# [OT] ho apache da due giorni, e già rompono i maroni...

## codadilupo

scusate tutti per l'ot, ma... secondo voi che significa 'sta roba nell' access_log di apache ?

```
82.51.186.176 - - [05/Mar/2005:13:17:10 +0100] "CONNECT 207.46.133.140:21 HTTP/1.0" 200 8274 "-" "-"

143.81.248.40 - - [05/Mar/2005:14:08:11 +0100] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 1047 "-" "-"

143.81.248.40 - - [05/Mar/2005:14:12:26 +0100] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 1047 "-" "-"
```

apache é in piedi da due giorni, mi sembra come minimo strano subire attacchi o roba simile... ma altrettanto trovo strano che qualcuno si metta a cercare delle dll su gentoo  :Rolling Eyes: 

che cosa puo' aver generato quel messaggio ? tra l'altro ho provato, dal mio pc, a riprodurre l'evento, ma il log é notevolmente differente:

```
192.168.0.110 - - [05/Mar/2005:14:38:06 +0100] "GET /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 1029 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7) Gecko/20041013 Firefox/0.9.3 (Ubuntu)"
```

ergo, come minimo chi ha fatto 'sta cosa ha nascosto il proprio OS e il proprio browser... il che non promette bene..

Coda

----------

## fat_penguin

Non penso ti debba preoccupare piu di tanto. 

Sembra che qualcuno, ma piu probabilmente un qualche scanner automatico, stia testando se qualche host sulla rete sia affetta dal bug MS03-051 ... che direi nel tuo caso non sia un problema visto che usi Linux.

Ad ogni modo, a scanso d'equivoci, per qualche giorno tieni d'occhio i log.

Se invece vuoi "proteggerti" un po di piu dai un occhio a questo: http://www.modsecurity.org/projects/modsecurity/apache/index.html

Personalmente non l'ho mai usato... ma sembra interessante.

byebye

fat_penguin

----------

## codadilupo

 *fat_penguin wrote:*   

> Non penso ti debba preoccupare piu di tanto. 
> 
> Sembra che qualcuno, ma piu probabilmente un qualche scanner automatico, stia testando se qualche host sulla rete sia affetta dal bug MS03-051 ... che direi nel tuo caso non sia un problema visto che usi Linux.
> 
> Ad ogni modo, a scanso d'equivoci, per qualche giorno tieni d'occhio i log.

 

ah, okey... ho provato a cercare un po' in giro, ma fin'ora avevo trovato solo log di altri siti su cui era stato effettuato lo stesso tentativo  :Wink: 

 *Quote:*   

> Se invece vuoi "proteggerti" un po di piu dai un occhio a questo: http://www.modsecurity.org/projects/modsecurity/apache/index.html
> 
> Personalmente non l'ho mai usato... ma sembra interessante.

 

beh, interessante lo é davvero, anche se probabilemente al momento al di sopra delle mie capacità cognitive  :Rolling Eyes: 

Grazie !

Coda

----------

## makoomba

hai attivo mod_proxy ?

----------

## codadilupo

 *makoomba wrote:*   

> hai attivo mod_proxy ?

 

ehmm... che é  :Wink:  ? come lo scopro ? provo a guardare nei file di conf di apache e ti dico...

Coda

----------

## codadilupo

si', direi che é attivo:

```
LoadModule proxy_module                  modules/mod_proxy.so

LoadModule proxy_connect_module          modules/mod_proxy_connect.so

LoadModule proxy_ftp_module              modules/mod_proxy_ftp.so

LoadModule proxy_http_module             modules/mod_proxy_http.so

```

che fo', lo commento ?

Coda

----------

## makoomba

 *codadilupo wrote:*   

> 
> 
> che fo', lo commento ?
> 
> 

 

ecco direi che è una buona idea, visto il response 200 nella prima riga di log.

----------

## codadilupo

 *makoomba wrote:*   

>  *codadilupo wrote:*   
> 
> che fo', lo commento ?
> 
>  
> ...

