OVH Community, your new community space.

Ataques o mas bien ESCANEOS al SERVER


Gura
13/02/2008, 10:00
Yo en mi máquina intento ofuscar las cosas todo lo que puedo. A nivel de aplicació tienes un firewall para apache, que analizará todo lo que entra y sale. Es el mod_security. El SSH lo tengo por otro puerto y aun asi, uso fail2ban. Deshabilito las funciones de PHP que no uso (Yo puedo hacerlo ya que es para uso personal y cuatro amigos). Un firewall con una política de DROP por defecto para evitar que aprovechando una vulnerabilidad web puedan descargarse ficheros a tu servidor (conectar fia web a cualquier sitio, por ejemplo), así como tampoco permitir en caso de que obtuviesen una shell como el usuario de apache, conectar a muchos sitios.

Creo que la mayor putada que pueden hacerte es enviar spam a traves de tu servidor. Revisa mucho los logs en busca de errores 550 y 450. Por otro lado, yo tambien sufro muchos escaneos, sobretodo a nivel de barrido de puertos, en busca de RDP, SQL Server, NFS, etc. Un dia cogí una IP (Era de la red de OVH) y conecté por RDP a la máquina. Era un W2003.

Audita tu configuración, es decir, el tio buscaba un phpmyadmin, bien en windows o en linux, pero lo buscaba. Hay muchas aplicaciones all-in-one de windows que instalan apache, php, mysql y phpmyadmin. Estos dos sin ningun tipo de protección de modo que es posible acceso a la DDBB a traves de phpmyadmin.

Ferny
12/02/2008, 22:21
Y porque no has mirado los intentos de acceso vía SSH y FTP... En mi servidor acabé instalando el Fail2Ban para bloquear todas las IP que produjeran más de 3 intentos fallidos de acceso en poco tiempo, y son varias IP cazadas cada día.

Claro que hablo de un servidor linux, el tuyo parece windows...

asysan
12/02/2008, 11:21
Cita Publicado inicialmente por xico1984
Poco vas a conseguir en saber qué tipo de server es. Porque la mayoría no actúan desde servidores propios, si no que utilizan agujeros de seguridad en otros servidores o en páginas web de un servidor, y desde ahí comienzan sus ataques. Y claro... en los logs de esos servidores figurarán ip´s que no serán la de los atacantes, si no proxys xD

La recomendación siempre es tener al día todos los programas, y actualizaciones de seguridad, y vigilar los logs como tu haces. Y además, seguro que algún compañero te dará algun consejo más ;-)
Muchísimas gracias xico1984 por tus palabras, da gusto encontrar en este foro a gente que comparte tus preocupaciones.

xico1984
11/02/2008, 22:49
Cita Publicado inicialmente por asysan
Me gustaría preguntaros en General y hacer una observación a la administración en particular acerca de los LOGS del APACHE que he estado estudiando y en los que encuentro de manera reiterada un intento de encontrar alguna "debilidad" o "agujero" en mi configuración al barrer de forma INDISCRIMINADA y repetitiva:
Código:
[Fri Jan 18 00:47:16 2008] [notice] Child 3164: Starting thread to listen on port 80.


C:/PHP5/WWW/phpMyAdmin-2.7.0
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0-beta1
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0-rc1
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0-rc2
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0.1
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0.2
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0.3
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0.4

Como podeis ver en ese LOG, a los 18 minutos de iniciado el APACHE, recibo una "visita" tan agradable que intenta encontrar algun resquicio para actuar.

El problema es que los LOGS ya están empezando a acumular unos 10 MB cada 15 días y eso que todavía NO TENGO LA WEB (FORO) dada de ALTA !!!

Mi pregunta va por:
1- Si les envio a OVH (¿a Quién?) las IP's atacantes, podrían ellos "vigilar" o "filtrar" este tipo de "ataques"?
2- Yo me he puesto a TRAZAR algunas de esas IP's y la mayoría son de SERVIDORES de paises Europeos, sin poder distinguir si son de dedicados o de hosting compartido.
3- Por supuesto que podría montar un sistema de "filtrado" de IP's, pero supongo que el/los atacantes lo que harian es emplear otra y vuelta a empezar.
4- Por último pero no menos importante: ¿A alguien más le pasa? :confused:
Poco vas a conseguir en saber qué tipo de server es. Porque la mayoría no actúan desde servidores propios, si no que utilizan agujeros de seguridad en otros servidores o en páginas web de un servidor, y desde ahí comienzan sus ataques. Y claro... en los logs de esos servidores figurarán ip´s que no serán la de los atacantes, si no proxys xD

