|
|
|
![]() |
|
Strumenti |
![]() |
#1 |
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
error log Apache e attacchi
Ciao,
sto iniziando a studiare, scopo cultura generale, ![]() ![]() Tra i vari accessi e attacchi che trovo nei logs di Apache mi ha incuriosito questo: [Thu Jun 16 22:29:30 2005] [error] [client 70.242.194.174] File does not exist: e:/www/scripts/..%5c%5c/winnt/system32/cmd.exe Mi sapete spiegare cosa ha tentato di fare questo (70.242.194.174) tizio?
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
![]() |
![]() |
![]() |
#2 |
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
uppo perchè era già finito in terza pagina ![]()
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
![]() |
![]() |
![]() |
#3 |
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
![]() ![]()
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
![]() |
![]() |
![]() |
#4 |
Senior Member
Iscritto dal: Jul 2002
Città: Milano
Messaggi: 19148
|
a occhio sembra un tentativo di buffer overflow per aprire una shell (bah, chiamare shell quella roba di windows...).
non con che privilegi gira apache in windows ma potrebbero essere di amministratore |
![]() |
![]() |
![]() |
#5 | |
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Quote:
![]() grazie per i chiarimenti che mi stai dando, anche nell'altro post. Come dicevo sto facendo delle prove kamikaze con una macchina allestita allo scopo, perciò sto facendo girare tutto con diritti di amministratore ![]() Premetto di essere un assoluto novizio riguardo la "logica Linux e C." Conosco a malapena Knoppix e IPCop. Vorrei solo capire (per un eventuale utilizzo serio in futuro) a quali problemi si va incontro mantenendo un webserver (visibile da internet) sulla mia rete. Tornando all'attacco ricevuto... se ho capito bene, pare che il tizio, lanciando il comando "cmd.exe" (la shell ![]() Naturalmente il log ha restituito un messaggio di errore perchè la dentro non c'è nessuno script ma solo pagine html statiche... Ho capito bene?
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
![]() |
![]() |
![]() |
#6 |
Senior Member
Iscritto dal: Jul 2002
Città: Milano
Messaggi: 19148
|
non conosco apache quindi ho solo ipotizzato il tipo di attacco
il principio del buffer overflow, che ho ipotizzato, è questo: c'è un buffer di grandezza N al quale arrivano dati in input. se tu mandi una stringa lunga più di N caratteri e non c'è controllo da parte del programma la parte che eccede gli N caratteri sovrascrive parti di codice. l'attacco fa in modo che, sovrascrivendo una parte del codice, vengano eseguite delle particolari operazioni. in quel caso si voleva eseguire il comando cmd.exe in modo da ottenere la "shell" di windows non so però come hanno sfruttato (o meglio, tentato di sfruttare) questo buffer overflow. forse basta richiedere una URL formattata in un certo modo il rischio è che aprendo cmd.exe l'attaccante possa fare di tutto. la "shell" di windows farà anche schifo ma intanto uno può cancellare file, eseguire programmi ecc. |
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 15:56.