[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Marco, me mandaron estos correos, no se si te puedan servir, checalos. At 11:41 18/01/2002 -0600, you wrote:
A quien le interese bloquear los ataques de RedCode y Nimda (que vaya que saturan los registros de apache) se pueden añadir las siguientes líneas en /etc/httpd/conf/httpd.conf <IfModule mod_alias.c> RedirectMatch (.*)\root.exe$ http://urlinvalido.invalido$1 RedirectMatch (.*)\cmd.exe$ http://urlinvalido.invalido$1 RedirectMatch (.*)\cmd1.exe$ http://urlinvalido.invalido$1 </IfModule> ¿Que hace esto? Cuando hay una peticiones hacia alguno de los patrones de Nimda o Red Code (todos contienen root.exe o cmd.exe), como serían: /scripts/root.exe?/c+dir /MSADC/root.exe?/c+dir /c/winnt/system32/cmd.exe?/c+dir /d/winnt/system32/cmd.exe?/c+dir /scripts/..%255c../winnt/system32/cmd.exe?/c+dir /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir Etc. Estos se re-direccionan hacia http://urlinvalido.invalido, donde no causarán molestia a servidor alguno. -- Un cordial saludo. Joel Barrios Dueñas Dirección general Linux Para Todos Tel: 01-55-5684-5082 ICQ: 54679287 YIM: Darkshram AOL: Darkshram jbarrios en linuxparatodos com webmaster en linuxparatodos com jbarrios en avantel net http://www.LinuxParaTodos.com http://www.LinuxParaTodos.com/phpforolinux "root, dioses... ¿Cuál es la diferencia?" __________________________________________ Darkshram es Copyright 1987 y Marca Registrada de Joel Barrios Dueñas --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://linuxppp.com/reglas.html
At 13:06 18/01/2002 -0600, you wrote:
Otra opcion es, tambien en httpd.conf: # Flag requests for URIs containing known strings from # Nimda-like worms (including Code Red, sadmind/IIS) # Note that the patterns below are regexes; escape your dots! SetEnvIf Request_URI "/winnt/system32/cmd\.exe" nimda SetEnvIf Request_URI "/scripts/root\.exe" nimda SetEnvIf Request_URI "/MSADC/root\.exe" nimda SetEnvIf Request_URI "/\.\." nimda SetEnvIf Request_URI "\.\./" nimda CustomLog /var/log/httpd/access_log common env=!nimda -- Saludos, Ulises Speaking words of wisdom ... > A quien le interese bloquear los ataques de RedCode y Nimda (que vaya > que saturan los registros de apache) se pueden añadir las siguientes > líneas en /etc/httpd/conf/httpd.conf > > <IfModule mod_alias.c> > RedirectMatch (.*)\root.exe$ http://urlinvalido.invalido$1 > RedirectMatch (.*)\cmd.exe$ http://urlinvalido.invalido$1 > RedirectMatch (.*)\cmd1.exe$ http://urlinvalido.invalido$1 > </IfModule> > > ¿Que hace esto? Cuando hay una peticiones hacia alguno de los patrones > de Nimda o Red Code (todos contienen root.exe o cmd.exe), como serían: > > /scripts/root.exe?/c+dir > /MSADC/root.exe?/c+dir > /c/winnt/system32/cmd.exe?/c+dir > /d/winnt/system32/cmd.exe?/c+dir > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir > /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > Etc. > > Estos se re-direccionan hacia http://urlinvalido.invalido, donde no > causarán molestia a servidor alguno. > > -- > Un cordial saludo. > > Joel Barrios Dueñas > Dirección general Linux Para Todos > Tel: 01-55-5684-5082 > ICQ: 54679287 > YIM: Darkshram > AOL: Darkshram > jbarrios en linuxparatodos com > webmaster en linuxparatodos com > jbarrios en avantel net > http://www.LinuxParaTodos.com > http://www.LinuxParaTodos.com/phpforolinux > > "root, dioses... ¿Cuál es la diferencia?" > __________________________________________ > Darkshram es Copyright 1987 y > Marca Registrada de Joel Barrios Dueñas > > --------------------------------------------------------------------- > Lista de soporte de LinuxPPP > Reglas de la lista en http://linuxppp.com/reglas.html --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://linuxppp.com/reglas.html
At 14:57 18/01/2002 -0600, you wrote:
En tal caso, mejor: SetEnvIf Request_URI "/winnt/system32/cmd\.exe" nimda SetEnvIf Request_URI "/scripts/root\.exe" nimda SetEnvIf Request_URI "/MSADC/root\.exe" nimda SetEnvIf Request_URI "/\.\." nimda SetEnvIf Request_URI "\.\./" nimda CustomLog "|exec sh" "/sbin/iptables -I INPUT -s %a -j DROP" env=nimda El vie, 18-01-2002 a las 13:06, Ulises Ponce escribió: > Otra opcion es, tambien en httpd.conf: > > # Flag requests for URIs containing known strings from > # Nimda-like worms (including Code Red, sadmind/IIS) > # Note that the patterns below are regexes; escape your dots! > > SetEnvIf Request_URI "/winnt/system32/cmd\.exe" nimda > SetEnvIf Request_URI "/scripts/root\.exe" nimda > SetEnvIf Request_URI "/MSADC/root\.exe" nimda > SetEnvIf Request_URI "/\.\." nimda > SetEnvIf Request_URI "\.