La recomendación siempre es tener al día todos los programas, y actualizaciones de seguridad, y vigilar los logs como tu haces. Y además, seguro que algún compañero te dará algun consejo más ;-)

asysan
11/02/2008, 22:23
Me gustaría preguntaros en General y hacer una observación a la administración en particular acerca de los LOGS del APACHE que he estado estudiando y en los que encuentro de manera reiterada un intento de encontrar alguna "debilidad" o "agujero" en mi configuración al barrer de forma INDISCRIMINADA y repetitiva:
Código:
[Fri Jan 18 00:47:16 2008] [notice] Child 3164: Starting thread to listen on port 80.
[Fri Jan 18 01:05:49 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpmyadmin
[Fri Jan 18 01:05:49 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin
[Fri Jan 18 01:05:50 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/db
[Fri Jan 18 01:05:50 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/web
[Fri Jan 18 01:05:50 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/PMA
[Fri Jan 18 01:05:50 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/admin
[Fri Jan 18 01:05:50 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/dbadmin
[Fri Jan 18 01:05:50 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/PMA2006
[Fri Jan 18 01:05:51 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/pma2006
[Fri Jan 18 01:05:51 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/sqlmanager
[Fri Jan 18 01:05:51 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/mysqlmanager
[Fri Jan 18 01:05:51 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/p
[Fri Jan 18 01:05:51 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/PMA2005
[Fri Jan 18 01:05:51 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/pma2005
[Fri Jan 18 01:05:51 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpmanager
[Fri Jan 18 01:05:51 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/php-myadmin
[Fri Jan 18 01:05:52 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpmy-admin
[Fri Jan 18 01:05:52 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/mysql
[Fri Jan 18 01:05:52 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/myadmin
[Fri Jan 18 01:05:52 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/webadmin
[Fri Jan 18 01:05:52 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/sqlweb
[Fri Jan 18 01:05:53 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/websql
[Fri Jan 18 01:05:53 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/webdb
[Fri Jan 18 01:05:53 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/mysqladmin
[Fri Jan 18 01:05:53 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/mysql-admin
[Fri Jan 18 01:05:53 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpmyadmin2
[Fri Jan 18 01:05:53 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin2
[Fri Jan 18 01:05:53 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2
[Fri Jan 18 01:05:53 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/php-my-admin
[Fri Jan 18 01:05:53 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.2.3
[Fri Jan 18 01:05:53 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.2.6
[Fri Jan 18 01:05:54 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.5.1
[Fri Jan 18 01:05:54 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.5.4
[Fri Jan 18 01:05:54 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.5.5-rc1
[Fri Jan 18 01:05:54 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.5.5-rc2
[Fri Jan 18 01:05:54 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.5.5
[Fri Jan 18 01:05:54 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.5.5-pl1
[Fri Jan 18 01:05:54 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.5.6-rc1
[Fri Jan 18 01:05:55 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.5.6-rc2
[Fri Jan 18 01:05:55 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.5.6
[Fri Jan 18 01:05:55 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.5.7
[Fri Jan 18 01:05:55 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.5.7-pl1
[Fri Jan 18 01:05:55 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.0-alpha
[Fri Jan 18 01:05:55 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.0-alpha2
[Fri Jan 18 01:05:55 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.0-beta1
[Fri Jan 18 01:05:55 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.0-beta2
[Fri Jan 18 01:05:56 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.0-rc1
[Fri Jan 18 01:05:56 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.0-rc2
[Fri Jan 18 01:05:56 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.0-rc3
[Fri Jan 18 01:05:56 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.0
[Fri Jan 18 01:05:56 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.0-pl1
[Fri Jan 18 01:05:56 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.0-pl2
[Fri Jan 18 01:05:56 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.0-pl3
[Fri Jan 18 01:05:56 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.1-rc1
[Fri Jan 18 01:05:56 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.1-rc2
[Fri Jan 18 01:05:56 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.1
[Fri Jan 18 01:05:56 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.1-pl1
[Fri Jan 18 01:05:56 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.1-pl2
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.1-pl3
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.2-rc1
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.2-beta1
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.2-rc1
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.2
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.2-pl1
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.3
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.3-rc1
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.3
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.3-pl1
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.4-rc1
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.4-pl1
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.4-pl2
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.4-pl3
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.4-pl4
[Fri Jan 18 01:05:57 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.6.4
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.7.0-beta1
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.7.0-rc1
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.7.0-pl1
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.7.0-pl2
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.7.0
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0-beta1
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0-rc1
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0-rc2
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0.1
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0.2
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0.3
[Fri Jan 18 01:05:58 2008] [error] [client XXX] File does not exist: C:/PHP5/WWW/phpMyAdmin-2.8.0.4

Como podeis ver en ese LOG, a los 18 minutos de iniciado el APACHE, recibo una "visita" tan agradable que intenta encontrar algun resquicio para actuar.

El problema es que los LOGS ya están empezando a acumular unos 10 MB cada 15 días y eso que todavía NO TENGO LA WEB (FORO) dada de ALTA !!!

Mi pregunta va por:
1- Si les envio a OVH (¿a Quién?) las IP's atacantes, podrían ellos "vigilar" o "filtrar" este tipo de "ataques"?
2- Yo me he puesto a TRAZAR algunas de esas IP's y la mayoría son de SERVIDORES de paises Europeos, sin poder distinguir si son de dedicados o de hosting compartido.
3- Por supuesto que podría montar un sistema de "filtrado" de IP's, pero supongo que el/los atacantes lo que harian es emplear otra y vuelta a empezar.
4- Por último pero no menos importante: ¿A alguien más le pasa? :confused: