[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]En tal caso, mejor: SetEnvIf Request_URI "/winnt/system32/cmd\.exe" nimda SetEnvIf Request_URI "/scripts/root\.exe" nimda SetEnvIf Request_URI "/MSADC/root\.exe" nimda SetEnvIf Request_URI "/\.\." nimda SetEnvIf Request_URI "\.\./" nimda CustomLog "|exec sh" "/sbin/iptables -I INPUT -s %a -j DROP" env=nimda El vie, 18-01-2002 a las 13:06, Ulises Ponce escribió: > Otra opcion es, tambien en httpd.conf: > > # Flag requests for URIs containing known strings from > # Nimda-like worms (including Code Red, sadmind/IIS) > # Note that the patterns below are regexes; escape your dots! > > SetEnvIf Request_URI "/winnt/system32/cmd\.exe" nimda > SetEnvIf Request_URI "/scripts/root\.exe" nimda > SetEnvIf Request_URI "/MSADC/root\.exe" nimda > SetEnvIf Request_URI "/\.\." nimda > SetEnvIf Request_URI "\.\./" nimda > > CustomLog /var/log/httpd/access_log common env=!nimda > > -- > > Saludos, > Ulises > > Speaking words of wisdom ... > > > A quien le interese bloquear los ataques de RedCode y Nimda (que vaya > > que saturan los registros de apache) se pueden añadir las siguientes > > líneas en /etc/httpd/conf/httpd.conf > > > > <IfModule mod_alias.c> > > RedirectMatch (.*)\root.exe$ http://urlinvalido.invalido$1 > > RedirectMatch (.*)\cmd.exe$ http://urlinvalido.invalido$1 > > RedirectMatch (.*)\cmd1.exe$ http://urlinvalido.invalido$1 > > </IfModule> > > > > ¿Que hace esto? Cuando hay una peticiones hacia alguno de los patrones > > de Nimda o Red Code (todos contienen root.exe o cmd.exe), como serían: > > > > /scripts/root.exe?/c+dir > > /MSADC/root.exe?/c+dir > > /c/winnt/system32/cmd.exe?/c+dir > > /d/winnt/system32/cmd.exe?/c+dir > > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir > > /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > > /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > > Etc. > > > > Estos se re-direccionan hacia http://urlinvalido.invalido, donde no > > causarán molestia a servidor alguno. > > > > -- > > Un cordial saludo. > > > > Joel Barrios Dueñas > > Dirección general Linux Para Todos > > Tel: 01-55-5684-5082 > > ICQ: 54679287 > > YIM: Darkshram > > AOL: Darkshram > > jbarrios en linuxparatodos com > > webmaster en linuxparatodos com > > jbarrios en avantel net > > http://www.LinuxParaTodos.com > > http://www.LinuxParaTodos.com/phpforolinux > > > > "root, dioses... ¿Cuál es la diferencia?" > > __________________________________________ > > Darkshram es Copyright 1987 y > > Marca Registrada de Joel Barrios Dueñas > > > > --------------------------------------------------------------------- > > Lista de soporte de LinuxPPP > > Reglas de la lista en http://linuxppp.com/reglas.html > > > --------------------------------------------------------------------- > Lista de soporte de LinuxPPP > Reglas de la lista en http://linuxppp.com/reglas.html > -- Un cordial saludo. Joel Barrios Dueñas Dirección general Linux Para Todos Tel: 01-55-5684-5082 ICQ: 54679287 YIM: Darkshram AOL: Darkshram jbarrios en linuxparatodos com webmaster en linuxparatodos com jbarrios en avantel net http://www.LinuxParaTodos.com http://www.LinuxParaTodos.com/phpforolinux "root, dioses... ¿Cuál es la diferencia?" __________________________________________ Darkshram es Copyright 1987 y Marca Registrada de Joel Barrios Dueñas --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://linuxppp.com/reglas.html