Atak: URL_Directory_Traversal

[lts]

Z jednego z wątków na Forum Aktualności lub Kraj wszedłem na stronę programu
Samoobrony i wówczas z Norton Internet Security uzyskałem nastepujący
komunikat:

"Szczegóły: Wykryto i zablokowano próbę wtargnięcia
"URL_Directory_Traversal"
z tego komputera do komputera www.samoobrona.org.pl(62.129.194.215)
Intruz: localhost(1792)
Poziom zagrożenia: Wysoki
Protokół: TCP
Zaatakowany adres IP: www.samoobrona.org.pl(62.129.194.215)
Zaatakowany port: http(80)"


Sprawdziłem na ich stronach, że PISu, Platformy i SLD nie atakuję.

Na stronach Symateka informacje na temat tego typu ataku były bardzo skąpe.
Zrozumiałem z nich, że aktualne bazy Symateka wykrywaja ten atak. U mnie jak
widać został on wykryty.
Mam trochę wątpliwości, czy to napewno ja atakowałem Leppera, czy Lepper mnie,
czy może ktoś trzeci wtrącił się.


Co z tym fantem robić?


Pozdroweinia
lts

[dziuunia]

No na blokadę Samoobrony nic nie poradzisz.Trzeba przeczekać;)Albo obejść:)A
atakować nie wolno,bo chłop żywemu nie przepuści;)Nieładnie!Zobaczymy może
Lepper się tu dopisze to się coś wyjaśni.

[Gość: aas]

Zrob sobie latke na LUKE Windowsa z Micr.Sof.,latke na Inter.Expl.
i latke na Wind.Med.Play.
No i oczywiscie blokade firewall-a Windowsa uruchom/jest juz w nim/.

[lts]

Gość portalu: aas napisał(a):

> Zrob sobie latke na LUKE Windowsa z Micr.Sof.,latke na Inter.Expl.
> i latke na Wind.Med.Play.

Czy mówisz o jakichś konkretnych lukach? I o jakichś konkretnych łatkach?


> No i oczywiscie blokade firewall-a Windowsa uruchom/jest juz w nim/.

W Windowsie 2000 Professional nie znalazłem firewalla. Z resztą jest firewall z
NIS aktualizowany na okrąło.

Czy wiesz coś więcej na temat tego rodzaju ataku?
Pzdr
lts

Atak Na SAMOOBRONĘ dzis ponownie

[lts]

Tu w wiadomości pt:
Re:Przygotujmy Polsce ładny nekrolog
Wiesniak 10.03.2004 9.00
forum.gazeta.pl/forum/72,2.html?f=28&w=11274006&v=2&s=0

znajduje się link do strony z programem Samoobrony. Dziś ponownie wchodząc na
nią otrzymałem komunikat
"Szczegóły: Wykryto i zablokowano próbę wtargnięcia "URL_Directory_Traversal" z
tego komputera do komputera www.samoobrona.org.pl(62.129.194.215)
Intruz: localhost(1241)
Poziom zagrożenia: Wysoki
Protokół: TCP
Zaatakowany adres IP: www.samoobrona.org.pl(62.129.194.215)
Zaatakowany port: http(80)"

Czy ktos, kto ma firewall "na chodzie" mógłby sprawdzić czy jest atakowany z
w/w strony Samoobrony URL_Directory_Traversal. Jeżli tak oznaczałoby to że
Lepper atakuje. Jeżeli nie - to znaczy że ja atakuję Leppera.

Czekam na odpowiedzi.

Pozdrawiam
lts

[Gość: e.111]

...to Ty atakujesz Leppera ;)

[lts]

Jezuuuu...
A może Lepper tych z Hamburga nie atakuje-:))))) ?

[dziuunia]

Tych z Gdańska też nie :)))Strona wyświetla się u mnie normalnie.

[lts]

dziuunia napisała:

> Tych z Gdańska też nie :)))Strona wyświetla się u mnie normalnie.

