Tengo un servidor Apache instalado en FreeBSD y ya estoy cansado de que intenten el típico ataque del IIS. Algunos días han llegado más de 100 intentos.
He introducido la siguiente regla para redireccionar a los graciosos a su propia máquina:
RedirectMatch (.*)cmd.exe(.*)$ http://127.0.0.1
No me convence mucho esta solución, porque lo único que consigue es retrasarles un poco y a continuación siguen con las pruebas. ¿Alguno tiene una idea mejor?
Gracias por adelantado.
Salu2.
opción y es que le notifique que es un Apache aunque eso no quita que exista muchos lamer (seudo aprendices de jaquer), sigan haciendo ataques con los programas comunes que atacan los exploit típicos.
Solo decir que conozco un caso en el cual cuando te conectabas a la maquina te decía que era una SuSe 7.2 la gente seguían atacando los exploit de winnt
un saludin
pd tu opcion es buena
Por mucho que lo notifique siguen intentándolo porque además del servidor http tengo uno https y es bastante gracioso. "Hablan" a los dos servidores de la misma manera, por lo que el https se descojona de la risa porque no entiende nada de lo que le dice. Yo creo que eso ya dice algo de los conocimientos que tienen.
Antes de que telefónica pusiera el proxy la cosa era más sencilla porque directamente les podrías cerrar el acceso desde un firewall utilizando una regla que ejecutara un script, pero ahora no es posible.
Gracias por la respuesta.
Salu2.
¿No seran ataques automaticos de los gusanos estos famosillos que nunca se van a acabar?
Son ataques automáticos.
¿Sabes si el proxy de telefonica envia en las cabeceras la ip original de quien esta tratando de acceder a tu pagina?
Digo esto por que en algunas ocasiones los proxyes lo hacen, hay una cabecera que se llama HTTP_X_FORWARDED_FOR que te da la ip original de quien se esta conectando a traves del proxy, ignoro si esto ultimo lo hace el proxy de telefonica por que estoy con ono, pero es muy posible que asi sea, si es asi, ya tendrias un medio en el apache para bloquear automaticamente a quien te hace los escaneos.
ENVIRONMENTVALUE
GATEWAY_INTERFACECGI/1.1
HTTP_ACCEPTtext/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,video/x-mng,image/png,image/jpeg,image/gif;q=0.2,text/css,*/*;q=0.1
HTTP_ACCEPT_CHARSETISO-8859-1, utf-8;q=0.66, *;q=0.66
HTTP_ACCEPT_ENCODINGgzip, deflate
HTTP_ACCEPT_LANGUAGEen-us, en;q=0.50
HTTP_CACHE_CONTROLmax-age=259200
HTTP_CONNECTIONkeep-alive
HTTP_HOSTaatools.virtualave.net
HTTP_USER_AGENTMozilla/5.0 (Linux; es_ES; rv:1.0.2) Gecko/20030208 Netscape/7.02
HTTP_VIA1.0 gauss:3128 (Squid/2.4.STABLE6), 1.0 MA-C6100-A (NetCache NetApp/5.2.1R2D1)
HTTP_X_FORWARDED_FOR192.168.1.2, 81.203.x.x
QUERY_STRING
REMOTE_ADDR62.42.228.6
REMOTE_PORT4496
REQUEST_METHODGET
SCRIPT_URIhttp://aatools.virtualave.net/cgi-bin/jenv.cgi
SCRIPT_URL/cgi-bin/jenv.cgi
esto es una captura de un cgi que te da entre otras esa cabecera, lo puedes ver en:
(link roto)
Con esto puedes comprobar si el proxy de telefonica te manda esos datos.
Como ves yo uso el squid y el squid envia en la cabecera tanto la ip publica de el ordenador que hacer fisicamente la conexion, como la ip de la red local que la origina realmente.
Porque como apuntaba por allí arriba, intentan atacar también por el puerto HTTPS y ese NO SUELE ir cacheado por los proxys. Por lo que tengo las direcciones IP desde donde se inician los intentos.
De todas las maneras, voy a ver si miro un poco mejor la generación de logs del apache para que me incluya más cabeceras. Porque sí que envía la cabecera con la dirección IP del cliente (gracias por la dirección).
De momento no se ponen demasiado pesados. Quiero decir, que no siempre llegan desde el mismo sitio. Voy a ver si me curro un script que se ejecute automáticamente cuando se detecte el ataque y cierre la conexiones con esas direcciones desde el firewall o incluso desde el propio router. Aunque con lo perro que soy, me tiraré meses :-( .
Salu2 y gracias.
