« Return to Thread: SOS - Ataque contra el-directorio
Re: SOS - Ataque contra el-directorio
by Polkan Garcia-2
::
Rate this Message:
Las contramedidas comienzan a funcionar:
[29/Mar/2008:11:33:12 --0500] @XgdKX8AAQEAAEaqGhYAAAAJ 83.15.27.68
3085 172.16.10.200 80
--0343930f-B--
POST /CmSoto/Blog/2006-09-16#pagecomment1 HTTP/1.0
Via: 1.1 SBS2K
Content-Length: 1777
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT)
Host: www.el-directorio.org
Accept: */*
Referer: http://www.el-directorio.org/CmSoto/Blog/2006-09-16Pragma:
no-cacheCache-Control: no-store no-cacheConnection:
Keep-Alive--0343930f-C--commentaction=addcomment1&comrev=0&action=show&commarkup1=1&autopasswd=kij8&compasswd=kij8&comauthor=loan+processor+school&button_save=Save&comtext=Useful+site.+Thanks%3A-%29%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage14.html+online+high+school+diplomas%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage15.html+primavera+online+high+school%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage16.html+online+nursing+school%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage17.html+online+business+school%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage18.html+cooking+online+school%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage19.html+online+home+school%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage20.html+online+accounting+school%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage21.html+home+school+online%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage22.html+online+high+school+courses%0Ahttp%3A%2F%2Feducationz.ho
st93.com%2FO48%2Fpage23.html+online+high+school+classes%0Ahttp%3A%2F%2Feducationz.host93.com%2Fs49%2Findex.html+school+loan+consolidation%0Ahttp%3A%2F%2Fed
ucationz.host93.com%2Fs49%2Findex1.html+government+school+loan%0Ahttp%3A%2F%2Feducationz.host93.com%2Fs49%2Fpage1.html+school+loan%0Ahttp%3A%2F%2Feducation
z.host93.com%2Fs49%2Fpage2.html+consolidation+loan+school%0Ahttp%3A%2F%2Feducationz.host93.com%2Fs49%2Fpage3.html+acs+school+loan%0Ahttp%3A%2F%2Feducationz
.host93.com%2Fs49%2Fpage4.html+loan+officer+school%0Ahttp%3A%2F%2Feducationz.host93.com%2Fs49%2Fpage5.html+private+school+loan+consolidation%0Ahttp%3A%2F%2
Feducationz.host93.com%2Fs49%2Fpage6.html+loan+processor+school%0Ahttp%3A%2F%2Feducationz.host93.com%2Fs49%2Fpage7.html+student+loan+graduate+school%0Ahttp
%3A%2F%2Feducationz.host93.com%2Fs49%2Fpage8.html+loan+processing+school
--0343930f-F--
HTTP/1.1 403 Forbidden
Content-Length: 224
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1
--0343930f-H--
Message: Access denied with code 403 (phase 2). Pattern match
"(educationz)+[\\w\\-_.]*host*" at ARGS:comtext.
Action: Intercepted (phase 2)
Apache-Handler: fastcgi-script
Stopwatch: 1206808391195945 1538303 (1535899* 1537911 -)
Producer: ModSecurity v2.1.1 (Apache 2.x)
Server: Apache/2.2.3 mod_fastcgi/2.4.2
2008/3/29 Polkan Garcia <pagarcia@...>:
> Gracias por la información, es una "pelea" que se ha vuelto 1 a 1 en
> wikis bien puntuados en Google. El sitio el-directorio.org estará
> prestando sus servicios de forma intermitente mientras aplico medidas.
>
> Polkan García
>
> 2008/3/29 Samurai Blanco <samuraiblanco@...>:
>
>
> > Con referencia a mi correo inicialmente enviado del ataque me permito
> > informar lo sisguiente a los administradores y a quienes tengan la
> > posibilidad de informarles prontamente:
> >
> > Realicé un rastreo de una de la IP's que generaba el ataque (201.91.91.116)
> > y pude ubicarla en Brasil con dominio "sterlingstudents.net"; al parecer
> > este servidor ha generado este tipo de ataque a varios sitios por lo que he
> > podido averiguar y además puede presentar varias conexiones (del orden de
> > 100) desde la misma IP.
