[LUG.ro] Apache - vulnerabilidad?

Marcelo Ramos lugro@lugro.org.ar
Mon, 10 May 2004 17:37:49 -0300 

--Signature=_Mon__10_May_2004_17_37_49_-0300__kzphQKkzvoEx0Xv
Content-Type: text/plain; charset=ISO-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

El (On) Sat, 8 May 2004 01:34:38 -0000
"Mauro Macagno" <mmacagno@frro.utn.edu.ar> escribi=F3 (wrote):

> Hola gente,
>=20
> Tengo un peque=F1o problema que ya la verdad me esta cansando.Como muchos=
 de
> nosotros tengo instalado un peque=F1o servidor donde hosteo mi humilde pa=
gina,
> por  llamarla de alguna manera.Bien el problema que ultimamente estoy ten=
ien
> es que algunas personas a las que les sobra el tiempo ( que no estaria ma=
l) y
> lo mal gastan intentando explotar alguna vulnerabilidad del apache,por lo=
 que
> mas o menos lei, lo que estoy viendo en el access.log es lo siguiente:
> 200.176.54.117 - - [07/May/2004:15:11:41 -0300] "SEARCH
> \x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
> \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
> xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
> \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
> \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
> \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
> ... y repetidas veces.Esto ya me ocaciono algunos problemas por lo tuve q=
ue
> reinstalar el apache ( ya sea por mi falte de conocimiento o por mi falta=
 de
> tiempo para investigar un poco mas).Llendo al grano la preguntas son:
> Como hago para que esta vulnerabilida no me afecte mas ?
> y la otra como hago para que estos accesos no se registren mas en mi
> access.log?

Por lo que averig=FC=E9 es un ataque para Webdav (IIS):

http://www.webdav.org/
http://www.klcconsulting.net/articles/webdav/webdav_vuln.htm

Es realmente molesto ya que el ataque le da de comer a Apache unas preciosas
cadenas de 32kb...

Mi Apache es de la serie 1.3.x y parece que no hay forma de hacer que esas
cadenas no vayan a los logs. De todas formas sigo investigando una soluci=
=F3n.


Saludos.


--=20
 _____________________________________________________________
                                        _____  ____________
  Marcelo Ramos                        |     \/      __    |
  Fedora Core 1 | Linux 2.6.5          |            |_/    /
  Socio UYLUG Nro 125                  |                   \
  Linux registered user #118109        |____|\/|____|\______\

--Signature=_Mon__10_May_2004_17_37_49_-0300__kzphQKkzvoEx0Xv
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQFAn+geKHiVwzS5rpkRAgsSAJ4wPGyDiVzBbJmnG3wMlgCCZzDH1ACfbnRr
lE59D4fEDy1xRxythDh1tkY=
=4tOs
-----END PGP SIGNATURE-----

--Signature=_Mon__10_May_2004_17_37_49_-0300__kzphQKkzvoEx0Xv--