OVH Community, your new community space.

Intento ataque a mysql via phpmyadmin


Samael
19/08/2013, 23:45
Hoy tuve un ataque enorme desde China y Japón a un registro de una web sin captcha, miles de registros, instale el geoip de apache y le di bloqueo a China y Japon, luego los ataques venían de Corea, lol, termine usando bloqueo por continente en esa web para ese cliente.

Este sistema te permite bloquear también por proveedor y muchas cosas más, seria meter un bloqueo a los servidores de OVH y listo con eso nos evitamos todo mal rato desde los ataques de OVH e incluso puedes dejar que solo el país de tus usuarios pueda entrar a esa url.

tfwfactory
19/08/2013, 16:09
Es que no van a hacer nada , mientras que cada uno esté a lo suyo poco van a decir o hacer si fuese una queja más masiva tal vez si , pero no hay mucho consenso , que debería haberlo al menos , ya no digo más pero para el tema del foro y los problemas de hardware , debería

pepejlr
19/08/2013, 15:49
Cita Publicado inicialmente por drpks
Con los precios que tiene OVH, yo diría que los correos envíados a abuse@ovh.net van a /dev/null
jajajaja totalmente de acuerdo.

Cita Publicado inicialmente por drpks
Esos logs son el pan de cada día. Dispones de un servicio con acceso público, normal que te lleguen peticiones. Es tarea del administrador del sistema el proporcionar la seguridad adecuada. Ni que os estuvieran haciendo un DDoS...
He llegado a recibir montonazos de IPs hacia un wp-login.php para intentar entrar a un sistema Wordpress. Menos mal que un bloqueo temporal a ese archivo por .htaccess lo arregla todo pero daba hasta miedo ver el log.

Lo que me parece preocupante es que estamos exponiendo un intento de evasión desde una IP de OVH y aqui los técnicos no hacen una mierda. Igual o menos que si lo mandas a abuse@ovh.net.

tfwfactory
19/08/2013, 15:27
Pon un .htaccess a la carpeta del phpmyadmin o simplemente utiliza otro sistema en php , phpmyadmin solo es un script en php y puede ser modificado como otro cualquiera o poner sino un sistema diferente de gestión de la base de datos

Saludos

drpks
19/08/2013, 12:35
Esos logs son el pan de cada día. Dispones de un servicio con acceso público, normal que te lleguen peticiones. Es tarea del administrador del sistema el proporcionar la seguridad adecuada. Ni que os estuvieran haciendo un DDoS...

Con los precios que tiene OVH, yo diría que los correos envíados a abuse@ovh.net van a /dev/null

darkted
19/08/2013, 11:42
Cita Publicado inicialmente por Samael
Amigo créeme que no tiene que ser poco a poco si no todo de una y rápido, la seguridad del servidor es la primera parte que debes tener completada, digamos te entregan tu server revisas el hardware y luego le pones el máximo de seguridad más tarde ya levantas servicios y configuraciones, así debe ser siempre, luego cuando ya está todo andando se debe monitorear TODO en todo momento.
Todavía no lo tengo en producción así que lo tendré en cuenta, pero como es mi primer servidor dedicado pues me está costando tenerlo todo bien configurado.

Hoy he tenido otro intento de acceso a phpmyadmin, o eso parece.

176.31.239.226 - - [19/Aug/2013:08:52:17 +0200] "GET /db/main.php HTTP/1.0" 404 396 "-" "-"
176.31.239.226 - - [19/Aug/2013:08:52:17 +0200] "GET /web/main.php HTTP/1.0" 404 397 "-" "-"
176.31.239.226 - - [19/Aug/2013:08:52:17 +0200] "GET /PMA/main.php HTTP/1.0" 404 397 "-" "-"
176.31.239.226 - - [19/Aug/2013:08:52:17 +0200] "GET /admin/main.php HTTP/1.0" 404 399 "-" "-"
176.31.239.226 - - [19/Aug/2013:08:52:17 +0200] "GET /mysql/main.php HTTP/1.0" 404 399 "-" "-"
176.31.239.226 - - [19/Aug/2013:08:52:17 +0200] "GET /webadmin/main.php HTTP/1.0" 404 402 "-" "-"
176.31.239.226 - - [19/Aug/2013:08:52:17 +0200] "GET /phpmyadmin2/main.php HTTP/1.0" 404 405 "-" "-"
176.31.239.226 - - [19/Aug/2013:08:52:17 +0200] "GET /admin/pma/main.php HTTP/1.0" 404 403 "-" "-"

