Seguridad: protegete de espías

Rodrigo — Wed, 16 Apr 2008 07:42:18 +0000

Ha sido una semana muy dura, mucho trabajo y muchas cosas pendientes por hacer.

Estaba revisando los logs de apache y vi unas cosas raras:

69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpMyAdmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpMyAdmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPMYADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPMYADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /pHpMyAdMiN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /pHpMyAdMiN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PhPmYaDmIn/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PhPmYaDmIn/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPMYadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPMYadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpMYadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpMYadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpmyADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpmyADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /pmamy/main.php HTTP/1.0″ 404 291 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /pmamy/main.php HTTP/1.0″ 404 291 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /pma/main.php HTTP/1.0″ 404 289 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /pma/main.php HTTP/1.0″ 404 289 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /PMA/main.php HTTP/1.0″ 404 289 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /PMA/main.php HTTP/1.0″ 404 289 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /myadmin/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /myadmin/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /phpmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /phpmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /MYADMIN/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /MYADMIN/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /phpMyAdmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /phpMyAdmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /MYadmin/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /MYadmin/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /PHPMYADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /PHPMYADMIN/main.php HTTP/1.0″ 404 296 “-” “-”

Bueno a primera vista se ve que buscan vulnerabilidades del phpmyadmin, pero primero tienen que saber donde está (si es que está), intentaron con no menos de 100 nombres distintos de carpetas y archivos, así que mejor añadí una regla a las IPTABLES para bannear definitivamente esa ip

iptables -A INPUT -s 69.64.197.157 -j DROP

Bueno eso no fui lo único que vi en los logs, también andaba un scanner:

67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”

Bueno investigando un poco veo que se trata de un scanner que busca vulnerabilidades bueno si ponen esa dirección en el navegador http://67.205.68.215/ verán que es un servidor con Plesk instalado (en plataforma windows por cierto) , bueno aplicando lo mismo agregue una regla para banear esa ip
iptables -A INPUT -s 67.205.68.215 -j DROP

Les sugiero que si ven en sus logs algo parecido a esto agreguen unas reglas para banear las ips “No bienvenidas”.

EntreBits » iptables

Seguridad: protegete de espías