Нд, 19.11.2017, 12:20
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
Вітаємо на форумі,
Незнайомцю!

   
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво

Сторінка 1 з 11
Модератор форуму: Bandalak, Ktara, НІКОЛЯ, volevikt 
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.8 Рубрика системного адміністратора » сканирование веб скриптов, в логах ZmEu. Что делать?
сканирование веб скриптов, в логах ZmEu. Что делать?
Jokerz Дата: Вт, 18.01.2011, 14:10 | Повідомлення № 1
Хостер
Повідомлень: 1198
Нагороди: 4
Рейтинг: 102
Не так давно во всем известном веб приложении phpmyadmin была найдена дырка. Причем самое обидное что только спустя месяц новая версия этой софтины появилась в репозитариях. И те кто вообще не следить за новыми уязвимостями а просто обновляеться с репозитариев могли просто попасть в просак. Много хостерв поломали через эти дырки. Тем более что с репозитария ставиться он не очень то и нормально. Оставляет система сетап скрипты и при этом взломав скрипт пхпмай админа можно получить полные права в системе с юзером апач.
Ну да ладно. Расскажу историю.
В очередной раз проверяя логи сервера на наличие попыток взлома и прочего я наткнулся на такой красивый кусок:
Code
211.181.102.144 - - [23/Sep/2010:21:11:01 +0300] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 148 "-" "ZmEu"
211.181.102.144 - - [23/Sep/2010:21:11:02 +0300] "GET /scripts/setup.php HTTP/1.1" 404 148 "-" "ZmEu"
211.181.102.144 - - [23/Sep/2010:21:11:03 +0300] "GET /admin/scripts/setup.php HTTP/1.1" 404 148 "-" "ZmEu"
211.181.102.144 - - [23/Sep/2010:21:11:04 +0300] "GET /admin/pma/scripts/setup.php HTTP/1.1" 404 148 "-" "ZmEu"
211.181.102.144 - - [23/Sep/2010:21:11:04 +0300] "GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 148 "-" "ZmEu"
211.181.102.144 - - [23/Sep/2010:21:11:05 +0300] "GET /db/scripts/setup.php HTTP/1.1" 404 148 "-" "ZmEu"
211.181.102.144 - - [23/Sep/2010:21:11:06 +0300] "GET /dbadmin/scripts/setup.php HTTP/1.1" 404 148 "-" "ZmEu"
211.181.102.144 - - [23/Sep/2010:21:11:07 +0300] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 148 "-" "ZmEu"
211.181.102.144 - - [23/Sep/2010:21:11:07 +0300] "GET /mysql/scripts/setup.php HTTP/1.1" 404 148 "-" "ZmEu"
211.181.102.144 - - [23/Sep/2010:21:11:08 +0300] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 148 "-" "ZmEu"
211.181.102.144 - - [23/Sep/2010:21:11:09 +0300] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 148 "-" "ZmEu"
211.181.102.144 - - [23/Sep/2010:21:11:10 +0300] "GET /phpadmin/scripts/setup.php HTTP/1.1" 404 148 "-" "ZmEu"

и спустя время на такой:

Code
200.76.17.194 - - [20/Sep/2010:21:25:35 +0300] "GET //sqlweb/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 203 "-" "Mozill
a/4.0 (compatible; MSIE 6.0; Windows 98)"
200.76.17.194 - - [20/Sep/2010:21:25:36 +0300] "GET //webadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 203 "-" "Mozi
lla/4.0 (compatible; MSIE 6.0; Windows 98)"
200.76.17.194 - - [20/Sep/2010:21:25:36 +0300] "GET //webdb/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 203 "-" "Mozilla
/4.0 (compatible; MSIE 6.0; Windows 98)"
200.76.17.194 - - [20/Sep/2010:21:25:37 +0300] "GET //websql/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 203 "-" "Mozill
a/4.0 (compatible; MSIE 6.0; Windows 98)"
200.76.17.194 - - [20/Sep/2010:21:25:37 +0300] "GET //phpMyAdmin-2.5.5-rc2/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 2
03 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
200.76.17.194 - - [20/Sep/2010:21:25:37 +0300] "GET //phpMyAdmin-2.5.5/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 203 "
-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
200.76.17.194 - - [20/Sep/2010:21:25:37 +0300] "GET //phpMyAdmin-2.5.6-rc1/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 2
03 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
200.76.17.194 - - [20/Sep/2010:21:25:38 +0300] "GET //phpMyAdmin-2.5.6-rc2/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 2
03 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

Самое интересное что обращение к скрипту шло по аллиасу создаваемому панелью на хостинге, проще говоря пхп май админ установленый панелью с установки сервера запускалась пхп интерпритатором в режиме mod_php для апача. А значит в логах nginxa ничего мне не писало, на чем собственно сканеры у меня и завязаны.

Но в ручную все логит еще проверяю сам это и обнаружилось при таком осмотре,
и так в логах виден четкий подбор машиной уязвимых мест. а итменно пытаеться определить где установочные скрипты. Их нет и сервер отвечает 404 что в логе и показало. то что это машина видно по тому сколько запросов идет за 1 сек. так человек быстро не думает.

а дальше еще круче - с подбором корневой папки скрипта еще и дырочки искало.

ну вообщем нужно было как блокировать. изучив логи понял что действует через прокси ибо айпи разные каждые 20 запросов. Значит блокать по айпи бред. А что же у них одинаково? А user_agent у них "ZmEu" и по этому уже мона фильтронуть.

Сам скрипт phpmyadmin я вынес на нового пользователя и приписав ему аллиас, тем самым избежав дырки в случае таки взлома, человек тупо за пределы директории скрипта не выйдет.

Ну и набросав в конфиг заветные строки закрыв доступ ему:
в окнфиг nginx в соответсующий для моего юзера для пхпмайадмина веб хост я внес строки:

Code
if ($http_user_agent ~ ZmEu) {
return 503;
}

тем самым сказал серверу что все что привалит с http_user_agent ~ ZmEuм вываливать 503 ошибку и апачу вообще ничего не говорить.

но в моем случае это так. Но бывают и сервера с одним апачем. тут придумал такое:

Code
<IfModule mod_rewrite.c>
  RewriteEngine on
  RewriteCond %{REQUEST_URI} !^/path/to/your/abusefile.php
  RewriteCond %{HTTP_USER_AGENT} (.*)ZmEu(.*)
  RewriteRule .* http://www.yourdomain.com/path/to/your/abusefile.php [R=301,L]
  </IfModule>

второй пример я не испытывал, кто попробует пусть отпишет.

Вот так вот. И еще хочу сообщить что этот скрипт phpmyadmin лучше поставить с офф сайта новый.

Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.8 Рубрика системного адміністратора » сканирование веб скриптов, в логах ZmEu. Что делать?
Сторінка 1 з 11
Пошук:


© Форум інформатиків України, 2007-2017.