvsem)
> [Thu Jan 16 07:23:52 2003] [error] [client 61.153.148.209] Client sent
> malformed Host header
>
> bom,  o firewall esta fechado, mas ja pode ser tarde... alguem pode me
> dar uma força?
>
> Obrigado
> Fabio
>
>
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>


---

Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.443 / Virus Database: 248 - Release Date: 10/1/2003

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd