Cursos Servidores con Centos 6
Sistema Operativo ALDOS
Dezoft

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Seguridad Nuevo tema Publicar Respuesta
  intrusion en mi sistema? (MS-SQL worm y otras cosas)
Tema anterior Tema siguiente
   
manuelk
Publicado en 05/07/07 05:39 (Leído 5022 veces)  

Participa poco
Forum User

Inscrito: 31/03/07 Publicaciones: 22
terminando dia jul/04 casi a medianoche, comenzaron a suceder cosas raras pero que en ese momento, aparentemente parecia solo unos intentos, nada mas.

con el transcurrir de las horas, el asunto se volvio mas serio y incomodo. Me dio la impresion de que habian detectado que mi sistema estaba vulnerable.

Antes, brevemente voy a contarles que fue lo que motivo todo el rollo.

Es que estaba montando un servidor web y la intencion era mejorarlo poco a poco, tanto que en el servidor solo coloque html de pruebas.

Ya tenia instalado mysql y php y estaba probando si funcionaba el html con php y mysql, cosas sencillas: hacer connect a mysql y recuperar un dato, etc.

localmente estaba funcionando, faltaba probarlo "hacia la internet", pero solo para probar si el servidor servia la pagina y atendia bien.

cometi dos descuidos: un firewall en el servidor; y algo que no habia recordado, el modem(router) adsl, puede ser configurado desde la internet y estaba con esa opcion y lo peor, la clave era sencillisima.

por la euforia de probar la conexion no tome en cuenta esos dos detalles y ademas no esperaba un ataque de esa naturaleza, asi tan rapido.

la distribucion del hardware es asi:

< internet >
|
|
|

modem adsl
(192.168.0.1/24)
|
|

s w i t c h
|
|

web server
(192.168.0.55/24)