> >
> > Estos son los datos del atacante:
> >
> > IP Address : 201.91.91.116 (Esta Ip es dinamica) - se me ocurre que
> > inicalmente se bloquee este rango de direcciones mientras se encuentra una
> > mejor solución
> >
> > Country: BRAZIL
> >
> > ISP: COMITE GESTOR DA INTERNET NO BRASIL
> >
> > Domain: STERLINGSTUDENTS.NET
> >
> > Espero que a los administradores o a Guba (para que observe el log en los
> > sistemas de seguridad perimetral que protegen el-directorio) le puedan
> > servir estos datos.
> >
> >
> >
> >
> > On Sat, Mar 29, 2008 at 4:54 AM, Samurai Blanco <samuraiblanco@...>
> > wrote:
> > > En las últimas horas (noche del viernes 28 de marzo - madrugada del sábado
> > 29 de marzo) he notado un ataque bastante robusto contra el-directorio
> > (mirar cambios recientes) [1], durante el monitoreo que realicé he notado
> > que de alguna forma hay "robots" generadores de código malicioso en alguna
> > parte del sitio; pienso que con urgencia se hace necesario que los
> > administradores revisen el site por que se me está saliendo de las manos el
> > borrar manualmente estos códigos generados (por favor revisen las horas en
> > las que borré y la cantidad de acciones que se tomaron para ese borrado).
> > >
> > > [1] http://www.slcolombia.org/CambiosRecientes
> > >
> >
> >
> > _______________________________________________
> > Lista de correo de Colibri
> > Colibri@...
> > http://listas.el-directorio.org/cgi-bin/mailman/listinfo/colibri
> >
> > El Directorio, el sitio del Software Libre en Colombia:
> > http://www.el-directorio.org
> >
>
_______________________________________________
Lista de correo de Colibri
Colibri@...
http://listas.el-directorio.org/cgi-bin/mailman/listinfo/colibri
El Directorio, el sitio del Software Libre en Colombia:
http://www.el-directorio.org
[29/Mar/2008:11:33:12 --0500] @XgdKX8AAQEAAEaqGhYAAAAJ 83.15.27.68
3085 172.16.10.200 80
--0343930f-B--
POST /CmSoto/Blog/2006-09-16#pagecomment1 HTTP/1.0
Via: 1.1 SBS2K
Content-Length: 1777
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT)
Host: www.el-directorio.org
Accept: */*
Referer: http://www.el-directorio.org/CmSoto/Blog/2006-09-16Pragma:
no-cacheCache-Control: no-store no-cacheConnection:
Keep-Alive--0343930f-C--commentaction=addcomment1&comrev=0&action=show&commarkup1=1&autopasswd=kij8&compasswd=kij8&comauthor=loan+processor+school&button_save=Save&comtext=Useful+site.+Thanks%3A-%29%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage14.html+online+high+school+diplomas%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage15.html+primavera+online+high+school%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage16.html+online+nursing+school%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage17.html+online+business+school%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage18.html+cooking+online+school%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage19.html+online+home+school%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage20.html+online+accounting+school%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage21.html+home+school+online%0Ahttp%3A%2F%2Feducationz.host93.com%2FO48%2Fpage22.html+online+high+school+courses%0Ahttp%3A%2F%2Feducationz.ho
st93.com%2FO48%2Fpage23.html+online+high+school+classes%0Ahttp%3A%2F%2Feducationz.host93.com%2Fs49%2Findex.html+school+loan+consolidation%0Ahttp%3A%2F%2Fed
ucationz.host93.com%2Fs49%2Findex1.html+government+school+loan%0Ahttp%3A%2F%2Feducationz.host93.com%2Fs49%2Fpage1.html+school+loan%0Ahttp%3A%2F%2Feducation
z.host93.com%2Fs49%2Fpage2.html+consolidation+loan+school%0Ahttp%3A%2F%2Feducationz.host93.com%2Fs49%2Fpage3.html+acs+school+loan%0Ahttp%3A%2F%2Feducationz
.host93.com%2Fs49%2Fpage4.html+loan+officer+school%0Ahttp%3A%2F%2Feducationz.host93.com%2Fs49%2Fpage5.html+private+school+loan+consolidation%0Ahttp%3A%2F%2
Feducationz.host93.com%2Fs49%2Fpage6.html+loan+processor+school%0Ahttp%3A%2F%2Feducationz.host93.com%2Fs49%2Fpage7.html+student+loan+graduate+school%0Ahttp
%3A%2F%2Feducationz.host93.com%2Fs49%2Fpage8.html+loan+processing+school
--0343930f-F--
HTTP/1.1 403 Forbidden
Content-Length: 224
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1
--0343930f-H--
Message: Access denied with code 403 (phase 2). Pattern match
"(educationz)+[\\w\\-_.]*host*" at ARGS:comtext.
