Sotto attacco

**madai** · 24-10-2002, 13:15

Sto ricevendo degli strani attacchi, vorrei sapere cosa sta cercando di fare ecco gli exploit in sequenza:

Default.asp/P%u0041G%u0045S%u0045RV%u0049C%u0045S

Default.asp/%u0049C%u004FN=/aaaaaa/../USR/./L%u004FC%u0041L/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaa/../KD%u0045\SH%u0041R%u0045\\%u0049C%u004FNS\\\H%u004 9C%u004FL%u004FR///32X32/M%u0049M%u0045TYP%u0045S/%u0049M%u0041G%u0045%u002EPNG

Default.asp/WP-CS-DUMP

Default.asp/WP-F%u004FRC%u0045-%u0041UTH

Default.asp/WP-HTML-R%u0045ND

Default.asp/WP-ST%u0041RT-V%u0045R

Default.asp/WP-ST%u004FP-V%u0045R

Default.asp/WP-UNCH%u0045CK%u004FUT

Default.asp/WP-USR-PR%u004FP

Default.asp/WP-V%u0045R-D%u0049FF

Default.asp/WP-V%u0045R-%u0049NF%u004F

Default.asp/WP-V%u0045R%u0049FY-L%u0049NK

**barney09** · 24-10-2002, 15:25

cosa ne pensate di questo?

**Al è qui** · 24-10-2002, 16:05

Attacchi dove? Su cosa...

**barney09** · 24-10-2002, 17:16

occhio e croce, sembrerebbero attacchi sulla porta 80.

"default.asp"

**madai** · 24-10-2002, 17:20

Windows 2000 Server

Non so cosa avesse intenzione di fare, se danneggiarmi o solo giocare, ma mi piacerebbe sapere come comportarmi in situazioni del genere... io analizzo spesso i log ed ora l'ho individuato mentre "lavorava" in tempo reale, la prima cosa che ho fatto è stata di negare a quell'IP l'accesso al sito e riavviare l'IIS...

**madai** · 24-10-2002, 17:22

Ho trovato quest'articolo ma si riferisce ad una vulnerabilità di Netscape Enterprise Server http://www.securiteam.com/exploits/5RQ0D000AA.html

**Massimo61** · 24-10-2002, 17:24

Ciao

Ci sono molti caratteri codificati in codici ascii

Default.asp/P%u0041G%u0045S%u0045RV%u0049C%u0045S

Default.asp/%u0049C%u004FN=/aaaaaa/../USR/./L%u004FC%u0041L/ aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
a/../ KD%u0045\SH%u0041R%u0045\\%u0049C%u004FN
S\\\H%u0049C%u004FL%u004FR///32X32/M%u0049M%u0045TYP%u0045S/%u0049M%u0041G%u0045%u002EPNG

Risultato:

Default.asp/PAGESERVICES

Default.asp/ICON=/aaaaaa/../USR/./LOCAL/ aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
a/../ KDE\SHARE\\ICON
S\\\HICOLOR///32X32/MIMETYPES/IMAGE.PNG

Default.asp/WP-F%u004FRC%u0045-%u0041UTH

Risultato

Default.asp/WP-FORCE-AUTH

Default.asp/WP-HTML-R%u0045ND

Risultato

Default.asp/WP-HTML-REND

Default.asp/WP-ST%u0041RT-V%u0045R

Risultato

Default.asp/WP-START-VER

Default.asp/WP-UNCH%u0045CK%u004FUT

Risultato

Default.asp/WP-UNCHECKOUT

Default.asp/WP-USR-PR%u004FP

Risultato

Default.asp/WP-USR-PROP

Default.asp/WP-V%u0045R-D%u0049FF

Risultato

Default.asp/WP-VER-DIFF

Default.asp/WP-V%u0045R-%u0049NF%u004F

Risultato

Default.asp/WP-VER-INFO

Default.asp/WP-V%u0045R%u0049FY-L%u0049NK

Risultato

Default.asp/WP-VERIFY-LINK

Vai su http://www.google.it/

Ed inserisci tutto quello che sta dopo Default/

Vedi i risultati relativi agli attacchi

Massimo

**madai** · 24-10-2002, 17:39

Hai ragione... ed i risultati confermano che si tratta di una vulnerabilità di Netscape Enterprise Server :master:

**M.Solazzi** · 25-10-2002, 20:28

Sembrerebbe un attacco per piattaforme linux (cartelle tipo usr local kde icon etc.) se è così, e il tuo sistema è windows nessun problema altrimenti non so che dirti.

Io per esempio su un server web apache in linux riscontro molto spesso attacchi che hanno come cartelle winnt (cartella di sistema windows) quindi nel mio caso nessun problema, potrebbe essere una cosa simile per te.

ciao

Discussione: Sotto attacco

Strumenti discussione

Ricerca discussione

Visualizza

Sotto attacco

Re: Sotto attacco

Permessi di invio