*****************
en el web server
*****************
aqui los logs. los he recortado. solo he dejado lo mas llamativo.


(access_log)
..
192.168.0.150 - - [03/Jul/2007:10:16:05 +0000] "\xff\xfb\x1f\xff\xfb \xff\xfb\x18\xff\xfb'\xff\xfd\x01\xff\xfb\x03\xff\xfd\x03\xff\xf8\x1d" 400 -
192.168.0.55 - - [03/Jul/2007:10:29:38 +0000] "\xff\xf4\xff\xfd\x06\xff\xf4\xff\xfd\x06" 501 -
61.225.162.165 - - [03/Jul/2007:16:36:06 +0000] "\x05\x01" 501 -
61.225.162.165 - - [03/Jul/2007:16:36:07 +0000] "CONNECT 211.150.96.25:25 HTTP/1.1" 404 276
..
..
202.103.67.57 - - [04/Jul/2007:13:46:59 +0000] "GET http://www.weibing.com.cn/Editor/FS_scripts/language/english/prx.php?p=q1w2e3r4t5y6u7i8o9p0*a-b?hash=6772DF872ADDB912D31174B21F90104778C7A2C6EE72 HTTP/1.0" 404 306
58.61.36.103 - - [04/Jul/2007:16:21:01 +0000] "GET http://bbs.fruit8.com/templates/default/prx.php?p=q1w2e3r4t5y6u7i8o9p0*a-b?hash=6772DF872ADDB912D31174B21F90104778C7A2C6EE72 HTTP/1.0" 404 289
202.103.67.57 - - [04/Jul/2007:19:41:06 +0000] "GET http://www.weibing.com.cn/Editor/FS_scripts/language/english/prx.php?p=q1w2e3r4t5y6u7i8o9p0*a-b?hash=6772DF872ADDB912D31174B21F90104778C7A2C6EE72 HTTP/1.0" 404 306
..
..
58.61.36.103 - - [04/Jul/2007:23:35:44 +0000] "GET http://bbs.fruit8.com/templates/default/prx.php?p=q1w2e3r4t5y6u7i8o9p0*a-b?hash=6772DF872ADDB912D31174B21F90104778C7A2C6EE72 HTTP/1.0" 404 219
..
..
202.103.67.57 - - [05/Jul/2007:01:27:56 +0000] "GET http://www.weibing.com.cn/Editor/FS_scripts/language/english/prx.php?p=q1w2e3r4t5y6u7i8o9p0*a-b?hash=6772DF872ADDB912D31174B21F90104778C7A2C6EE72 HTTP/1.0" 404 236
..
..
61.116.226.225 - - [05/Jul/2007:06:15:17 +0000] "!n\xe0',D\xd6\x1e9!\xe8j\v\xf2\xe8>^\xe0\x04\xe9i\x85\x02\xac\"\x07\xe6\x7f\x9a\xdb\xc2\xd8\xc8\xef\xa8\x82\xf4\x91\xa6\xfaj\x17\x19\x93\x05\xd5\xd3\x1e\xf0\xfe\xe1\x851\x80(\xdc\xd9\xf2Af\xc6\xca\x8ayb\xb7*g3\x91X(\x1a\xf9Z\xda#E\x8e\x02\x99\xda%A\xe7h\xb7\xeb\vi\x9a\x1bth\x91\xfbK\xbb\x96\xd4\x15v\xfe\xcdib\t\xe1\x9e\xc0oZ-\xccz\x9b\x0e2\x02\x9a-p\x1e\xf8\xac\x12Q\xccT\xafE\x05\x7f\x1e\x1f\xe3\x82\xf2\xe6" 400 299
210.153.232.224 - - [05/Jul/2007:06:15:25 +0000] "e\x02" 501 -
219.167.208.227 - - [05/Jul/2007:06:15:27 +0000] "<v;\xe2\x98]V\xdf\xf3\x1a\xe7\xb9l\x8d\xb3\xc8\xc6\xbbw\xa2\xe9\xbbCZ\x81\xac\x18e\xf6\xecn\xd0(\x1d~\x93R\xbb\xd2\xa8\xc7$\xa4Qz\x9f\xc0\xcb\x11\xf4E\xac\xc5\xe2\x89L\x1b\x0e\xf1\xd8{\x88fh\xe6X\xac\x85\xc6\xc0\xdb\x10\xa8A\xbbi\xdeV\xfd\xe4`I\xce\x05A\x80\xf5\x06\xa6\xf1?6;\\:\x89\x934\x18,>H\xb9\x87\r\xbaw)\xb6.(2H\x1e\xe1y\xc3\xde\xa4" 400 -
218.226.53.117 - - [05/Jul/2007:06:15:45 +0000] "\xe6$/\xa0\x1b.}\x82\x89S\xe2.\xbf{\x95\x17\x0e\xfc\xb4M\x822\xf3\x86\x19\xfe=\x87\xc1\x98\xb4K\t\xb1\x9c0\xa7UO\xe7>\x10\x0eq\xd4{\xf4\xea\x8bXk\xcaU\x9d\xea?M\x98Pd\x04\x1c#\xc7c\xcfL\x88\xb3\x9d\xc5\xcbJ\x07\xea\xc7+!\x02\xdd\x8a\xb9\x1d[\x03\xcb=\xcc&\x1e\xed\xeb\xe2y\xeaZ\x98\xadTG\x97\xf5\xbbn,)B\xb9pD\x046\xd3~\x1b~\xb2Sc\x85\xd6\xbd\x04\x15\xa2\xdb^\x18\x10\xf1\xd5;@4\xe6V\xd8\xc4\r#p\xba\xb4\"4\xd4\x89\xb4\xe0J\x88\x19\xa5\x1b\x1c\xa3\xf8\xeb:\v\xedk}y\xf1+\x0f\x15u\x1d\r\tN" 400 299
221.232.95.202 - - [05/Jul/2007:07:06:26 +0000] "-" 408 -
..