 

é successo di nuovo... 

```
84.222.166.86 - - [05/Mar/2005:15:23:31 +0100] "CONNECT 207.46.133.140:21 HTTP/1.0" 200 8274 "-" "-"

151.41.164.248 - - [05/Mar/2005:15:42:58 +0100] "CONNECT 207.46.133.140:21 HTTP/1.0" 200 8274 "-" "-"
```

dici che mi stanno usando come proxy ? eppure ho commentato ! ti posto il file apache:

```
### mod_access (Order, Allow, etc..)

### mod_log_config (Transferlog, etc..)

### mod_mime (AddType, etc...)

###

LoadModule access_module                 modules/mod_access.so

LoadModule auth_module                   modules/mod_auth.so

LoadModule auth_anon_module              modules/mod_auth_anon.so

LoadModule auth_dbm_module               modules/mod_auth_dbm.so

LoadModule auth_digest_module            modules/mod_auth_digest.so

LoadModule include_module                modules/mod_include.so

LoadModule log_config_module             modules/mod_log_config.so

LoadModule env_module                    modules/mod_env.so

LoadModule mime_magic_module             modules/mod_mime_magic.so

LoadModule cern_meta_module              modules/mod_cern_meta.so

LoadModule expires_module                modules/mod_expires.so

LoadModule headers_module                modules/mod_headers.so

LoadModule usertrack_module              modules/mod_usertrack.so

LoadModule unique_id_module              modules/mod_unique_id.so

LoadModule setenvif_module               modules/mod_setenvif.so

#LoadModule proxy_module                  modules/mod_proxy.so

#LoadModule proxy_connect_module          modules/mod_proxy_connect.so

#LoadModule proxy_ftp_module              modules/mod_proxy_ftp.so

#LoadModule proxy_http_module            modules/mod_proxy_http.so

LoadModule mime_module                   modules/mod_mime.so

#LoadModule status_module                 modules/mod_status.so

LoadModule autoindex_module              modules/mod_autoindex.so

LoadModule asis_module                   modules/mod_asis.so

#LoadModule info_module                   modules/mod_info.so

#LoadModule cgi_module                    modules/mod_cgi.so

#LoadModule cgid_module                   modules/mod_cgid.so

#LoadModule vhost_alias_module           modules/mod_vhost_alias.so

LoadModule negotiation_module            modules/mod_negotiation.so

LoadModule dir_module                    modules/mod_dir.so

#LoadModule imap_module                   modules/mod_imap.so

LoadModule actions_module                modules/mod_actions.so

LoadModule speling_module                modules/mod_speling.so

#LoadModule userdir_module                modules/mod_userdir.so

LoadModule alias_module                  modules/mod_alias.so

#LoadModule rewrite_module                modules/mod_rewrite.so

###
```

CodaLast edited by codadilupo on Sat Mar 05, 2005 2:53 pm; edited 1 time in total

----------

## makoomba

ma non hai disattivato i moduli ?

cmq, tanto per rassicurarti, uno degli ip contenuto nei log corrisponde a

```

pc248-40.kuwait.army.mil.

```

fai una cosa, digita 

```

telnet tuoip 80

```

copia e incolla

```

CONNECT 207.46.133.140:21 HTTP/1.0

```

premi due volte invio e posta l'output

----------

## codadilupo

 *makoomba wrote:*   

> ma non hai disattivato i moduli ?

 

beh, ho commentato come sopra, e ho riavviato apache... credo di si' !

 *Quote:*   

> cmq, tanto per rassicurarti, uno degli ip contenuto nei log corrisponde a
> 
> ```
> pc248-40.kuwait.army.mil.
> ```
> ...

 

ah, ora si' che sto piu' tranquillo  :Wink:  !

 *Quote:*   

> fai una cosa, digita 
> 
> ```
> telnet tuoip 80
> ```
> ...

 

ehmm... dove cop'incollo  :Wink:  ?

```
 telnet tuoip.dynalias.org 80

Trying 84.222.14.18...

telnet: Unable to connect to remote host: Connection refused
```

CodaLast edited by codadilupo on Tue Mar 08, 2005 2:33 am; edited 1 time in total

----------

## makoomba

ehm. . . ma che fine ha fatto il tuo server web ?

