Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
97 lecturas y 7 respuestas
  • Cerrado

    CANSADO DE ATAQUES IIS EN MI APACHE

    Tengo un servidor Apache instalado en FreeBSD y ya estoy cansado de que intenten el típico ataque del IIS. Algunos días han llegado más de 100 intentos.

    He introducido la siguiente regla para redireccionar a los graciosos a su propia máquina:

    RedirectMatch (.*)cmd.exe(.*)$ http://127.0.0.1

    No me convence mucho esta solución, porque lo único que consigue es retrasarles un poco y a continuación siguen con las pruebas. ¿Alguno tiene una idea mejor?

    Gracias por adelantado.
    Salu2.

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    • Cerrado

      opción y es que le notifique que es un Apache aunque eso no…

      opción y es que le notifique que es un Apache aunque eso no quita que exista muchos lamer (seudo aprendices de jaquer), sigan haciendo ataques con los programas comunes que atacan los exploit típicos.
      Solo decir que conozco un caso en el cual cuando te conectabas a la maquina te decía que era una SuSe 7.2 la gente seguían atacando los exploit de winnt

      un saludin

      pd tu opcion es buena

      • Cerrado

        Por mucho que lo notifique siguen intentándolo porque además…

        Por mucho que lo notifique siguen intentándolo porque además del servidor http tengo uno https y es bastante gracioso. "Hablan" a los dos servidores de la misma manera, por lo que el https se descojona de la risa porque no entiende nada de lo que le dice. Yo creo que eso ya dice algo de los conocimientos que tienen.

        Antes de que telefónica pusiera el proxy la cosa era más sencilla porque directamente les podrías cerrar el acceso desde un firewall utilizando una regla que ejecutara un script, pero ahora no es posible.

        Gracias por la respuesta.
        Salu2.

        • Cerrado

          ¿Sabes si el proxy de telefonica envia en las cabeceras la ip…

          ¿Sabes si el proxy de telefonica envia en las cabeceras la ip original de quien esta tratando de acceder a tu pagina?

          Digo esto por que en algunas ocasiones los proxyes lo hacen, hay una cabecera que se llama HTTP_X_FORWARDED_FOR que te da la ip original de quien se esta conectando a traves del proxy, ignoro si esto ultimo lo hace el proxy de telefonica por que estoy con ono, pero es muy posible que asi sea, si es asi, ya tendrias un medio en el apache para bloquear automaticamente a quien te hace los escaneos.

          ENVIRONMENTVALUE

          GATEWAY_INTERFACECGI/1.1
          HTTP_ACCEPTtext/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,video/x-mng,image/png,image/jpeg,image/gif;q=0.2,text/css,*/*;q=0.1
          HTTP_ACCEPT_CHARSETISO-8859-1, utf-8;q=0.66, *;q=0.66
          HTTP_ACCEPT_ENCODINGgzip, deflate
          HTTP_ACCEPT_LANGUAGEen-us, en;q=0.50
          HTTP_CACHE_CONTROLmax-age=259200

          HTTP_CONNECTIONkeep-alive
          HTTP_HOSTaatools.virtualave.net
          HTTP_USER_AGENTMozilla/5.0 (Linux; es_ES; rv:1.0.2) Gecko/20030208 Netscape/7.02
          HTTP_VIA1.0 gauss:3128 (Squid/2.4.STABLE6), 1.0 MA-C6100-A (NetCache NetApp/5.2.1R2D1)
          HTTP_X_FORWARDED_FOR192.168.1.2, 81.203.x.x
          QUERY_STRING

          REMOTE_ADDR62.42.228.6
          REMOTE_PORT4496
          REQUEST_METHODGET
          SCRIPT_URIhttp://aatools.virtualave.net/cgi-bin/jenv.cgi
          SCRIPT_URL/cgi-bin/jenv.cgi

          esto es una captura de un cgi que te da entre otras esa cabecera, lo puedes ver en:

          aatools.virtualave.net/cgi-bin/jenv.cgi
          Con esto puedes comprobar si el proxy de telefonica te manda esos datos.
          Como ves yo uso el squid y el squid envia en la cabecera tanto la ip publica de el ordenador que hacer fisicamente la conexion, como la ip de la red local que la origina realmente.

          • Cerrado

            Porque como apuntaba por allí arriba, intentan atacar también…

            Porque como apuntaba por allí arriba, intentan atacar también por el puerto HTTPS y ese NO SUELE ir cacheado por los proxys. Por lo que tengo las direcciones IP desde donde se inician los intentos.

            De todas las maneras, voy a ver si miro un poco mejor la generación de logs del apache para que me incluya más cabeceras. Porque sí que envía la cabecera con la dirección IP del cliente (gracias por la dirección).

            De momento no se ponen demasiado pesados. Quiero decir, que no siempre llegan desde el mismo sitio. Voy a ver si me curro un script que se ejecute automáticamente cuando se detecte el ataque y cierre la conexiones con esas direcciones desde el firewall o incluso desde el propio router. Aunque con lo perro que soy, me tiraré meses :-( .

            Salu2 y gracias.

            • Cerrado

              Esa es la facilidad que se tiene con los derivados unix, sin…

              Esa es la facilidad que se tiene con los derivados unix, sin embargo en windows como un programa que uses no te haga algo, lo tienes muy chungo para arreglarlo :).