(error_log)
..
[Tue Jul 3 08:04:04 2007] [error] [client 192.168.0.150] File does not exist: /var/www/function.mysql-connect
[Tue Jul 3 10:16:05 2007] [error] [client 192.168.0.150] Invalid URI in request \xff\xfb\x1f\xff\xfb \xff\xfb\x18\xff\xfb'\xff\xfd\x01\xff\xfb\x03\xff\xfd\x03\xff\xf8\x1d
[Tue Jul 3 10:29:38 2007] [error] [client 192.168.0.55] Invalid method in request \\xff\\xf4\\xff\\xfd\\x06\\xff\\xf4\\xff\\xfd\\x06
[Tue Jul 3 16:36:06 2007] [error] [client 61.225.162.165] Invalid method in request \\x05\\x01
[Tue Jul 3 16:36:07 2007] [error] [client 61.225.162.165] File does not exist: /var/www//
[Tue Jul 3 18:23:29 2007] [error] [client 192.168.0.150] File does not exist: /var/www/index.html
..
[Wed Jul 4 12:29:07 2007] [error] [client 192.168.0.150] File does not exist: /var/www/favicon.ico
[Wed Jul 4 13:46:59 2007] [error] [client 202.103.67.57] File does not exist: /var/www/Editor/FS_scripts/language/english/prx.php
[Wed Jul 4 16:21:01 2007] [error] [client 58.61.36.103] File does not exist: /var/www/templates/default/prx.php
[Wed Jul 4 19:41:06 2007] [error] [client 202.103.67.57] File does not exist: /var/www/Editor/FS_scripts/language/english/prx.php
..
[Wed Jul 4 23:35:44 2007] [error] [client 58.61.36.103] File does not exist: /var/www/templates/default/prx.php
..
[Thu Jul 5 01:27:56 2007] [error] [client 202.103.67.57] File does not exist: /var/www/Editor/FS_scripts/language/english/prx.php
[Thu Jul 5 03:42:14 2007] [error] [client 192.168.0.150] File does not exist: /var/www/favicon.ico
[Thu Jul 5 06:15:17 2007] [error] [client 61.116.226.225] request failed: erroneous characters after protocol string: !n\\xe0',D\\xd6\\x1e9!\\xe8j\\v\\xf2\\xe8>^\\xe0\\x04\\xe9i\\x85\\x02\\xac\\"\\x07\\xe6\\x7f\\x9a\\xdb\\xc2\\xd8\\xc8\\xef\\xa8\\x82\\xf4\\x91\\xa6\\xfaj\\x17\\x19\\x93\\x05\\xd5\\xd3\\x1e\\xf0\\xfe\\xe1\\x851\\x80(\\xdc\\xd9\\xf2Af\\xc6\\xca\\x8ayb\\xb7*g3\\x91X(\\x1a\\xf9Z\\xda#E\\x8e\\x02\\x99\\xda%A\\xe7h\\xb7\\xeb\\vi\\x9a\\x1bth\\x91\\xfbK\\xbb\\x96\\xd4\\x15v\\xfe\\xcdib\\t\\xe1\\x9e\\xc0oZ-\\xccz\\x9b\\x0e2\\x02\\x9a-p\\x1e\\xf8\\xac\\x12Q\\xccT\\xafE\\x05\\x7f\\x1e\\x1f\\xe3\\x82\\xf2\\xe6
[Thu Jul 5 06:15:25 2007] [error] [client 210.153.232.224] Invalid method in request e\\x02
[Thu Jul 5 06:15:27 2007] [error] [client 219.167.208.227] Invalid URI in request <v;\xe2\x98]V\xdf\xf3\x1a\xe7\xb9l\x8d\xb3\xc8\xc6\xbbw\xa2\xe9\xbbCZ\x81\xac\x18e\xf6\xecn\xd0(\x1d~\x93R\xbb\xd2\xa8\xc7$\xa4Qz\x9f\xc0\xcb\x11\xf4E\xac\xc5\xe2\x89L\x1b\x0e\xf1\xd8{\x88fh\xe6X\xac\x85\xc6\xc0\xdb\x10\xa8A\xbbi\xdeV\xfd\xe4`I\xce\x05A\x80\xf5\x06\xa6\xf1?6;\\:\x89\x934\x18,>H\xb9\x87\r\xbaw)\xb6.(2H\x1e\xe1y\xc3\xde\xa4
[Thu Jul 5 06:15:45 2007] [error] [client 218.226.53.117] request failed: erroneous characters after protocol string: \\xe6$/\\xa0\\x1b.}\\x82\\x89S\\xe2.\\xbf{\\x95\\x17\\x0e\\xfc\\xb4M\\x822\\xf3\\x86\\x19\\xfe=\\x87\\xc1\\x98\\xb4K\\t\\xb1\\x9c0\\xa7UO\\xe7>\\x10\\x0eq\\xd4{\\xf4\\xea\\x8bXk\\xcaU\\x9d\\xea?M\\x98Pd\\x04\\x1c#\\xc7c\\xcfL\\x88\\xb3\\x9d\\xc5\\xcbJ\\x07\\xea\\xc7+!\\x02\\xdd\\x8a\\xb9\\x1d[\\x03\\xcb=\\xcc&\\x1e\\xed\\xeb\\xe2y\\xeaZ\\x98\\xadTG\\x97\\xf5\\xbbn,)B\\xb9pD\\x046\\xd3~\\x1b~\\xb2Sc\\x85\\xd6\\xbd\\x04\\x15\\xa2\\xdb^\\x18\\x10\\xf1\\xd5;@4\\xe6V\\xd8\\xc4\\r#p\\xba\\xb4\\"4\\xd4\\x89\\xb4\\xe0J\\x88\\x19\\xa5\\x1b\\x1c\\xa3\\xf8\\xeb:\\v\\xedk}y\\xf1+\\x0f\\x15u\\x1d\\r\\tN
..