----------

## codadilupo

 *makoomba wrote:*   

> ehm. . . ma che fine ha fatto il tuo server web ?

 

é sempre li'...

```
 ping tuoip.dynalias.org

PING tuoip.dynalias.org (84.222.14.18) 56(84) bytes of data.

64 bytes from host-84-222-14-18.cust-adsl.tiscali.it (84.222.14.18): icmp_seq=1 ttl=64 time=0.750 ms

64 bytes from host-84-222-14-18.cust-adsl.tiscali.it (84.222.14.18): icmp_seq=2 ttl=64 time=0.711 ms

64 bytes from host-84-222-14-18.cust-adsl.tiscali.it (84.222.14.18): icmp_seq=3 ttl=64 time=0.762 ms
```

CodaLast edited by codadilupo on Tue Mar 08, 2005 2:34 am; edited 2 times in total

----------

## makoomba

visto che hai postato l'ip, ho provato io, spero non ti dispiaccia.

sei ok, il server risponde semplicemente con tua la pagina web.

----------

## codadilupo

 *makoomba wrote:*   

> visto che hai postato l'ip, ho provato io, spero non ti dispiaccia.
> 
> sei ok, il server risponde semplicemente con tua la pagina web.

 

ho appena visto... già che ci sei, fatti un giro  :Wink: 

P.S.: figurati se mi dispiace: con tutto l'aituo che mi stai dando, poi  :Wink: 

Coda

----------

## makoomba

 *codadilupo wrote:*   

> 
> 
> P.S.: figurati se mi dispiace: con tutto l'aituo che mi stai dando, poi 
> 
> 

 

figurati, tanto oggi non ho voglia di lavorare  :Wink: 

...

e poi quel nOOb sotto il nick mi irrita. . . . ma quando scatta la promozione ?

----------

## codadilupo

 *makoomba wrote:*   

> figurati, tanto oggi non ho voglia di lavorare 
> 
> ...

 

eh, beato te... io é un mese che sono a casa, e mi rompendo le balle  :Wink: 

 *Quote:*   

> e poi quel nOOb sotto il nick mi irrita. . . . ma quando scatta la promozione ?

 

ehmm... boh  :Wink: 

Coda

----------

## X-Drum

quando non ero dietro firewall e mi connettevo in dial-up o gprs

ricevevo un mucchio di "attacchi"/scansioni che cercavano o richieste

GET maliziose....

ma quello che mi lascio' un po' perplesso fu lo scoprire che azzurra, il popolare

server irc, spammava e nn poco sulla porta 80....

(azzurra si giustifica dicendo che sono controlli eseguiti su ogni client)

EDIT:allora e oggi uso apache in locale solo per lo sviluppo e quindi nn apro mai la porta

all'esterno (forward)

----------

## codadilupo

 *X-Drum wrote:*   

> quando non ero dietro firewall e mi connettevo in dial-up o gprs
> 
> ricevevo un mucchio di "attacchi"/scansioni che cercavano o richieste
> 
> GET maliziose....

 

si', ma io almeno in teoria un firewall ce l'ho, anche se chiaramente ho aperto certe porte, tipo la 80  :Wink: 

Coda

----------

## makoomba

un firewall, anche ben configurato, non basta: una buona parte di intrusioni avviene proprio tramite server web

basta una ricerca su google/altavista, un pò di trial and error e beccata l'applicazione scritta con il cul. . . .sedere si sventra il server in 12s netti.

----------

## X-Drum

ovvio che hai aperto la 80 lol!!!

quello che intendevo dire è che dato che uso apache solo per

sviluppare in php, tengo ovviamento la 80 chiusa -_-"

----------

## mouser

Bhe', un'altra soluzione per far si che gli attacchi siano pressoche' inutili, anche se questa non risolve il problema degli attacchi, e' quella di mettere Apache in una prigione chrootata!!!! Ai tempi lo avevo fatto, ora dovrei rinfrescarmi la memoria, ma in generale si trovano molti howto su come fare!

mouser  :Wink: 

[edit]

Se, come mi e' sembrato di capire, il tuo apache gira sotto un pc Debian, puoi dare un'occhiata qui.

E comunque per gentoo, non cambiano molto le cose!