\./" nimda > > CustomLog /var/log/httpd/access_log common env=!nimda > > -- > > Saludos, > Ulises > > Speaking words of wisdom ... > > > A quien le interese bloquear los ataques de RedCode y Nimda (que vaya > > que saturan los registros de apache) se pueden añadir las siguientes > > líneas en /etc/httpd/conf/httpd.conf > > > > <IfModule mod_alias.c> > > RedirectMatch (.*)\root.exe$ http://urlinvalido.invalido$1 > > RedirectMatch (.*)\cmd.exe$ http://urlinvalido.invalido$1 > > RedirectMatch (.*)\cmd1.exe$ http://urlinvalido.invalido$1 > > </IfModule> > > > > ¿Que hace esto? Cuando hay una peticiones hacia alguno de los patrones > > de Nimda o Red Code (todos contienen root.exe o cmd.exe), como serían: > > > > /scripts/root.exe?/c+dir > > /MSADC/root.exe?/c+dir > > /c/winnt/system32/cmd.exe?/c+dir > > /d/winnt/system32/cmd.exe?/c+dir > > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir > > /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > > /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > > Etc. > > > > Estos se re-direccionan hacia http://urlinvalido.invalido, donde no > > causarán molestia a servidor alguno. > > > > -- > > Un cordial saludo. > > > > Joel Barrios Dueñas > > Dirección general Linux Para Todos > > Tel: 01-55-5684-5082 > > ICQ: 54679287 > > YIM: Darkshram > > AOL: Darkshram > > jbarrios en linuxparatodos com > > webmaster en linuxparatodos com > > jbarrios en avantel net > > http://www.LinuxParaTodos.com > > http://www.LinuxParaTodos.com/phpforolinux > > > > "root, dioses... ¿Cuál es la diferencia?" > > __________________________________________ > > Darkshram es Copyright 1987 y > > Marca Registrada de Joel Barrios Dueñas > > > > --------------------------------------------------------------------- > > Lista de soporte de LinuxPPP > > Reglas de la lista en http://linuxppp.com/reglas.html > > > --------------------------------------------------------------------- > Lista de soporte de LinuxPPP > Reglas de la lista en http://linuxppp.com/reglas.html > -- Un cordial saludo. Joel Barrios Dueñas Dirección general Linux Para Todos Tel: 01-55-5684-5082 ICQ: 54679287 YIM: Darkshram AOL: Darkshram jbarrios en linuxparatodos com webmaster en linuxparatodos com jbarrios en avantel net http://www.LinuxParaTodos.com http://www.LinuxParaTodos.com/phpforolinux "root, dioses... ¿Cuál es la diferencia?" __________________________________________ Darkshram es Copyright 1987 y Marca Registrada de Joel Barrios Dueñas --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://linuxppp.com/reglas.html
At 16:36 18/01/2002 -0600, you wrote:
o le redireccionas las peticiones a http://www.microsoft.com, jejejeje.Para los que no sabian nada al respectop, estan bien las dos soluciones hay queponerla en la parte de trucos de tu sitio, y pues postearlo en otros lugares , ya que no te pasa nada pero es una lata. Hace unos dias en un servidor saque un log de 40Mb de pura basura de esta. saludos. cHeKO=) --- Joel Barrios Dueñas <jbarrios en linuxparatodos com> escribió: > A quien le interese bloquear los ataques de RedCode y Nimda (que vaya > que saturan los registros de apache) se pueden añadir las siguientes > líneas en /etc/httpd/conf/httpd.conf > > <IfModule mod_alias.c> > RedirectMatch (.*)\root.exe$ http://urlinvalido.invalido$1 > RedirectMatch (.*)\cmd.exe$ http://urlinvalido.invalido$1 > RedirectMatch (.*)\cmd1.exe$ http://urlinvalido.invalido$1 > </IfModule> > > ¿Que hace esto? Cuando hay una peticiones hacia alguno de los patrones > de Nimda o Red Code (todos contienen root.exe o cmd.exe), como serían: > > /scripts/root.exe?/c+dir > /MSADC/root.exe?/c+dir > /c/winnt/system32/cmd.exe?/c+dir > /d/winnt/system32/cmd.exe?/c+dir > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir > /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > Etc. > > Estos se re-direccionan hacia http://urlinvalido.invalido, donde no > causarán molestia a servidor alguno. > > -- > Un cordial saludo. > > Joel Barrios Dueñas > Dirección general Linux Para Todos > Tel: 01-55-5684-5082 > ICQ: 54679287 > YIM: Darkshram > AOL: Darkshram > jbarrios en linuxparatodos com > webmaster en linuxparatodos com > jbarrios en avantel net > http://www.LinuxParaTodos.com > http://www.LinuxParaTodos.com/phpforolinux > > "root, dioses... ¿Cuál es la diferencia?" > __________________________________________ > Darkshram es Copyright 1987 y > Marca Registrada de Joel Barrios Dueñas > > --------------------------------------------------------------------- > Lista de soporte de LinuxPPP > Reglas de la lista en http://linuxppp.com/reglas.html _________________________________________________________ Do You Yahoo!? Información de Estados Unidos y América Latina, en Yahoo! Noticias. Visítanos en http://noticias.espanol.yahoo.com --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://linuxppp.com/reglas.html
--------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://linuxppp.com/reglas.html