segun los logs de apache, parece que el objetivo era un proxy, porque hay lineas con ..."prx.php", por lo que pude ver en la net.
Es que las conexiones al servidor yo las tenia configurada en el modem, por el puerto 8080 y en el servidor en su puerto 80.

los caracteres en hexadecimal, supongo debe ser parte de algun codigo, no se. A ver si me explican.




**************************
lo que concierne al modem
**************************
1) tenia definido el redireccionamiento para el web server, puerto y direccion;

2) tambien mis datos para conectarme al proveedor: el username y la clave. Esta, esta en asteriscos(*) y estaba probando con hacerle copy/paste para ver si es copiable y parece que no, ***pero de todas formas no estoy muy confiado***, aunque ya cambie la clave, pero el username, no.

3) en la tabla donde hay que especificar los redireccionamientos, habian dos nuevas entradas, que apuntaban, coincidentemente, a una de mis maquinas y que no estaba encendida, lo cual me lleva a pensar que quiza la direccion IP fue elegida al azar, no se bien.
Esas dos nuevas entradas me llamaron mucho la atencion.

Todo esto, del modem, ocurrio en la manana del dia 05.



Entonces en el lado del modem, cambie de puerto para las peticiones y cesaron los mensajes de arriba, pero al poco tiempo surgieron otros, nuevos, que nunca he visto. Asi que instale "snort" y pude monitorear algo:

(el archivo alert de snort, desde que lo instale)

[**] [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING [**]
07/04-19:55:45.924976 192.168.0.150:1455 -> 192.168.0.55:80
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:1460
***AP*** Seq: 0xF62A8724 Ack: 0x10A5423 Win: 0x29E0 TcpLen: 20

[**] [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING [**]
07/05-01:21:46.061454 192.168.0.150:1288 -> 192.168.0.55:80
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:1424
***AP*** Seq: 0xC529A4A4 Ack: 0x9CE645 Win: 0x3240 TcpLen: 20

[**] [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING [**]
07/05-02:41:10.896003 192.168.0.150:1758 -> 192.168.0.55:80
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:1039
***AP*** Seq: 0xF0708711 Ack: 0xE579A0 Win: 0x2180 TcpLen: 20

[**] [122:1:0] (portscan) TCP Portscan [**]
07/05-05:47:39.599309 192.168.0.55 -> 192.168.0.1
PROTO255 TTL:0 TOS:0x0 ID:8238 IpLen:20 DgmLen:160

[**] [122:1:0] (portscan) TCP Portscan [**]
07/05-05:49:40.119554 192.168.0.55 -> 192.168.0.1
PROTO255 TTL:0 TOS:0x0 ID:47863 IpLen:20 DgmLen:159

[**] [1:2003:8] MS-SQL Worm propagation attempt [**]
[Classification: Misc Attack] [Priority: 2]
07/05-08:04:13.166804 218.106.91.25:1109 -> 192.168.0.55:1434
UDP TTL:44 TOS:0x0 ID:45136 IpLen:20 DgmLen:404
Len: 376
[Xref => http://vil.nai.com/vil/content/v_99992.htm][Xref => http://cgi.nessus.org/plugins/dump.php3?id=11214][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5311][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2050:7] MS-SQL version overflow attempt [**]
[Classification: Misc activity] [Priority: 3]
07/05-08:04:13.166804 218.106.91.25:1109 -> 192.168.0.55:1434
UDP TTL:44 TOS:0x0 ID:45136 IpLen:20 DgmLen:404
Len: 376
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10674][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5310]

[**] [122:1:0] (portscan) TCP Portscan [**]
07/05-09:07:19.340189 192.168.0.55 -> 192.168.0.1
PROTO255 TTL:0 TOS:0x0 ID:2563 IpLen:20 DgmLen:160