----------

## codadilupo

 *mouser wrote:*   

> Bhe', un'altra soluzione per far si che gli attacchi siano pressoche' inutili, anche se questa non risolve il problema degli attacchi, e' quella di mettere Apache in una prigione chrootata!!!! Ai tempi lo avevo fatto, ora dovrei rinfrescarmi la memoria, ma in generale si trovano molti howto su come fare!

 

te vuoi troppo da questa povera testolina  :Wink: 

[edit]

Se, come mi e' sembrato di capire, il tuo apache gira sotto un pc Debian, puoi dare un'occhiata qui.

E comunque per gentoo, non cambiano molto le cose![/quote]

ehmm... debian ??????? e quando mai ! Il mio server é gentoo  :Wink:  prova a sbagliare un idirizzo nel mio sito e te ne accorgerai  :Wink: 

Coda

----------

## mouser

 *codadilupo wrote:*   

> 
> 
> ehmm... debian ??????? e quando mai ! Il mio server é gentoo 
> 
> 

 

Chiedo venia  :Embarassed: 

Comunque in fondo alla pagina c'e' un'articolo piu' generico, ed, in sostanza, altro non e' che creare un "finto" fs all'interno di una directory.

Per esempio, un semplice serie di directory:

```

# mkdir /home/prigione

# mkdir /home/prigione/bin

# mkdir /home/prigione/lib

# mkdir /home/prigione/usr

# mkdir /home/prigione/share

...

```

Poi installi tutto apache all'interno di questa directory, e sposti le librerie da /lib a /home/prigione/lib, fai si che apache vada ad utilizzare quelle appena copiate e, quandi lanci il webserver, invece che dare

```

# /sbin/apachectl start

```

da qualcosa di simile a

```

# chroot /home/prigione '/sbin/apachectl start'

```

Cosi' che apache parta all'interno della prigione!

Ovviamente non e' cosi' semplice tutto il procedimento, ma alla fine altro non si tratta che creare qualche cartella, copiare qualche libreria e basta!

Ciriciao

mouser  :Wink: 

----------

## makoomba

installando mod_security il chroot di apache è estremamente più semplice, qualche passaggio in più per l'invio posta, ma poca roba.

è già un passo in avanti, ma db e siti restano cmq vulnerabili.

----------

## gutter

@coda: non ti preoccupare più di tanto. Come ti hanno detto gli altri le scansioni sono all'ordine del giorno. Se vuoi vedere un poco si log ti posso inviare il mio, è circa un anno che ho il server su e di scansioni ne ho subite molte, anche se le tipologie sono quasi sempre le stesse.

----------

## .:chrome:.

 *codadilupo wrote:*   

> 
> 
> ```
> 82.51.186.176 - - [05/Mar/2005:13:17:10 +0100] "CONNECT 207.46.133.140:21 HTTP/1.0" 200 8274 "-" "-"
> 
> ...

 

non ti devi preoccupare di queste cose: sono worm che se ne vanno a spasso per la rete. non dovrebbero darti fastidio, poiché la maggior parte di questi è fatta per IIS.

ad ogni modo dai una letta alla guida di apache http://httpd.apache.org/docs-2.0/ al capitolo che parla di come mettere in sicurezza il server

MOD gutter: cerchiamo di quotare in modo più umano.

----------

## Cazzantonio

 *X-Drum wrote:*   

> ma quello che mi lascio' un po' perplesso fu lo scoprire che azzurra, il popolare
> 
> server irc, spammava e nn poco sulla porta 80....
> 
> (azzurra si giustifica dicendo che sono controlli eseguiti su ogni client)

 

Io ho ricevuto per un periodo (poi ho fatto notare la cosa ed il fenomeno è misteriosamente sparito) dei portscan da degli indirizzi dei dns di tiscali  :Rolling Eyes: 

----------

## neon_old

 *codadilupo wrote:*   

> elianto.dynalias.org

 

[ot]Carino lo script autoindex, mi serviva una cosa simile per un fserver  :Wink: [/ot]

