Re: [hlbr] como manter pc protegido

[Rogerio Ferreira]

No script em python tem uma variável randomica que compõe a string http:...numeros = str(random.choice(xrange(10)))...url.open('http://' + alvo + '/' + pasta + '/.dll/' + ascii + barras + '~' + numeros)...<rule>ip dst(www)tcp dst(80)tcp regex(0|1|2|3|4|5|6|7|8|9)message=(iisattacks) Ataque ao IIS 5.1action=""></rule>Eu só usei regex para os números e não para string http inteira, só para ficar mais simples. Mas poderia colocar dentro do regex toda a composição da string:...pasta = random.choice(['_vti_bin','_sharepoint'])ascii = random.choice(['%3f','"','*',':','<','>'])barras = random.choice(['\\','/'])numeros = str(random.choice(xrange(10)))...Mas foi só para ilustrar o exploit. Por
 exemplo:http://www.exemplo.com.br/_vti_bin/.dll/*\~0Ele vai barrar só por causa do 0. Se tiver uma string http que contenha um 0 ele vai barrar também. É claro que num ambiente de produção esta regra seria sem sentido, pois barraria qualquer coisa que tivesse um 0. Mas quem vai usar o Win XP com web server? Mais eu vou melhorar esta regra, para toda a string http. Se tiver uma sugestão para a regra, me passa que eu altero no tutorial. No site abaixo mostra as strings que geram a negação de serviço para o IIS, eu fiz o script baseado nele:http://www.securiteam.com/windowsntfocus/6E00E2KEUS.htmlObrigado pela observação.André Bertelli Araújo <[EMAIL PROTECTED]> escreveu:    Notei esta regra no tutorial, está correto?  <rule> ip dst(www) tcp dst(80) tcp regex(0|1|2|3|4|5|6|7|8|9) message=(iisattacks) Ataque ao IIS 5.1 action=""> </rule>  Em 14/08/06, Rogerio Ferreira <[EMAIL PROTECTED]> escreveu: > > >    Dê uma olhada no link abaixo: > > http://rogeriotux.objectis.net/artigos > > Rogerio Ferreira > http://rogeriotux.objectis.net > > > pcprotegido <[EMAIL PROTECTED]> escreveu: > >     gostei do anuncio de que HLBR pode manter minha rede protegida. > >  estou querendo mais conhecimento sobre o mesmo. > > >
 > > > > > >               ________________________________   Yahoo! Search >   Música para ver e ouvir: You're Beautiful, do James Blunt  > > >    --  .o.    André Bertelli Araújo       Debian GNU/Linux ..o    http://bertelli.name        Linux user #248583 ooo    <><    
		 
Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! 

__._,_.___





---------------------------------------------------------------------
Esta lista não admite a abordagem de outros assuntos que não estejam ligados ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio aviso.
---------------------------------------------------------------------
Sair da lista: [EMAIL PROTECTED]
---------------------------------------------------------------------
Esta lista é moderada de acordo com o previsto em http://www.listas-discussao.cjb.net
---------------------------------------------------------------------
Servidor Newsgroup da lista: news.gmane.org
Grupo: gmane.comp.security.ids.hlbr
---------------------------------------------------------------------
HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377
---------------------------------------------------------------------











   



          


    
    
      
        Yahoo! Grupos, um serviço oferecido por:
      
      
        
PUBLICIDADE




      
          
    


  




  
Links do Yahoo! Grupos

Para visitar o site do seu grupo na web, acesse:http://br.groups.yahoo.com/group/hlbr/ 
Para sair deste grupo, envie um e-mail para:[EMAIL PROTECTED] 
O uso que você faz do Yahoo! Grupos está sujeito aos Termos do Serviço do Yahoo!.






__,_._,___