[**] [122:1:0] (portscan) TCP Portscan [**]
07/05-09:09:22.029319 192.168.0.55 -> 192.168.0.1
PROTO255 TTL:0 TOS:0x0 ID:6341 IpLen:20 DgmLen:159

[**] [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING [**]
07/05-10:25:46.492862 192.168.0.150:1854 -> 192.168.0.55:80
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:1618
***AP*** Seq: 0xCB06936B Ack: 0x1AC28B07 Win: 0x4EC TcpLen: 20

[**] [1:2003:8] MS-SQL Worm propagation attempt [**]
[Classification: Misc Attack] [Priority: 2]
07/05-10:39:17.839712 220.166.64.80:3046 -> 192.168.0.55:1434
UDP TTL:109 TOS:0x0 ID:28651 IpLen:20 DgmLen:404
Len: 376
[Xref => http://vil.nai.com/vil/content/v_99992.htm][Xref => http://cgi.nessus.org/plugins/dump.php3?id=11214][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5311][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2050:7] MS-SQL version overflow attempt [**]
[Classification: Misc activity] [Priority: 3]
07/05-10:39:17.839712 220.166.64.80:3046 -> 192.168.0.55:1434
UDP TTL:109 TOS:0x0 ID:28651 IpLen:20 DgmLen:404
Len: 376
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10674][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2003:8] MS-SQL Worm propagation attempt [**]
[Classification: Misc Attack] [Priority: 2]
07/05-14:09:51.451886 61.152.255.68:1172 -> 192.168.0.55:1434
UDP TTL:108 TOS:0x0 ID:51168 IpLen:20 DgmLen:404
Len: 376
[Xref => http://vil.nai.com/vil/content/v_99992.htm][Xref => http://cgi.nessus.org/plugins/dump.php3?id=11214][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5311][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2050:7] MS-SQL version overflow attempt [**]
[Classification: Misc activity] [Priority: 3]
07/05-14:09:51.451886 61.152.255.68:1172 -> 192.168.0.55:1434
UDP TTL:108 TOS:0x0 ID:51168 IpLen:20 DgmLen:404
Len: 376
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10674][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2003:8] MS-SQL Worm propagation attempt [**]
[Classification: Misc Attack] [Priority: 2]
07/05-18:07:01.643278 219.147.233.30:3109 -> 192.168.0.55:1434
UDP TTL:108 TOS:0x0 ID:3074 IpLen:20 DgmLen:404
Len: 376
[Xref => http://vil.nai.com/vil/content/v_99992.htm][Xref => http://cgi.nessus.org/plugins/dump.php3?id=11214][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5311][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2050:7] MS-SQL version overflow attempt [**]
[Classification: Misc activity] [Priority: 3]
07/05-18:07:01.643278 219.147.233.30:3109 -> 192.168.0.55:1434
UDP TTL:108 TOS:0x0 ID:3074 IpLen:20 DgmLen:404
Len: 376
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10674][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2003:8] MS-SQL Worm propagation attempt [**]
[Classification: Misc Attack] [Priority: 2]
07/05-18:26:28.642065 218.25.92.78:4830 -> 192.168.0.55:1434
UDP TTL:106 TOS:0x0 ID:47417 IpLen:20 DgmLen:404
Len: 376
[Xref => http://vil.nai.com/vil/content/v_99992.htm][Xref => http://cgi.nessus.org/plugins/dump.php3?id=11214][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5311][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2050:7] MS-SQL version overflow attempt [**]
[Classification: Misc activity] [Priority: 3]
07/05-18:26:28.642065 218.25.92.78:4830 -> 192.168.0.55:1434
UDP TTL:106 TOS:0x0 ID:47417 IpLen:20 DgmLen:404
Len: 376
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10674][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2003:8] MS-SQL Worm propagation attempt [**]
[Classification: Misc Attack] [Priority: 2]
07/05-21:48:31.314156 219.153.161.107:2685 -> 192.168.0.55:1434
UDP TTL:110 TOS:0x0 ID:4789 IpLen:20 DgmLen:404
Len: 376
[Xref => http://vil.nai.com/vil/content/v_99992.htm][Xref => http://cgi.nessus.org/plugins/dump.php3?id=11214][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5311][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2050:7] MS-SQL version overflow attempt [**]
[Classification: Misc activity] [Priority: 3]
07/05-21:48:31.314156 219.153.161.107:2685 -> 192.168.0.55:1434
UDP TTL:110 TOS:0x0 ID:4789 IpLen:20 DgmLen:404
Len: 376
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10674][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2003:8] MS-SQL Worm propagation attempt [**]
[Classification: Misc Attack] [Priority: 2]
07/06-00:03:55.952596 218.25.10.148:1156 -> 192.168.0.55:1434
UDP TTL:109 TOS:0x0 ID:52906 IpLen:20 DgmLen:404
Len: 376
[Xref => http://vil.nai.com/vil/content/v_99992.htm][Xref => http://cgi.nessus.org/plugins/dump.php3?id=11214][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5311][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2050:7] MS-SQL version overflow attempt [**]
[Classification: Misc activity] [Priority: 3]
07/06-00:03:55.952596 218.25.10.148:1156 -> 192.168.0.55:1434
UDP TTL:109 TOS:0x0 ID:52906 IpLen:20 DgmLen:404
Len: 376
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10674][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2003:8] MS-SQL Worm propagation attempt [**]
[Classification: Misc Attack] [Priority: 2]
07/06-01:06:18.198685 218.190.237.89:3294 -> 192.168.0.55:1434
UDP TTL:111 TOS:0x0 ID:46953 IpLen:20 DgmLen:404
Len: 376
[Xref => http://vil.nai.com/vil/content/v_99992.htm][Xref => http://cgi.nessus.org/plugins/dump.php3?id=11214][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5311][Xref => http://www.securityfocus.com/bid/5310]

