Elxis CMS Forum

Ελληνικό Forum => Ασφάλεια => Topic started by: ArXoS on July 06, 2011, 03:21:59

Title: Ύποπτα scaning ?
Post by: ArXoS on July 06, 2011, 03:21:59
Παιδιά εδώ και 2 μέρες παίρνω συνέχεια errors από scannings .. Ένα δείγμα


[Tue Jul 05 22:59:18 2011] [error] [client 94.23.199.51] File does not exist: /public_html/mysql-admin
[Tue Jul 05 22:59:17 2011] [error] [client 94.23.199.51] File does not exist: /public_html/mysqladmin
[Tue Jul 05 22:59:17 2011] [error] [client 94.23.199.51] File does not exist: /public_html/webdb
[Tue Jul 05 22:59:16 2011] [error] [client 94.23.199.51] File does not exist: /public_html/websql
[Tue Jul 05 22:59:16 2011] [error] [client 94.23.199.51] File does not exist: /public_html/sqlweb
[Tue Jul 05 22:59:16 2011] [error] [client 94.23.199.51] File does not exist: /public_html/webadmin
[Tue Jul 05 22:59:00 2011] [error] [client 94.23.199.51] File does not exist: /public_html/p
[Tue Jul 05 22:58:54 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.8.2
[Tue Jul 05 22:58:54 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.8.1
[Tue Jul 05 22:58:53 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.8.1-rc1
[Tue Jul 05 22:58:53 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.8.0.4
[Tue Jul 05 22:58:53 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.8.0.3
[Tue Jul 05 22:58:53 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.8.0.2
[Tue Jul 05 22:58:52 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.8.0.1
[Tue Jul 05 22:58:52 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.8.0
[Tue Jul 05 22:58:51 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.8.0-rc2
[Tue Jul 05 22:58:51 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.8.0-rc1
[Tue Jul 05 22:58:50 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.8.0-beta1
[Tue Jul 05 22:58:50 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.7.0
[Tue Jul 05 22:58:50 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.7.0-pl2
[Tue Jul 05 22:58:49 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.7.0-pl1
[Tue Jul 05 22:58:48 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.7.0-rc1
[Tue Jul 05 22:58:48 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.7.0-beta1
[Tue Jul 05 22:58:48 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.4
[Tue Jul 05 22:58:44 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.4-pl3
[Tue Jul 05 22:58:44 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.4-pl2
[Tue Jul 05 22:58:33 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.3
[Tue Jul 05 22:58:29 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.3
[Tue Jul 05 22:58:29 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.2-pl1
[Tue Jul 05 22:58:29 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.2
[Tue Jul 05 22:58:28 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.2-rc1
[Tue Jul 05 22:58:28 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.2-beta1
[Tue Jul 05 22:58:28 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.2-rc1
[Tue Jul 05 22:58:27 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.1-pl3
[Tue Jul 05 22:58:27 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.1-pl2
[Tue Jul 05 22:58:24 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.1
[Tue Jul 05 22:58:23 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.1-rc2
[Tue Jul 05 22:58:22 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.1-rc1
[Tue Jul 05 22:58:22 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.0-pl3
[Tue Jul 05 22:58:22 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.0-pl2
[Tue Jul 05 22:58:21 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.0-pl1
[Tue Jul 05 22:58:21 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.0
[Tue Jul 05 22:58:20 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.0-rc3
[Tue Jul 05 22:58:20 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.0-rc2
[Tue Jul 05 22:58:20 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.0-rc1
[Tue Jul 05 22:58:19 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.0-beta2
[Tue Jul 05 22:58:19 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.0-beta1
[Tue Jul 05 22:58:18 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.0-alpha2
[Tue Jul 05 22:58:18 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.6.0-alpha
[Tue Jul 05 22:58:18 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.5.7-pl1
[Tue Jul 05 22:58:14 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.5.6
[Tue Jul 05 22:58:05 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.5.5
[Tue Jul 05 22:58:04 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.5.5-rc2
[Tue Jul 05 22:58:04 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.5.5-rc1
[Tue Jul 05 22:58:04 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.5.4
[Tue Jul 05 22:58:03 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.5.1
[Tue Jul 05 22:58:03 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.2.6
[Tue Jul 05 22:58:03 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2.2.3
[Tue Jul 05 22:58:02 2011] [error] [client 94.23.199.51] File does not exist: /public_html/php-my-admin
[Tue Jul 05 22:58:02 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin-2
[Tue Jul 05 22:58:02 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin
[Tue Jul 05 22:58:01 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpmyadmin
[Tue Jul 05 22:58:01 2011] [error] [client 94.23.199.51] File does not exist: /public_html/websql
[Tue Jul 05 22:58:00 2011] [error] [client 94.23.199.51] File does not exist: /public_html/php-my-admin
[Tue Jul 05 22:58:00 2011] [error] [client 94.23.199.51] File does not exist: /public_html/web
[Tue Jul 05 22:58:00 2011] [error] [client 94.23.199.51] File does not exist: /public_html/xampp
[Tue Jul 05 22:58:00 2011] [error] [client 94.23.199.51] File does not exist: /public_html/web
[Tue Jul 05 22:57:59 2011] [error] [client 94.23.199.51] File does not exist: /public_html/pma
[Tue Jul 05 22:57:59 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpmyadmin2
[Tue Jul 05 22:57:58 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpmyadmin1
[Tue Jul 05 22:57:58 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpmyadmin
[Tue Jul 05 22:57:58 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpMyAdmin
[Tue Jul 05 22:57:57 2011] [error] [client 94.23.199.51] File does not exist: /public_html/phpadmin
[Tue Jul 05 22:57:57 2011] [error] [client 94.23.199.51] File does not exist: /public_html/typo3
[Tue Jul 05 22:57:56 2011] [error] [client 94.23.199.51] File does not exist: /public_html/mysqladmin
[Tue Jul 05 22:57:56 2011] [error] [client 94.23.199.51] File does not exist: /public_html/mysql
[Tue Jul 05 22:57:53 2011] [error] [client 94.23.199.51] File does not exist: /public_html/dbadmin
[Tue Jul 05 22:57:52 2011] [error] [client 94.23.199.51] File does not exist: /public_html/db
[Tue Jul 05 22:57:52 2011] [error] [client 94.23.199.51] File does not exist: /public_html/admin
[Tue Jul 05 22:57:51 2011] [error] [client 94.23.199.51] File does not exist: /public_html/admin
[Tue Jul 05 22:57:51 2011] [error] [client 94.23.199.51] File does not exist: /public_html/admin
[Tue Jul 05 22:57:50 2011] [error] [client 94.23.199.51] File does not exist: /public_html/scripts


