Sedicenti Hacker crescono | Il Portalinux
guest@ilportalinux:~/Firewall, Linux, Security, Server, Server Farm Stories# less Sedicenti Hacker crescono

Sedicenti Hacker crescono

Taggato con:                                                                                                             

La premessa:

Con lo switch di piattaforma CMS tra i (numerosi) problemi che ne sono derivati, vi è quello dell’url delle pagine. Come noterete (un esempio a caso lo troviamo qui) gli url degli articoli scritti con Drupal non si sono portati dietro la loro forma, ma sono stati convertiti in OLD$id, ne consegue che se cercate http://www.ilportalinux.it/jabber teoricamente non trovereste una mazza, dico teoricamente perchè grazie ad un modulo io riesco a fare redirect verso l’apposita pagina in base a ciò che scrivete nell’url (o quantomeno alla pagina che contiene il contenuto più simile possibile).

Oltre a questo ho installato un modulo che mi notifica per email tutti gli errori 404 che vengonp riscontrati, cosi che io possa verificare se qualche contenuto non viene correttamente reindirizzato. Adesso come avrete capito le mail sono tantissime, e lo sono ancora di più quando qualche coglione decide che è bello passare il sabato pomeriggio a tentare di sfondare un server invano…

Quella che vedete inquadrata diciamo che è circa un terzo dei tentativi che lo scemo sta effettuando.

All’inizio non mi sono preoccupato perchè ho visto come user agent del browser:

User Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

e quindi l’ho chiusa li, ma poi ho notato un pò di cose:

  1. PERCHE’ google vuole a tutti i costi indicizzare un phpmyadmin inesistente nel mio sito?
  2. PERCHE’ google sta tentando tutte le combinazioni possibili di phpmyadmin e sinonimi per cercare di trovarlo
  3. e PERCHE’ guardacaso cerca solo il file config.php??!!

Decido quindi di connettermi al server e spulciare i log di apache:

kratos:/var/log/apache2# grep phpMyAdmin access.log|more
80.154.35.16 – - [11/Jul/2009:15:34:09 +0200] "GET //phpMyAdmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
80.154.35.16 – - [11/Jul/2009:15:34:13 +0200] "GET //phpMyAdmin2/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
80.154.35.16 – - [11/Jul/2009:15:34:13 +0200] "GET //phpMyAdmin-2/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
80.154.35.16 – - [11/Jul/2009:15:34:14 +0200] "GET //phpMyAdmin-2.2.3/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
80.154.35.16 – - [11/Jul/2009:15:34:15 +0200] "GET //phpMyAdmin-2.2.6/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
80.154.35.16 – - [11/Jul/2009:15:34:15 +0200] "GET //phpMyAdmin-2.5.1/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
80.154.35.16 – - [11/Jul/2009:15:34:16 +0200] "GET //phpMyAdmin-2.5.4/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
 

e qui scatta l’altra domanda:

  • PERCHE’ google starebbe usando uno solo dei suoi milioni di server per indicizzare un phpmyadmin sul mio sito che NON esiste?

kratos:/var/log/apache2# whois 80.154.35.16
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to ‘80.154.32.0 – 80.154.63.255′

inetnum:        80.154.32.0 – 80.154.63.255
netname:        TOIAG-ROOTSERVER-02
descr:          T-Online International AG
country:        DE
admin-c:        DTST
tech-c:         DTST
status:         ASSIGNED PA
mnt-by:         DTAG-NIC
source:         RIPE # Filtered

person:       Security Team
address:      Deutsche Telekom AG
address:      Germany
phone:        +49 180 5334332
fax-no:       +49 180 5334252
e-mail:       abuse@t-ipnet.de
nic-hdl:      DTST
mnt-by:       DTAG-NIC
source:       RIPE # Filtered

% Information related to ‘80.128.0.0/11AS3320′

route:        80.128.0.0/11
descr:        Deutsche Telekom AG, Internet service provider
origin:       AS3320
member-of:    AS3320:RS-PA-TELEKOM
mnt-by:       DTAG-RR
source:       RIPE # Filtered

 

ECCO PERCHE’!! perchè non è google che sta cercando di sfondare il mio server, è un crucco di merda che non ha un ca$$o da fare se non provare dei maledetti script che sicuramente gli avrà passato un altro crucco (di merda anche quello).

kratos:/var/log/apache2# iptables -p tcp -I INPUT -s 80.154.35.16 --dport 80 -j DROP

ops….gli script del ca$$o non funzionano più…chi sa come mai….