----------

## .:chrome:.

 *Cazzantonio wrote:*   

> Io ho ricevuto per un periodo (poi ho fatto notare la cosa ed il fenomeno è misteriosamente sparito) dei portscan da degli indirizzi dei dns di tiscali 

 

fai una cosa simpatica: installa portsentry e impostalo per chiudele la route agli indirizzi da cui riceviu portscan  :Wink: 

----------

## codadilupo

comincio a preoccuparmi un pochino di piu', ora, pero'...

```
218.106.193.30 - - [07/Mar/2005:18:07:37 +0100] "CONNECT 218.106.193.30:80 HTTP/1.1" 200 8889 "-" "-"

218.106.193.30 - - [07/Mar/2005:18:07:39 +0100] "GET http://www.shenglain.com/ HTTP/1.1" 200 8889 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
```

EDIT:

ragazzi, chi é che fa gli scherzi  :Wink:  ?

```
213.203.183.43 - - [07/Mar/2005:18:45:00 +0100] "GET http://NON TI PREOCCUPARE :) HTTP/1.1" 200 8889 "-" "-"

80.180.31.68 - - [07/Mar/2005:18:45:30 +0100] "GET / HTTP/1.1" 200 8889 "-" "Mozilla/5.0 (compatible; Konqueror/3.2) (KHTML, like Gecko)"
```

Coda

----------

## makoomba

 :Wink: 

----------

## codadilupo

 *makoomba wrote:*   

> 

 

ARRRGHHH ma usi fedora  :Wink:  ?

Coda

----------

## makoomba

no, ero in ssh sul server di un cliente.

cmq, come da log, non ti preoccupare.

il tuo server se ne frega di quello che gli chiedono, risponde sempre con lo script autoindex.

----------

## codadilupo

 *makoomba wrote:*   

> no, ero in ssh sul server di un cliente.

 

Ah, beh, allora  :Wink: 

 *Quote:*   

> cmq, come da log, non ti preoccupare.
> 
> il tuo server se ne frega di quello che gli chiedono, risponde sempre con lo script autoindex.

 

beh, quello c'e', non é che possa risppondere molto di piu'  :Wink: 

una curiosità... come hai fatto a dare una frase senza il classico %20 al posto degli spazi ?

Coda

P.S.: ragazzi, come siamo messi ! : fedora, gente che usa safari su macosx... ma che comunità gentoo é  :Laughing:  ?

----------

## makoomba

 *codadilupo wrote:*   

> 
> 
> una curiosità... come hai fatto a dare una frase senza il classico %20 al posto degli spazi ?
> 
> 

 

ti colleghi in telnet e scrivi quello che vuoi.

di solito faccio qualcosa tipo

```

HaXNuke Rev $3.22 - SHELLCODE by XAXX - BackDoor Inject (SUCCESS) - Listening on Port 80 - httpd 

```

ma tu eri preoccupato, non era il caso

----------

## gutter

 *makoomba wrote:*   

> 
> 
> di solito faccio qualcosa tipo
> 
> ```
> ...

 

Davvero un simpaticone  :Laughing: 

----------

## makoomba

 *gutter wrote:*   

> Davvero un simpaticone 

 

è ironico ?  

è uno scherzo riservato ai soli amici che provvedo a chiamare dopo 30s.

di solito mi becco un "ma Baffa...ulo" alla Galeazzi.

----------

## codadilupo

 *makoomba wrote:*   

>  *gutter wrote:*   Davvero un simpaticone  
> 
> è ironico ?  
> 
> è uno scherzo riservato ai soli amici che provvedo a chiamare dopo 30s.
> ...

 

credo che gutter stesse rotolandosi dalle risate, al solo pensare a chi riceve il tuo messaggio  :Wink: 

Coda

----------

## makoomba

 *codadilupo wrote:*   

> 
> 
> credo che gutter stesse rotolandosi dalle risate, al solo pensare a chi riceve il tuo messaggio 
> 
> 

 

allora chiedo venia  :Embarassed: 

----------

## gutter

 *codadilupo wrote:*   

> 
> 
> credo che gutter stesse rotolandosi dalle risate, al solo pensare a chi riceve il tuo messaggio 
> 
> 

 

Esattamente  :Smile: 

----------

