Ataque - ¿Cómo defenderme?

Ese tipo de ataques siempre los vas a tener en tu log.

Igualmente, tenes que tener en cuenta que el IIS está denegando todas las
peticiones. Siempre podes ayudarte con herramientas como URLScan y IIS
Lockdown tool.

Pablo Vernocchi

Buenos Aires, Argentina
"Miguel" escribió en el mensaje
news:02aa01c54aec$54364ff0$
He detectado un ataque a mi servidor (IIS) mediante una
petición con el method HEAD y no se como defenderme.
Parece ser que se ha querido acceder al cmd.exe y al sam.

¿Alguien sabe cómo puedo denegar peticiones de este tipo
en el servidor?

Expongo algunos de los errores y entradas en el archivo
log del servidor. Gracias...


ALGUNOS ERRORES

2005-04-07 18:54:35 140.111.157.1 44727 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%u002e/.%
u002e/winnt/win.ini?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:54:35 140.111.157.1 44732 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%
u002e/..\winntepair\sam._?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:59:53 140.111.157.1 46133 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f..%252f..%252f..%
252fwinnt/system32/cmd.exe 400 - BadRequest
2005-04-07 18:59:57 140.111.157.1 46159 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f../winnt/system32/cmd.exe
400 - BadRequest



ALGUNAS ENTRADAS EN LA LOG

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-
query s-port cs-username c-ip cs(User-Agent) sc-status sc-
substatus sc-win32-status

2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/win.ini /c+dir+c:\ 80 - 140.111.157.1 - 404 0 2
2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/repair/sam._ /c+dir+c:\ 80 - 140.111.157.1 -
404 0 2

Gracias Pablo, pero no habría alguna forma de permitir las
peticiones GET y POST pero no las HEAD.

Gracias de nuevo...

Ese tipo de ataques siempre los vas a tener en tu log.

Igualmente, tenes que tener en cuenta que el IIS está

denegando todas las

peticiones. Siempre podes ayudarte con herramientas como

URLScan y IIS

Lockdown tool.

Pablo Vernocchi

Buenos Aires, Argentina
"Miguel" escribió

en el mensaje

news:02aa01c54aec$54364ff0$
He detectado un ataque a mi servidor (IIS) mediante una
petición con el method HEAD y no se como defenderme.
Parece ser que se ha querido acceder al cmd.exe y al sam.

¿Alguien sabe cómo puedo denegar peticiones de este tipo
en el servidor?

Expongo algunos de los errores y entradas en el archivo
log del servidor. Gracias...


ALGUNOS ERRORES

2005-04-07 18:54:35 140.111.157.1 44727 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%u002e/.%
u002e/winnt/win.ini?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:54:35 140.111.157.1 44732 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%
u002e/..\winntepair\sam._?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:59:53 140.111.157.1 46133 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f..%252f..%252f..%
252fwinnt/system32/cmd.exe 400 - BadRequest
2005-04-07 18:59:57 140.111.157.1 46159 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f../winnt/system32/cmd.exe
400 - BadRequest



ALGUNAS ENTRADAS EN LA LOG

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-
query s-port cs-username c-ip cs(User-Agent) sc-status sc-
substatus sc-win32-status

2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/win.ini /c+dir+c:\ 80 - 140.111.157.1 - 404 0 2
2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/repair/sam._ /c+dir+c:\ 80 - 140.111.157.1 -
404 0 2


.

Con el URLScan, editando el archivo URLScan.ini podes trabajarlo.

Pablo Vernocchi

Buenos Aires, Argentina
"Miguel" escribió en el mensaje
news:044b01c54b2a$88f75f70$
Gracias Pablo, pero no habría alguna forma de permitir las
peticiones GET y POST pero no las HEAD.

Gracias de nuevo...

Ese tipo de ataques siempre los vas a tener en tu log.

Igualmente, tenes que tener en cuenta que el IIS está

denegando todas las

peticiones. Siempre podes ayudarte con herramientas como

URLScan y IIS

Lockdown tool.

Pablo Vernocchi

Buenos Aires, Argentina
"Miguel" escribió

en el mensaje

news:02aa01c54aec$54364ff0$
He detectado un ataque a mi servidor (IIS) mediante una
petición con el method HEAD y no se como defenderme.
Parece ser que se ha querido acceder al cmd.exe y al sam.

¿Alguien sabe cómo puedo denegar peticiones de este tipo
en el servidor?

Expongo algunos de los errores y entradas en el archivo
log del servidor. Gracias...