Articoli (forse) correlati:

  1. Go Away Scriptkiddie!!
    Piccolo suggerimento per difendersi ulteriormente dalla marea di "disturbatori della quite pubblica" che ogni giorno tentano invano di sfondare...
  2. La cultura della “pezza”..ovvero come rimandare i problemi…
    ...invece che risolverli, perchè sforzare le meningi prima quando si può benissimo sprecare altro tempo dopo? Anche se già...
  3. E’ stata rilasciata lenny??
    Domandone per i lettori, entrate e vedete :)...
  4. Configuriamo un server di posta completo su Etch (Postfix) – Parte 4°
    Adesso che abbiamo il nostro MTA bello e funzionante non ci resta che fornire ai nostri utenti i tool necessari...
  5. Route to Intrepid: Rilasciata Hardy Heron 8.04.1
    Mentre a poco più di un mese dal rilascio ufficiale di Hardy Heron già si parla della prossima major release...

    6. Taggato con:                                                                                                             
    • Hispa
      Bella! ahahahah.....ma mi puoi dire come si chiama il modulo che hai usato per farti inviare le mail?
      grazie ciao
    • Certo, si chiama 404 notifier lo trovi col browser interno della dashboard
    • Deus Ex
      Prova fail2ban: mi ha risolto tutti i problemi con tutti gli script e i bot e i crucchi del pianeta! :D
    • Anche da me, negli ultimi mesie a cadenze settimanali un simpaticone, dietro proxy, si è divertito a lanciare degli script in perl (fra l'altro con gravi bug) che automatizzavano attacchi di tipo rfi, sql injection e brute force, che ovviamente non funzionavano. Ho dovuto installare un paio di plugin che bloccassero questi tentativi (anche se comunque non andavano a buon fine)
    • Scritto da Deus Ex
      Prova fail2ban: mi ha risolto tutti i problemi con tutti gli script e i bot e i crucchi del pianeta! :D


      Ce l'ho già installato per altri servizi, fail2ban non è adatto in questo caso perchè necessita di tentativi di login falliti, in questo caso avevo solo delle get perchè il crucco cercava di scaricare il file di config.

      @Coda
      Che tipo di plugin hai installato? sarebbe interessante per tutti noi credo :D
    • Allora, contro il brute force ho installato Limit Login Attemps e contro gli altri tipi di attacca Wordpress Firewall Plugin e WP Security Scan.
    • Grazie! li ho appena installati vediamo come si comportano :)
    • Tanto per cambiare, proprio oggi mi hanno attaccato il blog tramite RFI da un proxy coreano. Il firewall ha bloccato 2 tentativi su 4, rimandando alla home page. Ho comunque verificato se per caso l'attacco avrebbe funzionato e ho visto che Wordpress non avrebbe accettato tali richieste.
    • Infatti anche il mio cms appena ho installato il firewall mi ha bloccato 4 attacchi di tipo Directory Traversal Attack. l'ip era un ip del veneto (magari vogliono vendicarsi per l'articolo "incomprensioni" lol)

      fortunatamente anche senza plugin firewall con i cms che ci sono adesso si può stare abbastanza tranquilli sono arrivati ad un gradi di sicurezza abbastanza alto.

      grazie per il suggerimento cmq soprattutto il firewall è molto utile
    • L'importante è risolvere ;)
    blog comments powered by Disqus
    Get Adobe Flash playerPlugin by wpburn.com wordpress themes