Samael
19/08/2013, 02:05
Amigo créeme que no tiene que ser poco a poco si no todo de una y rápido, la seguridad del servidor es la primera parte que debes tener completada, digamos te entregan tu server revisas el hardware y luego le pones el máximo de seguridad más tarde ya levantas servicios y configuraciones, así debe ser siempre, luego cuando ya está todo andando se debe monitorear TODO en todo momento.

darkted
19/08/2013, 00:35
Bueno, ya he eliminado el usuario root y fuerzo el acceso por ssl. Poco a poco habrá que ir mejorando la seguridad del servidor porque siempre puede haber más ataques.

Samael
19/08/2013, 00:00
Para un hacker es fácil contratar un servidor en OVH a nombre de X persona eso es muy fácil, también pagarlo con dinero "ilegal" con eso cualquier hacker podría tener servidores para eso sin poner sus datos ni gastar su dinero, pero les es mas fácil hackear maquinas ajenas y hacerlo con ellas esa es la forma.

Para defensa hay varias opciones algunas ya dadas aquí y funcionan muy bien, lo mejor sería que el abuse funcionara con eso podríamos limpiar la red pero OVH como siempre prefiere joder cambiando precios y condiciones que mejorar la calidad de sus servicios.

tfwfactory
18/08/2013, 23:40
Sea como sea están intentando conseguir vulnerabilidades de cosas sensibles como phpmyadmin para colarse por el mismo sistema , si bien el phpmyadmin es fácilmente modificable al ser en php para poner un sistema de intentos de acceso e igualmente hay sistemas alternativos al phpmyadmin como adminer o navicat , no hay porque usar phpmyadmin , otros sistemas están totalmente protegidos y funcionan excelentemente y si es para uso personal puede poner un htaccess en la raiz del sistema de phpmyadmin y solucionar este tipo de cosas como también por SSL

POR HTTACCESS

Order Deny,Allow
Deny from All
Allow from 12.34.56.78 - ip que quieras -


POR SSL


$ ssh -L4545:localhost0 tuservidor.com




Saludos

pepejlr
18/08/2013, 22:21
Cita Publicado inicialmente por callejoso
Y como lo sabes?
Muchas luces no tendria el hacker si contrata un servidor en un proveedor aportando sus datos personales y lo usa para hackear otros. Es como si todos los PCs zombie de una red de botnet fuesen de un solo tipo. Seria muy facil pillarle. La moda de "esclavizar" servidores es la forma de infección más usada actualmente. Total, el servidor y la linea está a nombre de otro y el marrón se lo come él.

Sobre PhpMyAdmin cuidadito. Ponerlo en modo de identificación HTTP y quitando root es la mejor forma. Yo voy más allá y directamente le meto un Deny from all excepto a unas pocas redes donde me conecto hacia mi servidor. Hace bastante gracia como el log escupe intentos de acceso y les salga un 403. Manda cojones que PhpMyAdmin no tenga implementado un sistema de número máximo de intentos fallidos o que sea compatible con el sistema fail2ban.

Y sobre el deparamento de abusos de OVH, corren más bolas de paja que técnicos ya que no es muy eficiente. Igualmente yo colaboro pero no sé hasta que punto tiene de utilidad un reporte mio.

Siliconworld
18/08/2013, 21:49
Cita Publicado inicialmente por Samael
Ese no es un servidor instalado para hackear es un servidor hackeado para hackear.
Lógico, eso lo suponemos casi todos, ya tiene que ser tonto para comprar un dedicado de la gama alta (no un KS, por el ns) para putear a otros servidores... pero el orden de los factores no altera el producto, a no ser que lo use de proxy o le tenga instalada una máquina virtual de linux, igualmente esta usando su entorno Ventanucos con chupichachis programas de puteo e intentos de hack.