Σελίδες ατελείωτες που τα βλέπω όμως σαν errors μέσα από το cpanel και δεν αναφέρονται πουθενά αλλού (defender κτλ)
Να ανησυχώ ? Από ότι καταλαβαίνω ψάχνει να μπει στις βάσεις μου. Μπορεί μέσα από το public_html ?
Title: Re: Ύποπτα scaning ?
Post by: ks-net on July 06, 2011, 05:25:03
τυπικό συνιθισμένο... και ουχί κάτι νέο και παράξενο!

δεν έχει να κάνει με το elxis και ούτε μπορεί να το πιάσεις μέσα από τον defender... o defender μπλοκάρει post  και get  που περνάνε μέσα απο το ιδιο to elxis...

εδώ έχεις να κάνεις με direct request που προσπαθούν να βρουν συνήθη σελίδες διαχείρησης...

εγώ πιάνω τα περισσότερα από αυτά με bail2ban
όχι όλα, ας πούμε το 95% και γλιτώνω φορτώματα χωρίς λόγο.... λέω 95% γιατί καθημερινά μπορεί να υπάρξουν καινούργιες απειλές οπότε θέλει να έχεις(logwatch soft)  το νού σου!

καταρχήν έχω αλλάξει όποιες script-directories έχουν ονομάτα σχετικά με sql / phpmyadmin / admin / mail/webmail κτλ....
και μετά έχω βάλει φίλτρα στον fail2ban να θέτει την ip αυτού που κάνει πανω από 10 προσπάθειες να βρεί αυτές τις url σε μονιμο ban...
δηλαδή έχω  κάνει κάτι σαν παγίδα για να μαζεύω τα κακά παιδιά κάτι σαν honeypot...