Action: Intercepted (phase 2)
Apache-Handler: fastcgi-script
Stopwatch: 1206808391195945 1538303 (1535899* 1537911 -)
Producer: ModSecurity v2.1.1 (Apache 2.x)
Server: Apache/2.2.3 mod_fastcgi/2.4.2
2008/3/29 Polkan Garcia <pagarcia@...>:
> Gracias por la información, es una "pelea" que se ha vuelto 1 a 1 en
> wikis bien puntuados en Google. El sitio el-directorio.org estará
> prestando sus servicios de forma intermitente mientras aplico medidas.
>
> Polkan García
>
> 2008/3/29 Samurai Blanco <samuraiblanco@...>:
>
>
> > Con referencia a mi correo inicialmente enviado del ataque me permito
> > informar lo sisguiente a los administradores y a quienes tengan la
> > posibilidad de informarles prontamente:
> >
> > Realicé un rastreo de una de la IP's que generaba el ataque (201.91.91.116)
> > y pude ubicarla en Brasil con dominio "sterlingstudents.net"; al parecer
> > este servidor ha generado este tipo de ataque a varios sitios por lo que he
> > podido averiguar y además puede presentar varias conexiones (del orden de
> > 100) desde la misma IP.
> >
> > Estos son los datos del atacante:
> >
> > IP Address : 201.91.91.116 (Esta Ip es dinamica) - se me ocurre que
> > inicalmente se bloquee este rango de direcciones mientras se encuentra una
> > mejor solución
> >
> > Country: BRAZIL
> >
> > ISP: COMITE GESTOR DA INTERNET NO BRASIL
> >
> > Domain: STERLINGSTUDENTS.NET
> >
> > Espero que a los administradores o a Guba (para que observe el log en los
> > sistemas de seguridad perimetral que protegen el-directorio) le puedan
> > servir estos datos.
> >
> >
> >
> >
> > On Sat, Mar 29, 2008 at 4:54 AM, Samurai Blanco <samuraiblanco@...>
> > wrote:
> > > En las últimas horas (noche del viernes 28 de marzo - madrugada del sábado
> > 29 de marzo) he notado un ataque bastante robusto contra el-directorio
> > (mirar cambios recientes) [1], durante el monitoreo que realicé he notado
> > que de alguna forma hay "robots" generadores de código malicioso en alguna
> > parte del sitio; pienso que con urgencia se hace necesario que los
> > administradores revisen el site por que se me está saliendo de las manos el
> > borrar manualmente estos códigos generados (por favor revisen las horas en
> > las que borré y la cantidad de acciones que se tomaron para ese borrado).
> > >
> > > [1] http://www.slcolombia.org/CambiosRecientes
> > >
> >
> >
> > _______________________________________________
> > Lista de correo de Colibri
> > Colibri@...
> > http://listas.el-directorio.org/cgi-bin/mailman/listinfo/colibri
> >
> > El Directorio, el sitio del Software Libre en Colombia:
> > http://www.el-directorio.org
> >
>
_______________________________________________
Lista de correo de Colibri
Colibri@...
http://listas.el-directorio.org/cgi-bin/mailman/listinfo/colibri
El Directorio, el sitio del Software Libre en Colombia:
http://www.el-directorio.org
« Return to Thread: SOS - Ataque contra el-directorio
| Free Forum Powered by Nabble | Forum Help |