Samael
18/08/2013, 20:11
Un "hacker de verdad" no pagaría por un servidor para hackear eso tenlo seguro.

Un hacker se apodera de un servidor para hackear eso es la realidad.

De tiempo ya que veo servidores como ese que intentan entrar en mis servidores siempre los estoy bloqueando y avisando a OVH, no se la verdad si los cerraran pero he visto ya varios más de 5 con la misma forma de operar y 2 que no estaban en OVH que era lo mismo, con eso me da a entender que puede ser un sistema X que hackean para eso.

callejoso
18/08/2013, 19:47
Cita Publicado inicialmente por suicidal
porque sale más barato hackear un dedicado si sabes como hacerlo que comprar uno...
Hombre visto asi tienes razon pero no hay que descartar ninguna opcion...

suicidal
18/08/2013, 19:24
Cita Publicado inicialmente por callejoso
Y como lo sabes?
porque sale más barato hackear un dedicado si sabes como hacerlo que comprar uno...

callejoso
18/08/2013, 19:20
Cita Publicado inicialmente por Samael
Ese no es un servidor instalado para hackear es un servidor hackeado para hackear.
Y como lo sabes?

Samael
18/08/2013, 19:09
Ese no es un servidor instalado para hackear es un servidor hackeado para hackear.

Siliconworld
18/08/2013, 18:45
Cita Publicado inicialmente por callejoso
En cuanto llegue a casa mañana tengo miro y las que sean de ovh las reportare a abuse@ovh.net (creo que era .net no?)

la verdad que guarde un buen puñado de los pocos logs que pude revisar
Correcto, esa es, yo siempre los logs del LFD en los que veo que la IP es de OVH los reenvío directamente a esa dirección, al momento llega el auto-reply de ellos y al poco la IP deja de estar operativa, en este caso también voy a reportar esta del compañero usando sus logs a ver cuanto dura en activo ese dedicado ns6327014.ovh.net (5.135.135.16).

callejoso
18/08/2013, 18:36
Cita Publicado inicialmente por Siliconworld
Sobre todo revísalas de donde son y si pertenecen a servidores de OVH repórtalas lo antes posible y nos haces un favor a todos.

5.135.135.16 ??? lol Servidor dedicado Windows para hackear otros dedicados? Estos hackers de hoy en día ya no son lo que eran antes, esa imagen que teníamos de nuestros años mozos de películas donde los hackers tenían varios monitores con consolas de fondo negro y texto en verde trabajando a destajo se ha perdido, ahora instalan aplicaciones chorras en Ventanucos y a funcionar, que triste...
En cuanto llegue a casa mañana tengo miro y las que sean de ovh las reportare a abuse@ovh.net (creo que era .net no?)

la verdad que guarde un buen puñado de los pocos logs que pude revisar

Siliconworld
18/08/2013, 18:28
Cita Publicado inicialmente por Guille
Conviene tener el phpmyadmin en una url diferente de la por defecto, y usar ssl.
Yo además tengo configurada autenticación http, no por cookie.
Si el phpMyAdmin es un servicio para el cliente no puedes andar poniéndole rutas raras y aun así acabarán descubriéndola, lo de usar HTTP en vez de cookies eso si que es importante y más aún es quitar a root de acceso a mysql y crear otro usuario con permisos administrativos, eso lo más importante, ese usuario no busca acceder a la base datos, busca confirmar una clave para Root, si root no puede acceder a la Base da Datos ya puede aburrirse todo lo que quiera que siendo además desde un dedicado de OVH le va a durar poco. No se otros paneles como cPanel, pero Directadmin se cepilla a root de MySQL y crea su propio usuario con derechos administrativos.

Cita Publicado inicialmente por callejoso
esa ip es una de las que me estan hackeando ami, tengo cuidado, tengo todas apuntadas en casa si sirven de algo os las pongo aqui
Sobre todo revísalas de donde son y si pertenecen a servidores de OVH repórtalas lo antes posible y nos haces un favor a todos.

