Jump to content

Recommended Posts

Aiuto ragazzi!

 

Sono ormai 4 giorni che il mio dedicato (preso da Netdirekt) e' a quanto pare in balia degli hacker.

 

Ogni giorno mi arrivano email dall' Abuse Team di Netdirekt che mi forwardano le email che ricevono da altri che affermano che il mio IP viene fermato o bannato perche' c'e' alla base una attivita' di hacker.

 

L'ultimo alert che mi e' arrivato (via Abuse Team di Netdirekt) e' da parte di un'altro sito tedesco che chiaramente chiede

 

"Hi

 

Please Stop this FTP-Scan

 

Thx

Sascha Detje"

 

E mi invia una email (Per motivi di privacy ho sostituito l'indirizzo IP del mio server con MIO.INDIRIZZO.IP.DEDICATO):

 

>>>-----Ursprüngliche Nachricht-----
>>>Von: root [mailto:root@ks354603.kimsufi.com]
>>>Gesendet: Montag, 23. März 2009 16:24 Uhr
>>>An: root@basicsounds.de
>>>Betreff: [Fail2Ban] proftpd: banned MIO.INDIRIZZO.IP.DEDICATO
>>>
>>>Hi,
>>>
>>>The IP MIO.INDIRIZZO.IP.DEDICATO has just been banned by Fail2Ban after
>>>2 attempts against proftpd.
>>>

>>>
>>>Lines containing IP:MIO.INDIRIZZO.IP.DEDICATO in /var/log/proftpd.log
>>>
>>>Mar 23 16:22:15 ks354603.kimsufi.com proftpd[6937] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:22:21 ks354603.kimsufi.com proftpd[6937] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): no such user fakeuser
>>>Mar 23 16:22:21 ks354603.kimsufi.com proftpd[6937] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER fakeuser: no such user found from
>>>MIO.INDIRIZZO.IP.DEDICATO [MIO.INDIRIZZO.IP.DEDICATO] to 91.121.107.101:21
>>>Mar 23 16:22:21 ks354603.kimsufi.com proftpd[6937] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:22:21 ks354603.kimsufi.com proftpd[6947] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:22:27 ks354603.kimsufi.com proftpd[6947] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): SECURITY VIOLATION: root login attempted.
>>>Mar 23 16:22:27 ks354603.kimsufi.com proftpd[6947] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:22:27 ks354603.kimsufi.com proftpd[6948] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:22:35 ks354603.kimsufi.com proftpd[6948] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(nobody): Authentication failure.
>>>Mar 23 16:22:35 ks354603.kimsufi.com proftpd[6948] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER nobody (Login failed): Incorrect
>>>password.
>>>Mar 23 16:22:35 ks354603.kimsufi.com proftpd[6948] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:22:35 ks354603.kimsufi.com proftpd[6954] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:22:43 ks354603.kimsufi.com proftpd[6954] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(www-data): Authentication failure.
>>>Mar 23 16:22:43 ks354603.kimsufi.com proftpd[6954] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER www-data (Login failed): Incorrect
>>>password.
>>>Mar 23 16:22:43 ks354603.kimsufi.com proftpd[6954] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:22:43 ks354603.kimsufi.com proftpd[6960] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:22:51 ks354603.kimsufi.com proftpd[6960] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(www-data): Authentication failure.
>>>Mar 23 16:22:51 ks354603.kimsufi.com proftpd[6960] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER www-data (Login failed): Incorrect
>>>password.
>>>Mar 23 16:22:51 ks354603.kimsufi.com proftpd[6960] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:22:52 ks354603.kimsufi.com proftpd[6971] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:23:00 ks354603.kimsufi.com proftpd[6971] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(www-data): Authentication failure.
>>>Mar 23 16:23:00 ks354603.kimsufi.com proftpd[6971] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER www-data (Login failed): Incorrect
>>>password.
>>>Mar 23 16:23:00 ks354603.kimsufi.com proftpd[6971] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:23:00 ks354603.kimsufi.com proftpd[6972] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:23:08 ks354603.kimsufi.com proftpd[6972] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(nobody): Authentication failure.
>>>Mar 23 16:23:08 ks354603.kimsufi.com proftpd[6972] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER nobody (Login failed): Incorrect
>>>password.
>>>Mar 23 16:23:08 ks354603.kimsufi.com proftpd[6972] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:23:08 ks354603.kimsufi.com proftpd[7053] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:23:17 ks354603.kimsufi.com proftpd[7053] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(nobody): Authentication failure.
>>>Mar 23 16:23:17 ks354603.kimsufi.com proftpd[7053] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER nobody (Login failed): Incorrect
>>>password.
>>>Mar 23 16:23:17 ks354603.kimsufi.com proftpd[7053] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:23:17 ks354603.kimsufi.com proftpd[7063] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:23:25 ks354603.kimsufi.com proftpd[7063] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(nobody): Authentication failure.
>>>Mar 23 16:23:25 ks354603.kimsufi.com proftpd[7063] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER nobody (Login failed): Incorrect
>>>password.
>>>Mar 23 16:23:25 ks354603.kimsufi.com proftpd[7063] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:23:25 ks354603.kimsufi.com proftpd[7069] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:23:31 ks354603.kimsufi.com proftpd[7069] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): no such user apache
>>>Mar 23 16:23:31 ks354603.kimsufi.com proftpd[7069] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER apache: no such user found from
>>>MIO.INDIRIZZO.IP.DEDICATO [MIO.INDIRIZZO.IP.DEDICATO] to 91.121.107.101:21
>>>Mar 23 16:23:31 ks354603.kimsufi.com proftpd[7069] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:23:31 ks354603.kimsufi.com proftpd[7075] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.

