[FUGSPBR] Ataque ao meu Apache

Capriotti capriotti em fugspbr.org
Qui Jan 16 10:13:16 BRST 2003 

Olha... Máquinas suspeitas de invasão são máquinas condenadas.

Elas têm que ter dia e hora para morrer. Serem formatadas e reinstaladas !

Assim simples, a não ser que VC queira perder horas e horas procurando onde 
e o que foi feito, SE foi feito.

[]s


At 07:24 AM 1/16/2003, you wrote:
>Pessoal, desculpem o conteudo meio off... preciso de um help
>
>seguinte, tenho um freebsd como servidor de internet e um linux atras dele 
>como servidor de arquivos... nesse linux tem também um apache só para 
>testes, e (pelo menos agora) estao liberados para apenas um IP externo...
>
>apache 1.3.22  em um Conectiva Linux [desculpem! :) ]
>
>até ontem, a regra do firewall estava errada e eu nao tinha percebido, só 
>fui ver quando abri o log (access_log) do apache e achei várias 
>requisições estranhas, tipo aquelas que vem de exploits para windows, e 
>entre elas estava o seguinte:
>
>61.153.148.209 - - [16/Jan/2003:07:23:52 -0200] "GET 
>/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 
>
>HTTP/1.0" 400 327
>
>Tudo bem, parece só uma tentativa de buffer overflow, entre as várias 
>outras que encontrei... só pelo fato de que essa era sempre a ultima 
>tentativa de cada IP que tentou atacar
>(isso foi ontem)
>aí eu coloquei as regras do firewall num script e beleza...
>hj de manha eu cheguei e descobri que o script nao tinha rodado, e que o 
>firewall estava aberto novamente... até aí tudo bem, mas entao eu abri o 
>log do apache e vi que hoje só tinha uma tentativa de ataque, que é essa 
>aí em cima (está com a data de hoje)
>entao fiquei realmente preocupado...
>
>1. pelo fato de essa requisição ser sempre a ultima, será que ela nao foi 
>bem sucedida?
>
>2. pelo fato de que hoje só apareceu essa, será que nao quer dizer que o 
>'cara' já sabe e ta se sentindo em casa no meu servidor?
>
>já fechei o firewall agora, está tudo certo, mas estou preocupado... tem 
>como eu saber se essa requisição deu buffer overflow no meu apache?
>
>no error_log apareceu o seguinte:
>
>[Thu Jan 16 07:15:36 2003] [notice] Apache/1.3.22 (Unix)
>(Conectiva/Linux) mod_ssl/2.8.5 OpenSSL/0.9.6c configured -- resuming 
>normal operations
>[Thu Jan 16 07:15:36 2003] [notice] Accept mutex: sysvsem (Default: sysvsem)
>[Thu Jan 16 07:23:52 2003] [error] [client 61.153.148.209] Client sent 
>malformed Host header
>
>bom,  o firewall esta fechado, mas ja pode ser tarde... alguem pode me dar 
>uma força?
>
>Obrigado
>Fabio
>
>
>_______________________________________________________________
>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd