banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Website bị tấn công !!!  XML
  [Question]   Website bị tấn công !!! 18/02/2007 06:36:12 (+0700) | #1 | 41886
whisper
Member

[Minus]    0    [Plus]
Joined: 01/03/2005 00:47:08
Messages: 10
Offline
[Profile] [PM]
Hi mấy bro,

Website của tôi đang bị tấn công theo dạng sau :

access log:
Code:
221.132.37.217 - - [15/Feb/2007:15:04:07 +0700] "GET / HTTP/1.0" 200 1062 "-" "-"
221.132.37.217 - - [15/Feb/2007:15:04:12 +0700] "SEARCH /\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\...\x90\x90\x90\x90\x90\x90\x90" 414 328 "-" "-"
221.132.37.217 - - [15/Feb/2007:15:04:42 +0700] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 305 "-" "-"

Dấu ... thay thế cho một đoạn rất dài giống nhau.

error log:
Code:
[Thu Feb 15 15:04:12 2007] [error] [client 221.132.37.217] request failed: URI too long (longer than 8190)
[Thu Feb 15 15:04:42 2007] [error] [client 221.132.37.217] File does not exist: /xxx/yyy/zzz/_vti_bin


Tôi search trên web thì đây là dạng tấn công buffer overflow, không ảnh hưởng đến apache nhưng cững chưa yên tâm lắm nên nhờ mấy bro cho ý kiến dùm.

Thanks for reading.
[Up] [Print Copy]
  [Question]   Website bị tấn công !!! 18/02/2007 06:59:03 (+0700) | #2 | 41890
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
nó đang thử làm trản bộ đệm của apache đó mà ( một bug mới liên quan tới Mod_rewrite ảnh hưởng tới các version < 1.1.3 )
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Re: Website bị tấn công !!! 19/02/2007 03:39:28 (+0700) | #3 | 41966
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Nên ấn định: LimitRequestLine 4094 hoặc ít hơn cho bảo đảm. Nếu không thì nên cài mod_security và ấn định giá trị:
SecFilterForceByteRange 1 128 (chẳng hạn) để giới hạn byte value để tránh bị dùng \x90 linux shellcode. Cái này thấy vậy chớ cũng khó chịu vì log file dễ bị "đầy" nhanh lắm.

Thân.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Website bị tấn công !!! 20/02/2007 00:06:47 (+0700) | #4 | 42046
subnetwork
Member

[Minus]    0    [Plus]
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đối với các shell code này sử dụng libsafe hoặc mod_security là ổn nhất .
http://directory.fsf.org/libsafe.html
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com
[Up] [Print Copy]
  [Question]   Website bị tấn công !!! 03/03/2007 04:07:03 (+0700) | #5 | 44215
whisper
Member

[Minus]    0    [Plus]
Joined: 01/03/2005 00:47:08
Messages: 10
Offline
[Profile] [PM]
Hihi, ăn tết đã đời giờ ghé lại vào HVA.

@hackernohat : mình xài apche 2.x , vậy không sao hết rồi.
@conmale : yeah, đã set limit lại bằng 4096 ( số đẹp ) đang chờ nhưng chưa thấy tấn công tiếp nữa. Cái mod_security đang đọc document nên chưa add vô được. Nhân tiện bác có link nào nói về \x90 shell code cho tôi xin để có thêm tí kiến thức !
@Autum : bác đã xài thử cái safemode đó chưa, OK lắm hả?

Thanks tất cả mọi người.
[Up] [Print Copy]
  [Question]   Website bị tấn công !!! 03/03/2007 15:33:33 (+0700) | #6 | 44300
whisper
Member

[Minus]    0    [Plus]
Joined: 01/03/2005 00:47:08
Messages: 10
Offline
[Profile] [PM]
Umh, vừa post bài hồi chiều, check lại thì đã có chú khác mon men đến thăm rồi. Xin gởi các bác để tham khảo ý kiến

Access log
Code:
58.186.91.225 - - [02/Mar/2007:19:06:08 +0700] "OPTIONS / HTTP/1.1" 200 56112 "-" "Microsoft Office Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:09 +0700] "OPTIONS / HTTP/1.1" 200 56112 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:09 +0700] "OPTIONS /showthread.php?t=481 HTTP/1.1" 200 89547 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:10 +0700] "GET /_vti_inf.html HTTP/1.1" 404 296 "-" "Mozilla/4.0 (compatible; MS FrontPage 12.0)"
58.186.91.225 - - [02/Mar/2007:19:06:10 +0700] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 310 "-" "MSFrontPage/12.0"
58.186.91.225 - - [02/Mar/2007:19:06:10 +0700] "OPTIONS / HTTP/1.1" 200 56112 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:10 +0700] "OPTIONS /showthread.php?t=481 HTTP/1.1" 200 89547 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:13 +0700] "HEAD /showthread.php?t=481 HTTP/1.1" 200 - "-" "Microsoft Office Existence Discovery"

222.253.255.228 - - [02/Mar/2007:19:31:50 +0700] "GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=2614&STRMVER=4&CAPREQ=0 HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
222.253.255.228 - - [02/Mar/2007:19:31:50 +0700] "GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=2614&STRMVER=4&CAPREQ=0 HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"


Và error log
Code:
[Fri Mar 02 19:06:10 2007] [error] [client 58.186.91.225] File does not exist: /home/www/web/_vti_inf.html
[Fri Mar 02 19:06:10 2007] [error] [client 58.186.91.225] File does not exist: /home/www/web/_vti_bin

[Fri Mar 02 19:31:50 2007] [error] [client 222.253.255.228] File does not exist: /home/www/web/_vti_bin
[Fri Mar 02 19:31:50 2007] [error] [client 222.253.255.228] File does not exist: /home/www/web/MSOffice


Với http không hiểu tại sao mà dùng option cũng được 1 đống thông tin, dùng option để DDoS web của tôi chắc chết quá.

Với tình hình này chắc phải cài nhanh cái mod_security quá, nhưng mà chưa thử lần nào, sợ cài vào web site cứng ngắc thì phiền ghê.

Thanks for reading.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|