ALGUNOS ERRORES

2005-04-07 18:54:35 140.111.157.1 44727 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%u002e/.%
u002e/winnt/win.ini?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:54:35 140.111.157.1 44732 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%
u002e/..\winntepair\sam._?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:59:53 140.111.157.1 46133 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f..%252f..%252f..%
252fwinnt/system32/cmd.exe 400 - BadRequest
2005-04-07 18:59:57 140.111.157.1 46159 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f../winnt/system32/cmd.exe
400 - BadRequest



ALGUNAS ENTRADAS EN LA LOG

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-
query s-port cs-username c-ip cs(User-Agent) sc-status sc-
substatus sc-win32-status

2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/win.ini /c+dir+c:\ 80 - 140.111.157.1 - 404 0 2
2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/repair/sam._ /c+dir+c:\ 80 - 140.111.157.1 -
404 0 2


.

Pablo una pregunta, URLScan y IIS Lockdown tool sirven
igual para server 2003?

Ese tipo de ataques siempre los vas a tener en tu log.

Igualmente, tenes que tener en cuenta que el IIS está

denegando todas las

peticiones. Siempre podes ayudarte con herramientas como

URLScan y IIS

Lockdown tool.

Pablo Vernocchi

Buenos Aires, Argentina
"Miguel" escribió

en el mensaje

news:02aa01c54aec$54364ff0$
He detectado un ataque a mi servidor (IIS) mediante una
petición con el method HEAD y no se como defenderme.
Parece ser que se ha querido acceder al cmd.exe y al sam.

¿Alguien sabe cómo puedo denegar peticiones de este tipo
en el servidor?

Expongo algunos de los errores y entradas en el archivo
log del servidor. Gracias...


ALGUNOS ERRORES

2005-04-07 18:54:35 140.111.157.1 44727 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%u002e/.%
u002e/winnt/win.ini?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:54:35 140.111.157.1 44732 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%
u002e/..\winntepair\sam._?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:59:53 140.111.157.1 46133 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f..%252f..%252f..%
252fwinnt/system32/cmd.exe 400 - BadRequest
2005-04-07 18:59:57 140.111.157.1 46159 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f../winnt/system32/cmd.exe
400 - BadRequest



ALGUNAS ENTRADAS EN LA LOG

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-
query s-port cs-username c-ip cs(User-Agent) sc-status sc-
substatus sc-win32-status

2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/win.ini /c+dir+c:\ 80 - 140.111.157.1 - 404 0 2
2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/repair/sam._ /c+dir+c:\ 80 - 140.111.157.1 -
404 0 2


.

IISLockdown tool no. URLScan tengo entendido que si (no lo probé aún, mi
hosting corre sobre 2K).

Pablo Vernocchi

Buenos Aires, Argentina
"Andres" escribió en el mensaje
news:04e801c54b2f$dfc430d0$
Pablo una pregunta, URLScan y IIS Lockdown tool sirven
igual para server 2003?

Ese tipo de ataques siempre los vas a tener en tu log.

Igualmente, tenes que tener en cuenta que el IIS está

denegando todas las

peticiones. Siempre podes ayudarte con herramientas como

URLScan y IIS

Lockdown tool.

Pablo Vernocchi

Buenos Aires, Argentina
"Miguel" escribió

en el mensaje

news:02aa01c54aec$54364ff0$
He detectado un ataque a mi servidor (IIS) mediante una
petición con el method HEAD y no se como defenderme.
Parece ser que se ha querido acceder al cmd.exe y al sam.

¿Alguien sabe cómo puedo denegar peticiones de este tipo
en el servidor?

Expongo algunos de los errores y entradas en el archivo
log del servidor. Gracias...


ALGUNOS ERRORES

2005-04-07 18:54:35 140.111.157.1 44727 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%u002e/.%
u002e/winnt/win.ini?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:54:35 140.111.157.1 44732 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%
u002e/..\winntepair\sam._?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:59:53 140.111.157.1 46133 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f..%252f..%252f..%
252fwinnt/system32/cmd.exe 400 - BadRequest
2005-04-07 18:59:57 140.111.157.1 46159 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f../winnt/system32/cmd.exe
400 - BadRequest



ALGUNAS ENTRADAS EN LA LOG

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-
query s-port cs-username c-ip cs(User-Agent) sc-status sc-
substatus sc-win32-status

2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/win.ini /c+dir+c:\ 80 - 140.111.157.1 - 404 0 2
2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/repair/sam._ /c+dir+c:\ 80 - 140.111.157.1 -
404 0 2


.