La premessa:
Con lo switch di piattaforma CMS tra i (numerosi) problemi che ne sono derivati, vi è quello dell’url delle pagine. Come noterete (un esempio a caso lo troviamo qui) gli url degli articoli scritti con Drupal non si sono portati dietro la loro forma, ma sono stati convertiti in OLD$id, ne consegue che se cercate http://www.ilportalinux.it/jabber teoricamente non trovereste una mazza, dico teoricamente perchè grazie ad un modulo io riesco a fare redirect verso l’apposita pagina in base a ciò che scrivete nell’url (o quantomeno alla pagina che contiene il contenuto più simile possibile).
Oltre a questo ho installato un modulo che mi notifica per email tutti gli errori 404 che vengonp riscontrati, cosi che io possa verificare se qualche contenuto non viene correttamente reindirizzato. Adesso come avrete capito le mail sono tantissime, e lo sono ancora di più quando qualche coglione decide che è bello passare il sabato pomeriggio a tentare di sfondare un server invano…
Quella che vedete inquadrata diciamo che è circa un terzo dei tentativi che lo scemo sta effettuando.
All’inizio non mi sono preoccupato perchè ho visto come user agent del browser:
User Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)e quindi l’ho chiusa li, ma poi ho notato un pò di cose:
- PERCHE’ google vuole a tutti i costi indicizzare un phpmyadmin inesistente nel mio sito?
- PERCHE’ google sta tentando tutte le combinazioni possibili di phpmyadmin e sinonimi per cercare di trovarlo
- e PERCHE’ guardacaso cerca solo il file config.php??!!
Decido quindi di connettermi al server e spulciare i log di apache:
kratos:/var/log/apache2# grep phpMyAdmin access.log|more
80.154.35.16 – - [11/Jul/2009:15:34:09 +0200] "GET //phpMyAdmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
80.154.35.16 – - [11/Jul/2009:15:34:13 +0200] "GET //phpMyAdmin2/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
80.154.35.16 – - [11/Jul/2009:15:34:13 +0200] "GET //phpMyAdmin-2/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
80.154.35.16 – - [11/Jul/2009:15:34:14 +0200] "GET //phpMyAdmin-2.2.3/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
80.154.35.16 – - [11/Jul/2009:15:34:15 +0200] "GET //phpMyAdmin-2.2.6/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
80.154.35.16 – - [11/Jul/2009:15:34:15 +0200] "GET //phpMyAdmin-2.5.1/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
80.154.35.16 – - [11/Jul/2009:15:34:16 +0200] "GET //phpMyAdmin-2.5.4/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 31903
e qui scatta l’altra domanda:
- PERCHE’ google starebbe usando uno solo dei suoi milioni di server per indicizzare un phpmyadmin sul mio sito che NON esiste?
kratos:/var/log/apache2# whois 80.154.35.16
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.% Information related to ’80.154.32.0 – 80.154.63.255′
inetnum: 80.154.32.0 – 80.154.63.255
netname: TOIAG-ROOTSERVER-02
descr: T-Online International AG
country: DE
admin-c: DTST
tech-c: DTST
status: ASSIGNED PA
mnt-by: DTAG-NIC
source: RIPE # Filteredperson: Security Team
address: Deutsche Telekom AG
address: Germany
phone: +49 180 5334332
fax-no: +49 180 5334252
e-mail: abuse@t-ipnet.de
nic-hdl: DTST
mnt-by: DTAG-NIC
source: RIPE # Filtered% Information related to ’80.128.0.0/11AS3320′
route: 80.128.0.0/11
descr: Deutsche Telekom AG, Internet service provider
origin: AS3320
member-of: AS3320:RS-PA-TELEKOM
mnt-by: DTAG-RR
source: RIPE # Filtered
ECCO PERCHE’!! perchè non è google che sta cercando di sfondare il mio server, è un crucco di merda che non ha un ca$$o da fare se non provare dei maledetti script che sicuramente gli avrà passato un altro crucco (di merda anche quello).
kratos:/var/log/apache2# iptables -p tcp -I INPUT -s 80.154.35.16 --dport 80 -j DROP
ops….gli script del ca$$o non funzionano più…chi sa come mai….
| |
M0rF3uS al secolo Alex è un ggiovine 25enne appassionato di informatica e linux. Lavora come Network and System Administrator e nel tempo libero gioca un pò con la sua fotocamera (Canon EOS 1000D) riuscendo a volte, per sbaglio, a fare qualche scatto decente. Completano il corredo, degli hobbies "vorrei ma non posso" ossia l'astronomia e l'astronautica....si è uno di quelli che da grande vorrebbe fare l'astronauta (povero coglione vero?).
Loading ...
Bella! ahahahah…..ma mi puoi dire come si chiama il modulo che hai usato per farti inviare le mail?
grazie ciao
Certo, si chiama 404 notifier lo trovi col browser interno della dashboard
Prova fail2ban: mi ha risolto tutti i problemi con tutti gli script e i bot e i crucchi del pianeta!
Anche da me, negli ultimi mesie a cadenze settimanali un simpaticone, dietro proxy, si è divertito a lanciare degli script in perl (fra l’altro con gravi bug) che automatizzavano attacchi di tipo rfi, sql injection e brute force, che ovviamente non funzionavano. Ho dovuto installare un paio di plugin che bloccassero questi tentativi (anche se comunque non andavano a buon fine)
Ce l’ho già installato per altri servizi, fail2ban non è adatto in questo caso perchè necessita di tentativi di login falliti, in questo caso avevo solo delle get perchè il crucco cercava di scaricare il file di config.
@Coda
Che tipo di plugin hai installato? sarebbe interessante per tutti noi credo
Allora, contro il brute force ho installato Limit Login Attemps e contro gli altri tipi di attacca WordPress Firewall Plugin e WP Security Scan.
Grazie! li ho appena installati vediamo come si comportano
Tanto per cambiare, proprio oggi mi hanno attaccato il blog tramite RFI da un proxy coreano. Il firewall ha bloccato 2 tentativi su 4, rimandando alla home page. Ho comunque verificato se per caso l’attacco avrebbe funzionato e ho visto che WordPress non avrebbe accettato tali richieste.
Infatti anche il mio cms appena ho installato il firewall mi ha bloccato 4 attacchi di tipo Directory Traversal Attack. l’ip era un ip del veneto (magari vogliono vendicarsi per l’articolo “incomprensioni” lol)
fortunatamente anche senza plugin firewall con i cms che ci sono adesso si può stare abbastanza tranquilli sono arrivati ad un gradi di sicurezza abbastanza alto.
grazie per il suggerimento cmq soprattutto il firewall è molto utile
L’importante è risolvere