5.135.135.16 ??? lol Servidor dedicado Windows para hackear otros dedicados? Estos hackers de hoy en día ya no son lo que eran antes, esa imagen que teníamos de nuestros años mozos de películas donde los hackers tenían varios monitores con consolas de fondo negro y texto en verde trabajando a destajo se ha perdido, ahora instalan aplicaciones chorras en Ventanucos y a funcionar, que triste...

callejoso
18/08/2013, 17:41
Cita Publicado inicialmente por darkted
Hola buenas. Acabo de ver que la ip 5.135.135.16 estaba intentando acceder a mi servidor mysql via phpmyadmin probando de forma automática diferentes password del usuario root. Ya he bloqueado la ip por iptables y cambiado la dirección de acceso a phpmyadmin. La cuestión es que pertenece a un servidor de OVH, ns6327014.ovh.net ¿Se puede hacer algo más? ¿Hay alguna forma de denunciarlo?

Un saludo
esa ip es una de las que me estan hackeando ami, tengo cuidado, tengo todas apuntadas en casa si sirven de algo os las pongo aqui

Guille
18/08/2013, 17:24
Conviene tener el phpmyadmin en una url diferente de la por defecto, y usar ssl.
Yo además tengo configurada autenticación http, no por cookie.

darkted
18/08/2013, 15:31
Ya les he enviado un correo.

Cita Publicado inicialmente por tfwfactory
Por curiosidad , que panel de control estás usando , en las últimas horas hay reportes de ataques a cpanel por parte de algunos usuarios y curiosamente son ataques de ips de servidores que están en OVH , es realmente curioso cuando menos y preocupante
No tengo cpanel. Tengo instalado webmin pero lo tengo parado todo el tiempo salvo cuando me hace falta. El ataque ha sido directo. Dejo un trozo del log de apache.

5.135.135.16 - - [18/Aug/2013:14:05:49 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=Darkone&s erver=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 404 386 "-" "-"
5.135.135.16 - - [18/Aug/2013:14:05:49 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=David&ser ver=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 404 386 "-" "-"
5.135.135.16 - - [18/Aug/2013:14:05:49 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=Davide&se rver=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 404 386 "-" "-"
5.135.135.16 - - [18/Aug/2013:14:05:49 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=Davidz&se rver=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 404 386 "-" "-"
5.135.135.16 - - [18/Aug/2013:14:05:49 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=Dbl99J&se rver=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 404 386 "-" "-"
5.135.135.16 - - [18/Aug/2013:14:05:49 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=Dddd&serv er=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 404 386 "-" "-"
5.135.135.16 - - [18/Aug/2013:14:05:49 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=DeC&serve r=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 404 386 "-" "-"
5.135.135.16 - - [18/Aug/2013:14:05:49 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=DeKKO&ser ver=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 404 386 "-" "-"
5.135.135.16 - - [18/Aug/2013:14:05:49 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=Deaktivie rt&server=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 404 405 "-" "-"
5.135.135.16 - - [18/Aug/2013:14:05:49 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=Dearie&se rver=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 404 386 "-" "-"
5.135.135.16 - - [18/Aug/2013:14:05:49 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=Death&ser ver=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 404 386 "-" "-"
5.135.135.16 - - [18/Aug/2013:14:05:49 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=Deborah&s erver=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 404 386 "-" "-"
5.135.135.16 - - [18/Aug/2013:14:05:49 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=December1 &server=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 404 386 "-" "-"

tfwfactory
18/08/2013, 13:54
Por curiosidad , que panel de control estás usando , en las últimas horas hay reportes de ataques a cpanel por parte de algunos usuarios y curiosamente son ataques de ips de servidores que están en OVH , es realmente curioso cuando menos y preocupante

suicidal
18/08/2013, 13:35
abuse@ovh.net

darkted
18/08/2013, 13:25
Hola buenas. Acabo de ver que la ip 5.135.135.16 estaba intentando acceder a mi servidor mysql via phpmyadmin probando de forma automática diferentes password del usuario root. Ya he bloqueado la ip por iptables y cambiado la dirección de acceso a phpmyadmin. La cuestión es que pertenece a un servidor de OVH, ns6327014.ovh.net ¿Se puede hacer algo más? ¿Hay alguna forma de denunciarlo?

Un saludo