http://karpoke.ignaciocano.com/tags/w00tw00t/Recent content in W00tw00t on Karpoke - Just Another BlogHugo -- 0.159.0esThu, 26 May 2011 19:39:00 +0100http://karpoke.ignaciocano.com/2011/05/26/mejorando-la-seguridad-de-apache-con-varnish/Thu, 26 May 2011 19:39:00 +0100http://karpoke.ignaciocano.com/2011/05/26/mejorando-la-seguridad-de-apache-con-varnish/<p><a href="http://www.varnish-cache.org/docs/2.1/">Varnish</a> es un acelerador web, que puede ser utilizado tanto para cachear contenido estático de nuestro servidor, para balancear la carga o <a href="http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian">para incrementar la seguridad</a>, por ejemplo, bloqueando cierto tipo de peticiones u ocultando cierto tipo de información.</p> <p>Se instala directamente de los repositorios:</p> <pre tabindex="0"><code>$ sudo aptitude install varnish </code></pre><p>Ahora lo configuraremos para utilizarlo como capa intermedia, delante de nuestro Apache. Editamos el fichero <code>/etc/default/varnish</code> y cambiamos:</p> <pre tabindex="0"><code>DAEMON_OPTS=&#34;-a :6081 -T localhost:6082 -f /etc/varnish/default.vcl -S /etc/varnish/secret -s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G&#34; </code></pre><p>por:</p>http://karpoke.ignaciocano.com/2011/01/17/w00t-w00t/Mon, 17 Jan 2011 04:18:00 +0100http://karpoke.ignaciocano.com/2011/01/17/w00t-w00t/<p>Si revisamos los <em>logs</em> del servidor web, de vez en cuando aparecen toda una serie de peticiones del tipo:</p> <pre tabindex="0"><code>193.108.81.203 - - [12/Jan/2011:16:48:31 +0100] &#34;GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1&#34; 404 488 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:34 +0100] &#34;GET /db/scripts/setup.php HTTP/1.1&#34; 404 471 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:35 +0100] &#34;GET /mysql/scripts/setup.php HTTP/1.1&#34; 404 473 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:35 +0100] &#34;GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1&#34; 404 480 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:38 +0100] &#34;GET /phpmyadmin/scripts/setup.php HTTP/1.1&#34; 404 477 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:38 +0100] &#34;GET /pma/scripts/setup.php HTTP/1.1&#34; 404 472 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:39 +0100] &#34;GET /web/phpMyAdmin/scripts/setup.php HTTP/1.1&#34; 404 479 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:39 +0100] &#34;GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1&#34; 404 480 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:39 +0100] &#34;GET /web/scripts/setup.php HTTP/1.1&#34; 404 472 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:39 +0100] &#34;GET /websql/scripts/setup.php HTTP/1.1&#34; 404 474 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:40 +0100] &#34;GET /webadmin/scripts/setup.php HTTP/1.1&#34; 404 476 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:40 +0100] &#34;GET /sqlweb/scripts/setup.php HTTP/1.1&#34; 404 474 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:40 +0100] &#34;GET /websql/scripts/setup.php HTTP/1.1&#34; 404 474 &#34;-&#34; &#34;ZmEu&#34; </code></pre><p>En este caso, la IP parece ser del <a href="http://www.ipillion.com/ip/193.108.81.203">Reino Unido</a>, pero va variando, así como la petición característica que hace al principio y el <em><a href="http://httpd.apache.org/docs/2.0/es/logs.html">user agent</a></em> del final, &ldquo;<a href="http://linux.m2osw.com/zmeu-attack">Zemu</a>&rdquo;. En otras ocasiones, la petición es <code>/w00tw00t.at.ISC.SANS.DFind:)</code>.</p>