Ataque - ¿Cómo defenderme?

27/04/2005 - 07:45 por Miguel | Informe spam
He detectado un ataque a mi servidor (IIS) mediante una
petición con el method HEAD y no se como defenderme.
Parece ser que se ha querido acceder al cmd.exe y al sam.

¿Alguien sabe cómo puedo denegar peticiones de este tipo
en el servidor?

Expongo algunos de los errores y entradas en el archivo
log del servidor. Gracias...


ALGUNOS ERRORES

2005-04-07 18:54:35 140.111.157.1 44727 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%u002e/.%
u002e/winnt/win.ini?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:54:35 140.111.157.1 44732 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%
u002e/..\winntepair\sam._?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:59:53 140.111.157.1 46133 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f..%252f..%252f..%
252fwinnt/system32/cmd.exe 400 - BadRequest
2005-04-07 18:59:57 140.111.157.1 46159 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f../winnt/system32/cmd.exe
400 - BadRequest



ALGUNAS ENTRADAS EN LA LOG

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-
query s-port cs-username c-ip cs(User-Agent) sc-status sc-
substatus sc-win32-status

2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/win.ini /c+dir+c:\ 80 - 140.111.157.1 - 404 0 2
2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/repair/sam._ /c+dir+c:\ 80 - 140.111.157.1 -
404 0 2
 

Leer las respuestas

#1 Pablo Vernocchi
27/04/2005 - 14:27 | Informe spam
Ese tipo de ataques siempre los vas a tener en tu log.

Igualmente, tenes que tener en cuenta que el IIS está denegando todas las
peticiones. Siempre podes ayudarte con herramientas como URLScan y IIS
Lockdown tool.

Pablo Vernocchi

Buenos Aires, Argentina
"Miguel" escribió en el mensaje
news:02aa01c54aec$54364ff0$
He detectado un ataque a mi servidor (IIS) mediante una
petición con el method HEAD y no se como defenderme.
Parece ser que se ha querido acceder al cmd.exe y al sam.

¿Alguien sabe cómo puedo denegar peticiones de este tipo
en el servidor?

Expongo algunos de los errores y entradas en el archivo
log del servidor. Gracias...


ALGUNOS ERRORES

2005-04-07 18:54:35 140.111.157.1 44727 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%u002e/.%
u002e/winnt/win.ini?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:54:35 140.111.157.1 44732 192.168.0.2 80
HTTP/1.0 HEAD /a.asp/.%u002e/.%u002e/.%
u002e/..\winntepair\sam._?/c+dir+c:\ 403 - Forbidden
2005-04-07 18:59:53 140.111.157.1 46133 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f..%252f..%252f..%
252fwinnt/system32/cmd.exe 400 - BadRequest
2005-04-07 18:59:57 140.111.157.1 46159 192.168.0.2 80
HTTP/0.0 HEAD /scripts/..%252f../winnt/system32/cmd.exe
400 - BadRequest



ALGUNAS ENTRADAS EN LA LOG

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-
query s-port cs-username c-ip cs(User-Agent) sc-status sc-
substatus sc-win32-status

2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/win.ini /c+dir+c:\ 80 - 140.111.157.1 - 404 0 2
2005-04-07 18:51:51 192.168.0.2 HEAD /a.asp/..%5c../..%
5c../winnt/repair/sam._ /c+dir+c:\ 80 - 140.111.157.1 -
404 0 2

Preguntas similares