Czy masz firewall włączony" Żadnych komunikatów?

[dziuunia]

Mam włączony standardowy firewall jaki jest w XP Pro.Komunikatów żadnych.

[e.111]

lts napisał:

> Jezuuuu...
> A może Lepper tych z Hamburga nie atakuje-:))))) ?

...ci z Hamburga nie maja "dziwnych"programow na kompie ;)
Jeden z progrmow na twoim komputerze(localhost-to jest Twoja maszyna)probuje
wywołac bład na Apaczu Samoobrony.
httpd.apache.org/info/security_bulletin_20020908a.txt

ps: Atak dzis ponownie

[e.111]

...ale zeby bylo smieszniej Samoobrona wynajmuje webspace na home.net.pl a oni
maja IdeaWeb Server ktory chodzi na BSD.
Chociaz prawde mowiac ten Traversal Atack powinien dzalac czysto teoretycznie
na wszyskich webserverach...

[lts]

Czytam od rana w googlach wszystko na temat, jaki to ja jestem agresywny i
zaczyna w to co raz bardziej wątpić.

To jest początek kodu tej "atakowanej przez mnie" strony samoobrozy:
<html>
<head>
<title>Samoobrona</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">
<link rel="stylesheet" href="../../design/style.css">
</head>"

Zwracam uwagę na ../../ . Dalej w kodzie jest wiecej takich grup znaków. Z
dzisiejszej e-literatury wyczytałem, że URL_Directory_Traversal zawiera właśnie
takie grupy znaków. I NIS jak to widzi to generuje alert.
Na innych przypadkowo podejrzanych stronach nie zauważyłem w kodzie takich grup
znaków.

Czy Ty używasz Norton Internet Security? Czy innego firewalla?
pzdr
lts

[e.111]

lts napisał:

> To jest początek kodu tej "atakowanej przez mnie" strony samoobrozy:
> <link rel="stylesheet" href="../../design/style.css">
...jak widac jest to link do dalszych podkatalogow strony zawierajacych potrzebne zródła

> Zwracam uwagę na ../../ . Dalej w kodzie jest wiecej takich grup znaków. Z
> dzisiejszej e-literatury wyczytałem, że URL_Directory_Traversal zawiera właśnie
> takie grupy znaków.
...tak,ale w tym przypadku to nie jest exploit tylko odnosnik do innych zasobów strony

> I NIS jak to widzi to generuje alert.
...NiS i wszystko jasne ;)Tylko ze NIS tutaj nie umie rozróżnić że to jest tylko kod
zródłowy strony a nie atak na Twoje katalogi przy pomocy "trawestacji" scieżki dostępu,
czyli działa jakby na zasadzie -wszyscy podejrzani są tak długo winni aż nie udowodnia
swojej niewinnosci,ale nawet wtedy nie będziemy im ufać ;))

> Czy Ty używasz Norton Internet Security? Czy innego firewalla?
...iptables,LIDS,Snort

rgds::E111

Luźne uwagi

[lts]

To fakt, że w ym miejscu NIS jest chyba trochę przeczulony ale z drugiej
strony, NIS nie reaguje w ten sposób na inne strony.

Próbowałem kiedyś zrobić jakąś stronę i na pierwszej lekcji wyczytałem, że
adresowanie względne jest dobre ponieważ strone można wówczas łatwo przenosić z
jesdnego serwera na inny. W przypadku adresowania bezwzględnego fragmenty
ścieżek dostępu trzebaby wówczas pozanieniac - łatwo wówczas o pomyłkę. Z tych
moich wywodów mozna wyciągnąć wniosek, że strona samoobrony zawiera te../../../
żeby w razie potrzeby łatwiej podziękować za gościnę i przenieść się gdzieś
indziej.

Jednocześnie pragne podziękować wszystkim za odzew.
Pozdrowienia
lts