Logs del servidor / ¿es esto algún ataque?

ferny · #1 (**permalink**) 06/10/2007, 13:51

Desde hace algún tiempo en el log de accesos del servidor apache estoy encontrándome con esto (es sólo una parte):

Cita:

86.39.130.45 - - [03/Oct/2007:20:57:26 +0200] "GET /admin/phpmyadmin/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:26 +0200] "GET /admin/phpMyAdmin/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:26 +0200] "GET /admin/sysadmin/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:26 +0200] "GET /admin/sqladmin/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:26 +0200] "GET /admin/db/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:26 +0200] "GET /admin/web/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:26 +0200] "GET /admin/pMA/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:26 +0200] "GET /admin/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:26 +0200] "GET /admin/mysql/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/myadmin/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/webadmin/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/sqlweb/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/websql/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/webdb/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/mysqladmin/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/mysql-admin/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/phpmyadmin2/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/php-my-admin/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:27 +0200] "GET /admin/phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:28 +0200] "GET /admin/phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:28 +0200] "GET /admin/phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:28 +0200] "GET /admin/phpMyAdmin-2.6.3-pl1/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:28 +0200] "GET /admin/phpMyAdmin-2.6.3-rc1/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:28 +0200] "GET /admin/padmin/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:28 +0200] "GET /admin/datenbank/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:28 +0200] "GET /admin/database/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:28 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 - "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:28 +0200] "GET /phpMyAdmin/main.php HTTP/1.0" 200 7981 "-" "-"
86.39.130.45 - - [03/Oct/2007:20:57:28 +0200] "GET /phpMyAdmin/libraries/select_lang.lib.php HTTP/1.0" 403 349 "-" "-"

Cita:

208.101.44.166 - - [06/Oct/2007:19:01:12 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:13 +0200] "GET /PMA/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:13 +0200] "GET /mysql/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:13 +0200] "GET /admin/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:14 +0200] "GET /db/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:14 +0200] "GET /dbadmin/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:15 +0200] "GET /web/phpMyAdmin/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:15 +0200] "GET /admin/pma/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:15 +0200] "GET /admin/phpmyadmin/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:16 +0200] "GET /admin/mysql/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:16 +0200] "GET /phpmyadmin2/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:16 +0200] "GET /mysqladmin/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:17 +0200] "GET /mysql-admin/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:17 +0200] "GET /main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:17 +0200] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:18 +0200] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:18 +0200] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:20 +0200] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:22 +0200] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:22 +0200] "GET /myadmin/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:23 +0200] "GET /phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:23 +0200] "GET /phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:23 +0200] "GET /phpMyAdmin-2.6.3-pl1/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:24 +0200] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:24 +0200] "GET /phpMyAdmin-2.6.3-rc1/main.php HTTP/1.0" 404 - "-" "-"
208.101.44.166 - - [06/Oct/2007:19:01:24 +0200] "GET /phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 - "-" "-"

¿Es esto algún tipo de ataque? Parece que tratan de buscar scripts vulnerables, aunque esas direcciones no existen. He observado este mismo comportamiento desde diferentes IP. Lo más curioso es que poniendo la IP en el navegador, suele salir alguna página web o algún panel de control de un hosting (no siempre, pero sí con las dos IP del ejemplo), por lo que creo que el ataque se da desde servidores web. De momento estoy baneando esas IP con el iptables, pero no sé si hago bien...

Gracias

WebTech · #2 (**permalink**) 06/10/2007, 14:00

Hola Ferny,

Coincido contigo, al parecer es algún bot buscando scripts vulnerables en tu servidor.
Lo más sabio es (como bien has hecho) banear las IPs usando iptables:

Código:

iptables -I INPUT -s  IPABANEAR -j DROP

Si estás usando algún firewall específico como APF, o CSF, solo corre:

Código:

apf -d IPABANEAR

o

Código:

csf -d IPABANEAR

Adicionalmente, te sugiero optimizar la seguridad a través de aplicaciones haciendo uso de Mod_Security.

Generalmente los ataques son lanzados desde otros servidores que han sido presa de una intrusión, muchos poseen servidores webs activos, otros no, así que no te extrañes si no ves nada al cargar la IP en el navegador.

Saludos,

ferny · #3 (**permalink**) 06/10/2007, 15:06

Gracias, ya me quedo más tranquilo sabiendo lo que es, y a la vez intranquilo por saber que hay constantes intentos de ataque

(hasta ahora, por suerte, sin éxito). Estoy baneando con el iptables tal como pusiste

(aunque cambiando el -I por -A)

El mod_security tiene buena pinta, pero me pide el mod_unique_id y no lo tengo activado. No basta con poner el LoadModule de ese módulo, así que supongo que no estará instalado/compilado (tampoco sale con httpd -l). ¿Tienes algún tip que me ayude a instalarlo? Porque una vez hecho, viendo la documentación del mod_security no parece que vaya a tener ningún problema más...

Un saludo

WebTech · #4 (**permalink**) 06/10/2007, 15:52

He instalado mod_security muchísimas veces, y solo necesitas tener el paquete httpd-devel como dependencia, prueba instalarlo.

