default.ida uz me se***
Milan Kerslager
milan.kerslager na pslib.cz
Pondělí Červen 16 20:39:16 CEST 2003
On Sat, Jun 14, 2003 at 04:24:04AM +0200, Petr Vileta wrote:
> Uz me vazne zacinaji rozcilovat ty "IDOVE", co se porad snazi na linuxu
> spustit default.ida s podtecenim bufferu. Pred casem tu padaly ruzne navrhy
> a me zaujal ten, ze by se skutecne do rootu webu dal pozadovany soubor , ale
> byl by to treba perlovsky skript, ktery by utocnikovi neco provedl, nejlepe
> to same, o co se pokousi ten cerv, tedy spustit neco u nej. Nechci mu
Zapomente na to. To co vidite, je produkt nejmene nekolika desitek
ruznych skriptu napsanych v ruznych jazycich (nektere pracuji jako viry,
jine se spousteji rucne), ktere ve velkem scanuji cely rozsah IP adres
na Internetu (sam vidim v logach ruznych stroju, jak se "pohybuji").
Jejich princip spociva v tom, ze poslou neco na port 80 a cekaji na
reakci. Pokud dojde standardni HTTP hlavicka, ztraceji zajem, tj.
neimplementuji plny HTTP protokol (proc take, ze ano). Takze (i zde)
doporucovane redirecty jsou k nicemu.
Pokud byste se chtel postavit do rady s temi nevyrovnanymi osobnostmi,
ktere je pisi, pak zkuste neco na "aktivni obranu vedenou jako utok"
napsat, ale uvedomte si, ze souperite s tisici ruznymi platformami,
takze jen tak neco nenapisete.
Krome toho muze byt utocici stroj za maskaradou, takze kontaktovat
budete nejvyse nejaky firewall a na skutecneho "utocnika" se
nedostanete. Na druhe strane muze byt i nekdo na ADSL nebo dial-upu,
tazke mu nemusi na jeho pocitaci bezet *vubec nic*, co nekde posloucha
(takze pripadny protiutok bude bezzuby).
Krome toho budete riskovat protiakci, kdyz si bude nekdo na Vas stezovat
(a vysvetlujte pak, ze jste "mensi hajzlik").
Takze prakticke rady jsou:
1) ignorovat (nejlepsi)
2) omezit na urovni iptables (napr. pomoci portsentry nebo psd)
- po detekci utoku se adresa zabanuje
3) omezit na urovni Apache (Redirect, Location, ...)
- do logu vleze vzdy neco, protoze Apache vzdy zareaguje
(at uz jakymkoliv kodem)
4) nepoustet u sebe Apache
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Linux