Apache 2.0.55

[RJ45]

Ciao a tutti, avrei un consiglio da chiedervi.

Qualche settimana fa ho installato su un pc della mia rete 'casalinga' il web server di cui sopra. Si trattava di un esperimento per verificare la sua raggiungibilita' dall'esterno inserendo le opportune regole nat sul router e tramite un dominio DynDns.org. Naturalmente c'e' solo la homepage, nessun sito ne' pagine attive, nulla di nulla.

Tutto funziona egregiamente, ma quando ho dato un'occhiata ai log delle connessioni... decine di tentativi di exploit di tutti i generi, provenienti dagli indirizzi piu' disparati... Tra l'altro alla fine di ogni riga di log c'e' una coppia di numeri dei quali ignoro il significato (e' la risposta del server alla richiesta? Boh... )
Evidentemente ci sono macchine permanentemente accese che non fanno altro che scandagliare gli ip alla ricerca di qualcuno in ascolto.

La domanda e' questa: tali exploit (o presunti tali) sono classificati da qualche parte? Insomma c'e' modo di sapere le vulnerabilita' presunte del server?

Grazie a chi potra' illuminarmi.

Andrea.

[TheIrish]

La domanda è molto interessante e quindi forse necessita di qualche parola in più.
Quando noi rendiamo pubblico un servizio nel Web, facciamo si che chiunque (ammeno che non specifichiamo diversamente) possa raggiungere questo servizio.
Su internet, indirizzati ai servizi più famosi, viaggiano pacchetti/richieste/dati privi di senso di ogni sorta. E' quello che tipicamente viene chiamato "rumore di fondo".
Possiamo classificarli in:
Indexing bots: sono il cuore dei motori di ricerca. Attraverso una tecnica che si chiama spidering, raggiungono (o dovrebbero raggiungere) ogni "angolo" del web, richiedere almeno l'home page, e cominciare il lavoro di indicizzazione;
hacker attacks: non penso ci vogliano spiegazioni. Possono essere attacchi di exploiting ben mirati e guidati da una mano umana o semplici BOT in cerca di qualcosa;
vermi: molti servizi (anche i server web) possono essere soggetti a "vermi". Un verme sfrutta una vulnerabilità, entra nel sistema e si insedia. Poi tenta di diffondersi in vari modi. Il più comune è quello di andare ad infettare i server web che hostano le pagine linkate dal sito. Un altro è sfruttare una vulnerabilità nei client, insediarsi in essi e diffondersi nei siti web che il client visiterà in seguito;
Domain injection: è un tipo di denial of service che porta alcuni effetti collaterali. Un attaccante aggredisce il domain name server dove è ospitato il nome del server che si vuole oscurare e, utilizzando hacks di varia sorta, si modifica l'entry nella tabella. Effetto collaterale possibile: per un periodo, qualcuno riceverà traffico non realmente indirizzato a lui;
DNS failure: un dns fallisce la risoluzione di un dominio a causa di un fault e ti manda da tutt'altra parte;

E questi sono solo alcuni!
Detto questo posso permettermi darti due consigli:
1. Tieni apache sempre ben aggiornato
2. Mettiti l'anima in pace, questa è la vita di un server web;
3. Installa snort che ti permetterà di classificare questi attacchi (per lo più rivolti a server IIS)

[RJ45]

Grazie TheIrish,

mi consola il fatto che il server e' Apache e non IIS, anche se gira su un Windows 2k (eh... lo so, scusatemi ).
Comunque stamattina ho scaricato e installato Snort + WinCap, ho loggato qualche minuto di traffico e mi sono reso conto della dimensione preoccupante del file che ne e' risultato. Devo evidentemente procedere con un qualche filtraggio.

Alla prossima.

Andrea.