6 de Mayo, 2004

Script kiddies y virus: go home!

Si bien es cierto que no nos afectan, que Apache ya tendrá sus propias dolencias, es molesto ver tanta porquería en los logs.

Lo suyo sería filtrar esos "ataque" para que no se registraran entre las peticiones legítimas, pero bueno, seamos más simpáticos :D. En /var/www/conf/httpd.conf:

# anti script-kiddies / viruses
RedirectMatch permanent (.*)cmd.exe(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)root.exe(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/_vti_bin\/(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/scripts\/\.\.(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/_mem_bin\/(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/msadc\/(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/MSADC\/(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/c\/winnt\/(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/d\/winnt\/(.*)$ http://www.microsoft.com

Como dirían los hijos de la Gran Bretaña: self explained.

Me queda aun resolver un ataque a los servicios DAV de cierto sistema operativo, pero resulta más complicado. El ataque emplea de método SEARCH y el recurso pedido es demasiado largo. Parece ser que Apache lo descarta antes de que lo procesemos por esa longitud excesiva.

No obstante sí es buena idea quitar ese ruido de los logs, para que estos no crezcan más rápido de lo deseable por peticiones tan grandes. Por ejemplo, contra este ataque:

# ataques DAV
SetEnvIf Request_Method "SEARCH" dontlog

# para que no registre lo que no nos interesa
CustomLog logs/access_log combined env=!dontlog

Las peticiones más arriba redirigidas se pueden ignorar también en los logs, aunque son más razonables en cuanto a tamaño y no es tan importante eliminarlas.

Anotación por Juan J. Martínez.

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.