Código:

Bajamos y descomprimimos mod_security desde:
http://www.modsecurity.org/download/

Si usamos Apache 1.3.x vamos hacia el directorio de Apache1:
cd modsecurity-1.9.5/apache1

Si usamos apache2 vamos hacia el directorio correspondiente:
cd modsecurity-1.9.5/apache2

Compilamos mod_security como módulo de Apache
/usr/local/apache/bin/apxs -cia mod_security.c

Hacemos un backup del httpd.conf antes de tocar algo
cp /usr/local/apache/conf/httpd.conf /usr/local/apache/conf/httpd.conf-mod_sec

Ahora editamos el httpd.conf 
pico -w /usr/local/apache/conf/httpd.conf

Si estas corriendo Apache 1.3.x:
Busca la linea "AddModule mod_security.c"
y agrega abajo de la linea: "<IfModule mod_security.c>" para comenzar las reglas del módulo, luego cerramos con "</IfModule>" . Entre estos tags, agrega el ruleset.

Si estas usando Apache2
Busca la linea "LoadModule security_module modules/mod_security.so"
y agrega abajo de la linea: "<IfModule mod_security.c>" para comenzar las reglas del m�ulo, luego cerramos con "</IfModule>" . Entre estos tags, agrega el ruleset.

Un buen sitio con muchas reglas para aplicar a mod_security es Gotroot.

Creo que no se me ha escapado nada, fíjate si te funciona de esa manera.

Saludos,

ferny · #5 (**permalink**) 07/10/2007, 03:41

Ok... bueno ya veré cómo lo hago, porque no me aparece ese paquete (uso una Gentoo y con emerge no sale). Voy a preguntar a los del servicio técnico a ver qué me cuentan...

Gracias

Anarko · #6 (**permalink**) 07/10/2007, 10:50

Esos LOGS solo son de accesos GET.

Quedan faltando los ataques POST y los ataques a puertos diferentes del puerto 80...

Los ataques a puertos 21, 25, etc...

De hecho los ataques al puerto 80 son los que "menos importan" (+/-), piensen en un ataque exitoso al puerto 21!!...

Una pesadilla...

cincinnati · #7 (**permalink**) 08/10/2007, 23:48

Cita:

piensen en un ataque exitoso al puerto 21!!

¡ ya lo creo ! Y además es mucho más frecuente.

Anarko · #8 (**permalink**) 09/10/2007, 03:56

Y que pueden proponernos a quienes no somos expertos en SSH, etc...

Para CONOCER los ataques a los otros puertos ?

WebTech · #9 (**permalink**) 09/10/2007, 13:25

Estudiar, allí se resume todo.

Suscribete a las listas de seguridad, lee manuales, documentos, y si puedes compra libros sobre seguridad :D
Aunque creo que ir directamente al tema de seguridad será algo inútil si no conoces los servicios y protocolos de redes, te sugiero profudizar sobre eso primero y luego si ir con una base más solida.

Saludos,

Anarko · #10 (**permalink**) 09/10/2007, 19:42

Si, pero en un inicio vas a file.logs de APACHE y ves las friegas al puerto 80 (solo las GET)...

De que manera podemos "swcubrir" parametros enviados e IP atacante al puerto 21 ?, al puerto de correos, (creo que el 25), etc...

En qu efile esta registrado algo como

"221.147.54.44 intenta conectarse como root enviando joijoi a las 17:45 ..."

O esa info no existe ? (Linux)

WebTech · #11 (**permalink**) 10/10/2007, 11:31

Los mensajes de conexiones ssh (sin ser apache claro está), se guardan en el logger del kernel /var/log/messages y en /var/log/secure, aunque también encontrarás algunos rastros de conexiones de FTP, Named, etc.

Saludos!

cincinnati · #12 (**permalink**) 10/10/2007, 14:17

Como te comentan en /var/log tienes todos los logs a analizar.

Lo del puerto 21 te lo decía por la "costumbre" que tienen algunos d pasar diccionarios de contraseñas hasta que una encaja con la de algún usuario de ftp, te entran y te meten un fishing, un include y ganan acceso a tu servidor o algo peor. Es un tipo de "ataque" excesivamente frecuente. Ese y el de intentar acceder por ssh con el mismo método. El del ssh es relativamente fácil de solucionar: cierras el acceso ssh a todas las IPs menos a la tuya y listo. Lo del ftp es más "jodido", pero se puede mitigar en parte.

WebTech · #13 (**permalink**) 10/10/2007, 14:46

Cita:

El del ssh es relativamente fácil de solucionar: cierras el acceso ssh a todas las IPs menos a la tuya y listo.

Siempre y cuando tengas una IP fija, si no la tienes, otra medida a tomar bastante eficaz, es cambiar el puerto por defecto (22) a uno superior al 1024 e inferior al 65535. Para el FTP (o ssh también), cualquier protector de fuerza bruta bien configurado hace el trabajo baneando las IPs que tienen n números de fallos al loguearse

Saludos,

Anarko · #14 (**permalink**) 10/10/2007, 22:04

Cita:

Iniciado por cincinnati

... y te meten un fishing, un include ...

PISHING ?

El include no vale con APACHE suexec o si ?