Re: atak na serwer www - apache 1.3.x

To: lista debiana <debian-user-polish@lists.debian.org>
Subject: Re: atak na serwer www - apache 1.3.x
From: bieniu gras <bieniu@gras.poznan.pl>
Date: Wed, 8 Feb 2006 14:34:23 +0100
Message-id: <[🔎] 180948946.20060208143423@gras.poznan.pl>
Reply-to: bieniu gras <bieniu@gras.poznan.pl>
In-reply-to: <[🔎] 20060208110906.GA23461@debianusers.pl>
References: <[🔎] 122439985.20060208110947@gras.poznan.pl> <[🔎] 20060208110906.GA23461@debianusers.pl>

Witaj Paweł,

W Twoim liście datowanym 8 lutego 2006 (12:09:06) można przeczytać:

> On Wed, Feb 08, 2006 at 11:09:47AM +0100, bieniu gras wrote:
>> Witaj lista!

> Hej!

>> ktos w 3 wormach internetowych umiescil w kodzie moja domene
>> www.wena.net do ktorej lacza sie zarazone komputery i proboja pobierac:

> Ale ktos mial wene... Przyjmij moje wyrazy wspolczucia ;)

>> oczywiscie rezultat jest taki ze tysiace komputerkow zarazonych chce
>> te pliki a moj serwer www odpowiada bledem 404

> A moze zamiast serwowac komunikat bledu 40x moglbys udostepniac te
> wlasnie pliki o zerowej dlugosci? ;) Na pewno zmniejszyloby to ruch
> w sieci.

dawalem pliki 0 bajtow ale tu nie chodzi o ddos na lacze - wysysa to
bardzo malo lacza, problem lezy w tym ze apache sie nie wyrabia :)))
za duzo tego idzie milion hitow dziennie :P normalnie jakbym mial
jakis portal

> O ile wiem, w linijce z ErrorDocument zamiast adresu mozesz tez uzyc
> jakiegos napisu, np. "Pocaluj mnie w nos!" ;) Bedzie mial wprawdzie
> wiecej niz 0 bajtow, ale lepsze to niz komunikat bledu 40x.

tak juz myslalem nawet o podaniu jakiegos exploita na windowsa pod
plikami ktore pobiera ... :D

> Jesli do Twojego Apache'a w ogole nie maja dochodzic zapytania
> o te pliki, a to wydaje sie byc najlepszym rozwiazaniem, to trzeba
> je wycinac gdzies "wczesniej", byc moze na firewallu. Niestety az
> taki biegly w iptables to ja nie jestem.

tez w iptablesach nie smigam poprostu proboje wykorzystywac regulki
ktore kraza gdzies wsrod ludzi

> A dziala zarowno DROP, jak i REJECT? Ja bym wybral REJECT,
> bo szybciej zakonczy polaczenie z klientem.

wstepnie probowalem z DROP i REJECT ale tym sposobem zamknalem caly
ruch do apacha mimo ze string byl na get tych plikow :) bede walczyc

> A co bedzie pod www1.wena.net?

myslalem tutaj o jakims dnsowym przkierowaniu hmmm sam nie wiem jak to
rozwiazac z dns balancing ? ze czesc zapytan na www.wena.net szlo by
na www1.wena.net ?? przynajmniej nie wiem co iles ... ktos z listy mi
podpowiadal odnosnie takiego rozwiazania

tak sobie mysle poki co domena www.wena.net idzie na 127.0.0.1 i
ciekawy jestem jak za 2 tygodnie ja wlacze czy bedzie to nadal sie
dzialo

ale za wszelkie pomysly bede wdizeczny


-- 
Pozdrowienia,
 bieniu gras

Reply to:

Follow-Ups:
- Re: atak na serwer www - apache 1.3.x
  - From: Paweł Tęcza <ptecza@debianusers.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: "Robert PaneQ! Pankowecki (rupert)" <kryptofiles@wp.pl>

References:
- atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: Paweł Tęcza <ptecza@debianusers.pl>

Prev by Date: Re: Apache 2 - po restarcie wszystko "Permission denied"
Next by Date: Re: atak na serwer www - apache 1.3.x
Previous by thread: Re: atak na serwer www - apache 1.3.x
Next by thread: Re: atak na serwer www - apache 1.3.x
Index(es):
- Date
- Thread