[**] [1:2050:7] MS-SQL version overflow attempt [**]
[Classification: Misc activity] [Priority: 3]
07/06-01:06:18.198685 218.190.237.89:3294 -> 192.168.0.55:1434
UDP TTL:111 TOS:0x0 ID:46953 IpLen:20 DgmLen:404
Len: 376
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10674][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5310]


lo que pude investigar es que lo de MS-SQL es un worm que ataca maquinas con windows y que radica en la memoria y la maquina infectada comienza a infectar a otras. Pero ese, aparentemente, no es mi caso??

Y tambien lo que me llama la atencion son las lineas con "BARE BYTE UNICODE...".

Y otra cosa que mas me llama la atencion:
como hacen para entrar hasta el servidor, puerto 1434, si no tengo ningun proceso escuchando por ese puerto y ademas, en el modem, ese puerto esta cerrado?!? O es que hay un proceso en mi servidor?

ya ejecute 'netstat -an' y no hay puerto 1434 abierto, tampoco hay algun proceso relacionado.

busque por modificaciones en algunos programas y aparentemente no hay nada comprometido, aparentemnte.


Esta es una experiencia nueva que estoy pasando y parece hubo mas de un tipo de ataque y sospecho, puede ser del mismo origen.
Gustaria contar con la colaboracion de uds, sus orientaciones.


disculpen la extension de los logs, fue necesario para una mayor ilustracion.

espero sus respuestas


gracias
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 10/07/07 03:10  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1724
País:Mexico
Efectivamente, trataron de vulnerar tu seguridad. Por fortuna, parece que nada de lo que intentaron te afectó. Sugiero simplemente hagas ajustes de seguridad, como ofuscar puertos de servicios como SSH y otros que no requieren acceso al público, así como utilizar siempre directorios virtuales ofuscados para aplicaciones que utilices en Apache.
 
Perfil Sitio Web
 Citar
Will Lpz Jimnz
Publicado en 10/07/07 07:43  

Admin
Site Admin

Inscrito: 19/02/07 Publicaciones: 180
País:Mexico
Emplear la Seguridad por Oscuridad te valdria bien en tu sistema.

Asi tendrias menos porblemas de ataques a puertos por defaul que comunmente se hacen, como por ejemplo a los servicios de SSh, FTP, etc ..

Saludos !! Sr. verde

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]
 
Perfil Sitio Web
 Citar
manuelk
Publicado en 11/07/07 01:32  

Participa poco
Forum User

Inscrito: 31/03/07 Publicaciones: 22
gracias a ambos.


afortunadamente (y aparentemente) no hay nada raro en mi sistema, ya estaba pensando en hacer una reinstalacion pero en estos dias incluso, no he "recibido" visitas y afortunadamente no habian datos importantes, que digamos, pero fue muy didactico. Ya he leido algunos documentos sobre seguridad.

Aqui mi granito de arena(hay buenas documentaciones):

http://www.linuxexposed.com


saludos
 
Perfil
 Citar
Contenido generado en: 0,15 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 03:49 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado