linux user group brescia
immagine del castello

Archivio della mailing list

Host sotto attacco

andrea gelmini andrea.gelmini a lugbs.linux.it
Ven 28 Dic 2001 00:26:06 UTC 
On dom, dic 23, 2001 at 12:47:33 +0100, Luca Coianiz wrote:
> faro rosso lampeggiante): "vuoi vedere che qualcuno dei miei clienti tenta
> d'inviare una mail ad un utente sconosciuto ed io, come postmaster, mi becco
questi clienti come accedono alle pagine di spedizione? via password, o la
cosa e` aperta a tutti?

>  (A) tentato, senza troppo successo, di aggiornare FormMail alla v1.9
> (purtroppo c'è qualcosa che non va: usandolo nel modo corretto, credo,
> ricevo un Error 500... vabbè),
spiegami esattamente cosa e` 'sto formmail.

>  (B) attivato una restrizione (tramite .htaccess) sulla cgi-bin del server:
> in questo caso l'attacker che usa formmail riceve un Error 401 e la mail ad
> aol.com non viene spedita (mi rimane il dubbio che Apache non riceva qualche
> errore e, per questo, dia il 500).
scusa, ma non fai prima a dare una login/password hai tuoi utenti?

>  (C) aperto una Customer Support c/o il mio Host Provider per vedere se si
> poteva fare qualcosa sia per bloccare gli attacker che per FormMail (nessuna
> risposta per ora).
via difficilmente praticabile, per diverse ragioni (logistiche/etiche)

>  (D) inviato mail agli indirizzi "abuse" e "security" dei domain di
> provenienza dei crackers.
si`, pero' devi dimostrare che questi facessero spam... ora, spedendo il
tutto a indirizzi email fasulli...

>  La mia domanda era questa: dato che conosco perfettamente gli indirizzi
> (virtuale ed IP) dei nodi degli attackers (v. attach), non c'è
> qualche altra contromisura che posso attuare da qui ?.. non so... tipo un
> "contrattacco"... un blocco delle loro porte... un DoS su di loro...
> mandargli un virus... boh.
il contrattacco non ha senso... pino mi flooda, io lo floodo... pino chiama
gino e in due mi floodano...
inoltre, se il loro scopo e` saturarti la rete, acciocche` tu non la possa
usare per i tuoi scopi, usandola per floodarli ti porta a fare il loro
gioco...
per quanto riguarda l'ipotesi del virus lasciamo perdere.

>  Vabbè... scusate la solita "mailona"... che ne pensate ?
che sapendo il loro ip ti sarebbe sufficiente bloccare le loro richieste
con l'equivalente di iptables sotto bsd.

> */logs/access_log
>     [...]    (un attacker che tenta di bucare Win/NT)
> adsl-77-244-11.mia.bellsouth.net - - [02/Dec/2001:15:44:05 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 915
> adsl-77-244-11.mia.bellsouth.net - - [02/Dec/2001:15:44:06 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 915
> adsl-77-244-11.mia.bellsouth.net - - [02/Dec/2001:15:44:06 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 915
> adsl-77-244-11.mia.bellsouth.net - - [02/Dec/2001:15:44:07 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 915
> adsl-77-244-11.mia.bellsouth.net - - [02/Dec/2001:15:44:08 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 915
> adsl-77-244-11.mia.bellsouth.net - - [02/Dec/2001:15:44:09 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 915
questo non e` un attacco consapevole... ovvero, benvenuto nel mondo di
nimda/red code and friends...
se riesci ti conviene contattare il tizio e spiegargli che e` affetto da
virus (oltre che da demenza, visto che le patch di microsoft sono in giro
da mesi).

>     [...]    (questo non l'ho capito: forse un tentativo di overflow)
> aca945a3.ipt.aol.com - - [19/Dec/2001:03:44:21 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 915
si`, tentativo di overflow ma sempre legato a quanto sopra.

>     [...]    (il primo send con formmail: purtroppo a buon fine) :-(
> ip-63-121-116-162.new-castle.de.fcc.net - - [19/Dec/2001:10:22:35 +0200] "GET /cgi-bin/formmail.pl?email=ycb255 a vih957.com&recipient=beithazor a aol.com&subject=http://216.122.100.104/cgi-bin/formmail.pl&message=%0D%0A%0D%0Atime/date:%2003:21:23am%20/%2012/19/2001%0D%0Ahttp://216.122.100.104/cgi-bin/formmail.pl%20is%20valid.%20~vms HTTP/1.0" 200 717
qui non dei dubbi. la cosa puo` essere benissimo intenzionale, pero`
mancano elementi per poterlo giudicare.

>     [...]    (un altro attacker x NT: se ho capito bene ? un virus)
> noc1ntadtest.lightrealm.com - - [19/Dec/2001:12:41:02 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 915
attacker e` proprio un termine orrendo, seppur valido... in ogni caso...
solido virus...

>     [...] (dopo la mia protezione via .htaccess si becca un 401)
sei vuoi qualcosa di + drastico guarda lo script sul mio sito per fermare
il nimda.

> */logs/agent_log
>     [...] (l'agent del cracker che tenta di usare formmail)
vabbe`, ci fai poco...

>  Il referer_log non riporta nulla d'interessante.
si`, in ogni caso interesserebbe poco.


unico vantaggio... chi e` affetto da nimda ha la macchina gia` bella che
sfondata... per cui volendo potresti scegliere di a) informare la persona,
b) fare il bastardo.

ciao,
andrea

Maggiori informazioni sulla lista Lug