Re: [Sop.Tec.LinuxPPP] Bloqueando Nimda/Redcode con Apache

To: linux en linuxppp com
Subject: Re: [Sop.Tec.LinuxPPP] Bloqueando Nimda/Redcode con Apache
From: Ulises Ponce <ulises en mail banirh com>
Date: Fri, 18 Jan 2002 13:06:06 -0600
In-reply-to: Your message of "18 Jan 2002 11:41:25 CST." <1011375688.4872.35.camel@linux.linuxparatodos.com.mx>
Reply-to: linux en linuxppp com
Sender: owner-linux en pepe net mx

Otra opcion es, tambien en httpd.conf:

# Flag requests for URIs containing known strings from
# Nimda-like worms (including Code Red, sadmind/IIS)
# Note that the patterns below are regexes; escape your dots!

SetEnvIf Request_URI "/winnt/system32/cmd\.exe" nimda
SetEnvIf Request_URI "/scripts/root\.exe" nimda
SetEnvIf Request_URI "/MSADC/root\.exe" nimda
SetEnvIf Request_URI "/\.\." nimda
SetEnvIf Request_URI "\.\./" nimda

CustomLog /var/log/httpd/access_log common env=!nimda

-- 

Saludos,
Ulises

Speaking words of wisdom ...

> A quien le interese bloquear los ataques de RedCode y Nimda (que vaya
> que saturan los registros de apache) se pueden añadir las siguientes
> líneas en /etc/httpd/conf/httpd.conf
> 
> <IfModule mod_alias.c>
> RedirectMatch (.*)\root.exe$ http://urlinvalido.invalido$1
> RedirectMatch (.*)\cmd.exe$ http://urlinvalido.invalido$1
> RedirectMatch (.*)\cmd1.exe$ http://urlinvalido.invalido$1
> </IfModule>
> 
> ¿Que hace esto? Cuando hay una peticiones hacia alguno de los patrones
> de Nimda o Red Code (todos contienen root.exe o cmd.exe), como serían:
> 
> /scripts/root.exe?/c+dir
> /MSADC/root.exe?/c+dir
> /c/winnt/system32/cmd.exe?/c+dir
> /d/winnt/system32/cmd.exe?/c+dir
> /scripts/..%255c../winnt/system32/cmd.exe?/c+dir
> /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> Etc.
> 
> Estos se re-direccionan hacia http://urlinvalido.invalido, donde no
> causarán molestia a servidor alguno.
> 
> -- 
> Un cordial saludo.
> 
> Joel Barrios Dueñas
> Dirección general Linux Para Todos
> Tel: 01-55-5684-5082
> ICQ: 54679287
> YIM: Darkshram
> AOL: Darkshram
> jbarrios en linuxparatodos com
> webmaster en linuxparatodos com
> jbarrios en avantel net
> http://www.LinuxParaTodos.com
> http://www.LinuxParaTodos.com/phpforolinux
> 
> "root, dioses... ¿Cuál es la diferencia?"
> __________________________________________
> Darkshram es Copyright 1987 y 
> Marca Registrada de Joel Barrios Dueñas
> 
> ---------------------------------------------------------------------
> Lista de soporte de LinuxPPP
>  Reglas de la lista en http://linuxppp.com/reglas.html


---------------------------------------------------------------------
Lista de soporte de LinuxPPP
 Reglas de la lista en http://linuxppp.com/reglas.html

Mensaje(s) a continuación:
- Re: [Sop.Tec.LinuxPPP] Bloqueando Nimda/Redcode con Apache
  - De: Joel Barrios Dueñas

Referencias:
- [Sop.Tec.LinuxPPP] Bloqueando Nimda/Redcode con Apache
  - De: Joel Barrios Dueñas

Previo por Fecha: RE: [Sop.Tec.LinuxPPP] Prodigy turbo
Siguiente por Fecha: Re: [Sop.Tec.LinuxPPP] No se puede hacer telnet
Previo por Hilo: [Sop.Tec.LinuxPPP] Bloqueando Nimda/Redcode con Apache
Siguiente por Hilo: Re: [Sop.Tec.LinuxPPP] Bloqueando Nimda/Redcode con Apache

[Hilos de Discusión] [Fecha] [Tema] [Autor]