16 « April « 2008 « EntreBits

Archive for April 16th, 2008

Seguridad: protegete de espías

Wednesday, April 16th, 2008

Ha sido una semana muy dura, mucho trabajo y muchas cosas pendientes por hacer.

Estaba revisando los logs de apache y vi unas cosas raras:

69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpMyAdmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpMyAdmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPMYADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPMYADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /pHpMyAdMiN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /pHpMyAdMiN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PhPmYaDmIn/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PhPmYaDmIn/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPMYadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPMYadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpMYadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpMYadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpmyADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpmyADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /pmamy/main.php HTTP/1.0″ 404 291 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /pmamy/main.php HTTP/1.0″ 404 291 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /pma/main.php HTTP/1.0″ 404 289 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /pma/main.php HTTP/1.0″ 404 289 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /PMA/main.php HTTP/1.0″ 404 289 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /PMA/main.php HTTP/1.0″ 404 289 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /myadmin/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /myadmin/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /phpmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /phpmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /MYADMIN/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /MYADMIN/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /phpMyAdmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /phpMyAdmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /MYadmin/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /MYadmin/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /PHPMYADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /PHPMYADMIN/main.php HTTP/1.0″ 404 296 “-” “-”

Bueno a primera vista se ve que buscan vulnerabilidades del phpmyadmin, pero primero tienen que saber donde está (si es que está), intentaron con no menos de 100 nombres distintos de carpetas y archivos, así que mejor añadí una regla a las IPTABLES para bannear definitivamente esa ip

iptables -A INPUT -s 69.64.197.157 -j DROP

Bueno eso no fui lo único que vi en los logs, también andaba un scanner:

67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”

Bueno investigando un poco veo que se trata de un scanner que busca vulnerabilidades bueno si ponen esa dirección en el navegador http://67.205.68.215/ verán que es un servidor con Plesk instalado (en plataforma windows por cierto) , bueno aplicando lo mismo agregue una regla para banear esa ip
iptables -A INPUT -s 67.205.68.215 -j DROP

Les sugiero que si ven en sus logs algo parecido a esto agreguen unas reglas para banear las ips “No bienvenidas”.

Tags: iptables, seguridad
Posted in Linux | No Comments »

EntreBits

Archive for April 16th, 2008

Seguridad: protegete de espías

¿Qué es esto?

Archives

Categories

Social

Blogroll

Calendario

Comentarios Recientes

April 2008
M	T	W	T	F	S	S
« Mar				May »
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30