 

1) Come faccio a capire cosa stanno fapendo?

2) Dato che sul dedicato sono hostati diversi siti (5), come faccio a capire se c'e' qualche script coinvolto e soprattutto da quale partono gli attacchi?

 

Io mi sono limitato a cambiare la pw del server root, che altro posso fare:062802drink_prv:?

 

Grazie

Share this post


Link to post
Share on other sites

Un'altra email

 

Hallo.

Wir hatten einen ganzen Haufen Exploitversuche auf verschiedene unserer
Maschinen von einer eurer Maschinen aus (MIO.INDIRIZZO.IP.DEDICATO).

Exemplarisch hier ein Auszug eines (redirector) Logs von 195.96.32.4:

MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] \"POST
/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] \"POST
/mail/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] \"POST
/rc/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] \"POST
/roundcube/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] \"POST
/roundcubemail/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] \"POST
/roundcube-mail/bin/html2text.php HTTP/1.1\" 501 -
[...]
Und nach ein paar Stunden dasselbe Spiel nochmal:
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/mail/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/rc/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcube/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcube-mail/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.1/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.1.1/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.1beta/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.1beta2/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.1-rc1/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.1-rc2/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.2/bin/html2text.php HTTP/1.1\" 501 -
[...]

MfG CoCo

Share this post


Link to post
Share on other sites

Ti conviene prendere un servizio di KVM over IP e far staccare il cavo di rete dal provider. Così hai tutto il tempo per analizzare cosa è successo e DOPO LA REINSTALLAZIONE, fare in modo che non si verifichi più.

 

Ma se la macchina è compromessa, DEVI reinstallare. Al 99% ti han già installato qualche backdoor quindi possono entrare ed uscire liberamente dal sistema anche in futuro. Formatta e riparti da 0.

 

(sempre che la macchina sia stata compromessa)

Share this post


Link to post
Share on other sites

Vabbe,

 

se non ci sono altre soluzioni mi trovero un dedicato managed.

 

Peccato, come server quelli di netdirekt sono buoni ma sei lasciato a te stesso e non so se offrono soluzioni managed.

 

Loro mi hanno offerto di installare un firewall hardware per 25 euro al mese ma non capisco se serva per questo tipo di problemi.

 

Ciao

Share this post


Link to post
Share on other sites

Una volta che ti han bucato, il firewall fa poco. Il firewall serve a prevenire.

Sempre che il tuo server sia effettivamente compromesso, magari se tu avessi avuto un firewall hardware (di buona qualità, con ispezione dei pacchetti) probabilmente non ti avrebbero bucato.

 

Ma oggigiorno, la maggioranza di attacchi avviene tramite script PHP scritti con i piedi associati a server web non messi in sicurezza. Una vulnerabilità del codice e ti installano una backdoor (o ti fanno defecement di 100 siti per volta) ed a quel punto non hai più niente da fare.

 

Se non si ha dimestichezza con i server, un managed è sempre la soluzione migliore. E' compito del provider mettere in sicurezza il sistema.

Edited by guest

Share this post


Link to post
Share on other sites

se non ci sono altre soluzioni mi trovero un dedicato managed.

Ottima idea, ma nel frattempo puoi contattare un sistemista o puoi provare a richiedere un loro intervento a pagamento. E' un miracolo che non te l'abbiano ancora scollegato.

Share this post


Link to post
Share on other sites
Una volta che ti han bucato, il firewall fa poco. Il firewall serve a prevenire.

Sempre che il tuo server sia effettivamente compromesso, magari se tu avessi avuto un firewall hardware (di buona qualità, con ispezione dei pacchetti) probabilmente non ti avrebbero bucato.

 

Mica detto.. se sfruttano le vulnerabilità dei siti o script anche un firewall non può far nulla.

Share this post


Link to post
Share on other sites
Mica detto.. se sfruttano le vulnerabilità dei siti o script anche un firewall non può far nulla.

 

Appunto, e io che ho detto? :sbonk:

Ho messo un "ma" apposta ad inizio frase. Il senso era: il firewall ti aiuta MA oggigiorno le vulnerabilità sono quelle descri script PHP ed in tal caso il firewall non può fare nulla (o quasi, dipende se analizza le sessioni HTTP e gli URL alla ricerca di pattern conosciuti)

Share this post


Link to post
Share on other sites
E' un miracolo che non te l'abbiano ancora scollegato.

 

In realta' lo hanno scollegato verso le 5 di oggi.

 

Il fatto e' che loro mi dicono di risolvere il problema trovando la "sorgente" del problema.

 

Per me e' come trovare un ago in un paiaio.

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×