Da quando sotto suggerimento di Coda ho installato wp-firewall, la mia casella di posta si è letteralmente intasata di mail di alert.
A quanto pare questo bello (bellissimo) blog che state leggendo, è una delle mete preferite di…
- noob
- script kiddie
- code monkey
- lamer
- qualsiasi altro tipo di coglione che vi venga in mente
Il tipo di attacco preferito è quello di tipo Directory Traversal, ma troviamo anche sql injection, remote procedure call, e chi più ne ha più ne metta.
In particolare questi "temibbili" cracker cercano (invano) di scovare il file /etc/passwd del mio server.
Il che mi fa dubitare delle conoscenze informatiche di questi paguri, perchè ammesso e non concesso che riescano a bucare il webserver si ritroverebbero poi con un bel foglio di password criptate, dato che oramai anche le scimmie usano le shadow password sui server *nix.
E quindi mi ritro vo una marea di chiamate a:
- ../../../../../../../../../../../../../../../etc/passwd\\0
- ../../../../../../../../../../../../../proc/self/environ\\0
ed anche alcuni callback verso uno script su "gayawater.co.kr/technote/…./id.txt???" (attenzione se lo chiamate, non mi assumo responsabilità).
Una volta credo che uno di questi, pervaso dalla disperazione più assoluta, ha tentato per circa 4 ore di scovare sto benedetto file delle password aumentando via via la combinazione di backdir (../), arrivando a qualcosa come una 40ina (!) di backdir in una chiamata per poi finire, come al solito, con /etc/passwd.
Sono più che tranquillo su questi insulsi tentativi, ma mi sono un pò rotto i coglioni di avere la casella spammata di alert, e quindi ho deciso di fare qualcosa.
Ip tables nel 99% dei casi non ci serve perchè, per quanto paguri possano essere, usano dei proxy per mascherare la provenienza, ma fortunatamente questi proxy non sono cosi anonimi tanto che quelli di abuse. ch hanno fatto un bel database, continuamente aggiornato, di tutti proxy "droni" che vengono via via scoperti, inserendo i vari ip/subnet in una bella blacklist.
C’è un altro progetto chiamato honeypot che fa la stessa cosa, solo che richiede registrazione.
Adesso noi possiamo scegliere se limitare l’accesso via webserver, e quindi a tutte le web application che vengono gestite con esso, oppure tramite plugin di wordpress.
Tale plugin controlla che l’ip di provenienza non sia stato blacklistato, in caso positivo restituisce un bel 503, e vaffanculo agli script kiddie.
Per installarlo su apache cerchiamo il pacchetto libapache2-mod-httpbl, invece per wordpress cerchiamo il plugin abuse.ch httpbl, questo plugin a sua volta genera un log che piazza dentro la root del vostro sito,1 chiamato httpbl.log (ehy tu, SI TU script kiddie di merda che leggi e stai tentando di aprire quel file di log, è blindato quindi desisti perchè non ce la farai…) dove verranno depositati tutti i dettagli delle chiamate con ip blacklistati.
Il plugin non si deve configurare, si installa, si attiva e basta; che si divertano a chiamare tutti i percorsi che vogliono adesso.
- quindi se il vostro wordpress sarà dentro /var/www/wp il file sarà in /var/www/wp/httpbl.log [↩]
|
|
M0rF3uS al secolo Alex è un ggiovine 25enne appassionato di informatica e linux. Lavora come Network and System Administrator e nel tempo libero gioca un pò con la sua fotocamera (Canon EOS 1000D) riuscendo a volte, per sbaglio, a fare qualche scatto decente. Completano il corredo, degli hobbies "vorrei ma non posso" ossia l'astronomia e l'astronautica....si è uno di quelli che da grande vorrebbe fare l'astronauta (povero coglione vero?). 
Loading ...
Dall'alto della mia ignoranza in fatto di server e wordpress, vorrei chiederti ma questi attacchi da parte di craker e lamerozzi vari sono possibili anche su Blogger ?
Guarda non lo so non conosco quella piattaforma, dovresti scrivere al
loro supporto o provare a documentarti.
Beh, se hai il blog hostato su Blogger, non ti devi preoccupare in quanto il server è di Google e senza dubbio avranno sistemisti capaci.
Me lo auguro almeno
In effetti non ci avevo pensato a sta roba di Google, io direi che puoi
dormire sonni più che tranquilli.
Ok ora sono più tranquillo, grazie tante