error log Apache e attacchi

wgator · 17-06-2005, 15:14

Ciao,

sto iniziando a studiare, scopo cultura generale,

il funzionamento di un server Apache (su win2000 pro) che ho installato su un vecchio pc in disuso

Tra i vari accessi e attacchi che trovo nei logs di Apache mi ha incuriosito questo:

[Thu Jun 16 22:29:30 2005] [error] [client 70.242.194.174] File does not exist: e:/www/scripts/..%5c%5c/winnt/system32/cmd.exe

Mi sapete spiegare cosa ha tentato di fare questo (70.242.194.174) tizio?

wgator · 17-06-2005, 22:04

Ciao,

uppo perchè era già finito in terza pagina

wgator · 19-06-2005, 11:34

ri-up

recoil · 19-06-2005, 11:42

a occhio sembra un tentativo di buffer overflow per aprire una shell (bah, chiamare shell quella roba di windows...).
non con che privilegi gira apache in windows ma potrebbero essere di amministratore

wgator · 19-06-2005, 12:16

Quote:

Originariamente inviato da recoil

a occhio sembra un tentativo di buffer overflow per aprire una shell (bah, chiamare shell quella roba di windows...).
non con che privilegi gira apache in windows ma potrebbero essere di amministratore

Ciao Recoil

grazie per i chiarimenti che mi stai dando, anche nell'altro post. Come dicevo sto facendo delle prove kamikaze con una macchina allestita allo scopo, perciò sto facendo girare tutto con diritti di amministratore

Premetto di essere un assoluto novizio riguardo la "logica Linux e C." Conosco a malapena Knoppix e IPCop.

Vorrei solo capire (per un eventuale utilizzo serio in futuro) a quali problemi si va incontro mantenendo un webserver (visibile da internet) sulla mia rete.

Tornando all'attacco ricevuto... se ho capito bene, pare che il tizio, lanciando il comando "cmd.exe" (la shell

) abbia tentato di attivare degli "script" dentro alla cartella (e:/www/scripts/) dove custodisco il sito di prova.

Naturalmente il log ha restituito un messaggio di errore perchè la dentro non c'è nessuno script ma solo pagine html statiche...

Ho capito bene?

recoil · 20-06-2005, 19:29

non conosco apache quindi ho solo ipotizzato il tipo di attacco

il principio del buffer overflow, che ho ipotizzato, è questo:
c'è un buffer di grandezza N al quale arrivano dati in input. se tu mandi una stringa lunga più di N caratteri e non c'è controllo da parte del programma la parte che eccede gli N caratteri sovrascrive parti di codice. l'attacco fa in modo che, sovrascrivendo una parte del codice, vengano eseguite delle particolari operazioni.
in quel caso si voleva eseguire il comando cmd.exe in modo da ottenere la "shell" di windows

non so però come hanno sfruttato (o meglio, tentato di sfruttare) questo buffer overflow. forse basta richiedere una URL formattata in un certo modo

il rischio è che aprendo cmd.exe l'attaccante possa fare di tutto. la "shell" di windows farà anche schifo ma intanto uno può cancellare file, eseguire programmi ecc.

17-06-2005, 15:14	#1
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	error log Apache e attacchi Ciao, sto iniziando a studiare, scopo cultura generale, il funzionamento di un server Apache (su win2000 pro) che ho installato su un vecchio pc in disuso Tra i vari accessi e attacchi che trovo nei logs di Apache mi ha incuriosito questo: [Thu Jun 16 22:29:30 2005] [error] [client 70.242.194.174] File does not exist: e:/www/scripts/..%5c%5c/winnt/system32/cmd.exe Mi sapete spiegare cosa ha tentato di fare questo (70.242.194.174) tizio? __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

17-06-2005, 22:04	#2
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, uppo perchè era già finito in terza pagina __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

19-06-2005, 11:34	#3
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	ri-up __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

19-06-2005, 11:42	#4
recoil Senior Member Iscritto dal: Jul 2002 Città: Milano Messaggi: 19149	a occhio sembra un tentativo di buffer overflow per aprire una shell (bah, chiamare shell quella roba di windows...). non con che privilegi gira apache in windows ma potrebbero essere di amministratore

20-06-2005, 19:29	#6
recoil Senior Member Iscritto dal: Jul 2002 Città: Milano Messaggi: 19149	non conosco apache quindi ho solo ipotizzato il tipo di attacco il principio del buffer overflow, che ho ipotizzato, è questo: c'è un buffer di grandezza N al quale arrivano dati in input. se tu mandi una stringa lunga più di N caratteri e non c'è controllo da parte del programma la parte che eccede gli N caratteri sovrascrive parti di codice. l'attacco fa in modo che, sovrascrivendo una parte del codice, vengano eseguite delle particolari operazioni. in quel caso si voleva eseguire il comando cmd.exe in modo da ottenere la "shell" di windows non so però come hanno sfruttato (o meglio, tentato di sfruttare) questo buffer overflow. forse basta richiedere una URL formattata in un certo modo il rischio è che aprendo cmd.exe l'attaccante possa fare di tutto. la "shell" di windows farà anche schifo ma intanto uno può cancellare file, eseguire programmi ecc.

Strumenti
Mostra una versione stampabile Invia questa pagina per email