default.ida uz me se***

Milan Kerslager milan.kerslager na pslib.cz
Pondělí Červen 16 20:39:16 CEST 2003


On Sat, Jun 14, 2003 at 04:24:04AM +0200, Petr Vileta wrote:
> Uz me vazne zacinaji rozcilovat ty "IDOVE", co se porad snazi na linuxu
> spustit default.ida s podtecenim bufferu. Pred casem tu padaly ruzne navrhy
> a me zaujal ten, ze by se skutecne do rootu webu dal pozadovany soubor , ale
> byl by to treba perlovsky skript, ktery by utocnikovi neco provedl, nejlepe
> to same, o co se pokousi ten cerv, tedy spustit neco u nej. Nechci mu

Zapomente na to. To co vidite, je produkt nejmene nekolika desitek
ruznych skriptu napsanych v ruznych jazycich (nektere pracuji jako viry,
jine se spousteji rucne), ktere ve velkem scanuji cely rozsah IP adres
na Internetu (sam vidim v logach ruznych stroju, jak se "pohybuji").

Jejich princip spociva v tom, ze poslou neco na port 80 a cekaji na
reakci. Pokud dojde standardni HTTP hlavicka, ztraceji zajem, tj.
neimplementuji plny HTTP protokol (proc take, ze ano). Takze (i zde)
doporucovane redirecty jsou k nicemu.

Pokud byste se chtel postavit do rady s temi nevyrovnanymi osobnostmi,
ktere je pisi, pak zkuste neco na "aktivni obranu vedenou jako utok"
napsat, ale uvedomte si, ze souperite s tisici ruznymi platformami,
takze jen tak neco nenapisete.

Krome toho muze byt utocici stroj za maskaradou, takze kontaktovat
budete nejvyse nejaky firewall a na skutecneho "utocnika" se
nedostanete. Na druhe strane muze byt i nekdo na ADSL nebo dial-upu,
tazke mu nemusi na jeho pocitaci bezet *vubec nic*, co nekde posloucha
(takze pripadny protiutok bude bezzuby).

Krome toho budete riskovat protiakci, kdyz si bude nekdo na Vas stezovat
(a vysvetlujte pak, ze jste "mensi hajzlik").

Takze prakticke rady jsou:

1) ignorovat (nejlepsi)
2) omezit na urovni iptables (napr. pomoci portsentry nebo psd)
   - po detekci utoku se adresa zabanuje
3) omezit na urovni Apache (Redirect, Location, ...)
   - do logu vleze vzdy neco, protoze Apache vzdy zareaguje
     (at uz jakymkoliv kodem)
4) nepoustet u sebe Apache

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/


Další informace o konferenci Linux