Пример подготовки к атаке

0

1

Обнаружил вот в логах недавно поднятого сервера (нет доменного имени, только IP) следующее:

webmail.ifsc.edu.br - - [15/Jan/2010:00:22:03 +0300] "GET //phpmyadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hermes.ifsc.edu.br - - [15/Jan/2010:00:22:06 +0300] "GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hermes.ifsc.edu.br - - [15/Jan/2010:00:22:07 +0300] "GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
webmail.ifsc.edu.br - - [15/Jan/2010:00:22:07 +0300] "GET //dbadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hermes.ifsc.edu.br - - [15/Jan/2010:00:22:08 +0300] "GET //mysql/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
webmail.ifsc.edu.br - - [15/Jan/2010:00:22:08 +0300] "GET //php-my-admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034"-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hermes.ifsc.edu.br - - [15/Jan/2010:00:22:09 +0300] "GET //myadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
webmail.ifsc.edu.br - - [15/Jan/2010:00:22:10 +0300] "GET //PHPMYADMIN/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hermes.ifsc.edu.br - - [15/Jan/2010:00:22:10 +0300] "GET //phpMyAdmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
webmail.ifsc.edu.br - - [15/Jan/2010:00:22:11 +0300] "GET //p/m/a/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

Видно что гад вынюхивал PHP-шные настройки. По адресам отправителя — свежеподнятый апач с «It Works!».

Cудя по быстроте первого визита (первые сутки с момента запуска) это какой-то популярный прощупыватель.

В связи с этим вопросы — что оно могло искать? В PHP не втыкал глубоко, но раз у отправителя у самого апач, то наверное искал возможность инклюдов. Куда копать прикажете?

Есть ли программа, позволяющая вырубить вынюхивания на корню?

Думаю многим будет полезна тема. Спасибо.

Ссылка

←	/me сломал NFS

ipsec, racoon, iptables

→

GET //phpMyAdmin/config/config.inc.php?p=phpinfo()

Странный какой-то файл, наверное, известная дырка?

mclaudt ☆
(15.01.10 01:11:59 MSK) автор топика

Первый сервер?
Какой-нибудь сетевой триппер шарился, искал конфиг пхпадмина с криво выставленными правами.

Marmirus ★★
(15.01.10 01:40:53 MSK)

Ответ на: комментарий от mclaudt 15.01.10 01:11:59 MSK

Дырка

Marmirus ★★
(15.01.10 01:42:56 MSK)

Ссылка

Ответ на: комментарий от Marmirus 15.01.10 01:40:53 MSK

>>Первый сервер?

Да.

Дырка

Спасибо, изучаю.

mclaudt ☆
(15.01.10 01:54:16 MSK) автор топика

Ссылка

Месяц назад похожее было у меня в логах, выглядит ужасающе, но боятся особо нечего, особенно если все правильно настроено. Еще на ssh будут ломиться, меня всегда умиляет попытка root-доступа, когда он запрещен.

ostin ★★★★★
(15.01.10 09:20:50 MSK)

Ссылка

Подготовка к атаке - это когда кот в засаде начинает задницей крутить.
А у тебя - ничего страшного :)

ovax ★★★
(15.01.10 09:27:13 MSK)

Ссылка

в phpmyadmin дыры постоянно, поэтому и ходят всякие боты сканируют

ко мне вон тоже постоянно тыкаются в поисках:

[Sat Jan 02 10:37:54 2010] [error] [client 86.125.5.142] File does not exist: /home/www/phpMyAdmin
[Tue Jan 05 01:09:23 2010] [error] [client 91.189.181.157] File does not exist: /home/www/phpMyAdmin
[Tue Jan 05 10:44:21 2010] [error] [client 88.203.203.150] File does not exist: /home/www/phpmyadmin
[Tue Jan 05 10:44:23 2010] [error] [client 88.203.203.150] File does not exist: /home/www/myadmin
[Tue Jan 05 10:44:24 2010] [error] [client 88.203.203.150] File does not exist: /home/www/PHPMYADMIN
[Tue Jan 05 10:44:24 2010] [error] [client 88.203.203.150] File does not exist: /home/www/phpMyAdmin
[Sat Jan 09 15:44:17 2010] [error] [client 195.56.146.16] File does not exist: /home/www/phpmyadmin
[Sat Jan 09 15:44:18 2010] [error] [client 195.56.146.16] File does not exist: /home/www/phpMyAdmin
[Sun Jan 10 23:22:00 2010] [error] [client 61.187.94.171] File does not exist: /home/www/phpMyAdmin
[Sun Jan 10 23:38:37 2010] [error] [client 61.187.94.171] File does not exist: /home/www/phpmyadmin
[Thu Jan 14 04:17:48 2010] [error] [client 80.86.111.164] File does not exist: /home/www/phpmyadmin
[Thu Jan 14 04:17:50 2010] [error] [client 80.86.111.164] File does not exist: /home/www/phpMyAdmin

Sylvia ★★★★★
(15.01.10 11:45:33 MSK)

Ответ на: комментарий от Sylvia 15.01.10 11:45:33 MSK

Взаимно.

77.111.88.13 - - [28/Dec/2009:17:41:16 +0300] «GET //mysql/ HTTP/1.1» 404 1889 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:16 +0300] «GET //mysqladmin/ HTTP/1.1» 404 1894 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:17 +0300] «GET //typo3/phpmyadmin/ HTTP/1.1» 404 1901 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:17 +0300] «GET //phpadmin/ HTTP/1.1» 404 1890 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:17 +0300] «GET //phpMyAdmin/ HTTP/1.1» 404 1897 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:18 +0300] «GET //phpmyadmin/ HTTP/1.1» 404 1893 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:18 +0300] «GET //phpmyadmin1/ HTTP/1.1» 404 1898 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:19 +0300] «GET //phpmyadmin2/ HTTP/1.1» 404 1898 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:19 +0300] «GET //pma/ HTTP/1.1» 404 1887 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:19 +0300] «GET //web/phpMyAdmin/ HTTP/1.1» 404 1901 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:20 +0300] «GET //xampp/phpmyadmin/ HTTP/1.1» 404 1901 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:20 +0300] «GET //web/ HTTP/1.1» 404 1888 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:21 +0300] «GET //php-my-admin/ HTTP/1.1» 404 1898 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»