με τον fail2ban πιανω και άλλα πράγματα όπως
smtp fail login πάνω από 6 προσπαθιες ban για 15 λεπτά  αν συνεχιστεί ban  για 1 ώρα και στην επόμενη ban forever
ftp fail login  κτλ...
sasl fail login  κτλ...
pop fail login
smtp user not found ..errors 54xx
empty user agents
apache bad-bots (ZmEu , revolt κτλ..)   που τραβάνε πολύ badwidth(16-32 request/sec επί ώρες  )...  σκάβοντας όλο το server πονηρά  για ότι είδους setup login admin και τέτοια
dns dos atacks
ssh αυτό σε κόβει στις 3 αποτυχημένες προσπάθειες και  κάνει  ban μονιμα αμέσως .... έχω τουλάχιστουν 20-30 ip καθημερινά ban από αυτή του δουλειά ... αυτό το φίλτρο δουλεύει άλλο περισσότερο!
οταν δεν είχα τον fail2ban είχα μόνιμα συνέχεια στα auth.logs δεκαδες-χιλιάδες προσπάθειες ...καθημερινά! κάποια στιγμή άλλαξα την πόρτα από 22 σε άλλη αλλά και πάλι έχω!

αν δεν έχεις κάτι σαν τον fail2ban ...ριξε μια ματιά στα logs σε υπηρεσίες που αναφέρω παραπάνω και θα κρατάς μετά το κεφάλι σου...
δεν υπάρχει περίπτωση... ο server μόνιμα θα είναι στην τσίτα εξυπηρετώντας τους μαμακιδες... που αν δεν έχουν καταφέρει τίποτα από τις συνεχεις προσπάθειες στην καλύτερη σου φορτώνουν τον server



ρωτάς αν έχεις πρόβλημα.. όχι όσο δεν έχεις κάποια ευάλωτα script κάπου...
το πρόβλημα ασφαλείας δεν δημιουργείται από τα σκαναρίσματα.. αλλά από το τι θα βρεί αυτός που σκανάρει! το μόνο πρόβλημα που βασικά έχεις έχεις είναι το φόρτωμα του server
εσύ μπορεί να είδες μόνο τα apache logs αλλά κοίτα και παραπέρα και μετά θα τραβάς τα μαλλιά σου!

πέρα από αυτά που λέμε γiα μπλοκάρισμα με fail2ban ή άλλο ανάλογο πρόγραμμα...
δώσε βάση και βάλε άν δεν έχεις :
rootkit hunters ... αχρείαστο να είναι!
clamav να γλιτώσεις τα mail από μικρόβια κτλ...
logwatch ... απαραίτητο θα σου δωσει άλλη εικόνα του τι παίζει με το server!


Title: Re: Ύποπτα scaning ?
Post by: nikos on July 06, 2011, 22:00:51
 :o Μπράβο και εδώ Κώστα! Είσαι σχολείο...!
Title: Re: Ύποπτα scaning ?
Post by: ArXoS on July 07, 2011, 00:10:08
 :o :o για δες ...


Thanks ks-net
Title: Re: Ύποπτα scaning ?
Post by: datahell on July 11, 2011, 20:29:55
Ενημέρωση, έτσι για να σας κρατάω σε αγωνία  ;D

Στο Elxis Nautilus ο Defender είναι ενσωματωμένος στον πυρήνα και λειτουργεί πλήρως αυτόματα. Ο διαχειριστής απλά ενεργοποιεί τις λειτουργίες εκείνες που θέλει από τις ρυθμίσεις του Elxis, ή τον απενεργοποιεί εντελώς. Τα φίλτρα του νέου Defender είναι περίπου 1200 και παρόλο τον μεγάλο αριθμό τους εκτελείται πολύ γρήγορα. Τα φίλτρα ενημερώνονται αυτόματα από το elxis.org με μία διαδικασία ενημέρωσης ενώ μπορείτε να προσθέσετε και δικά σας. Επίσης προστέθηκε και κάτι που είναι πρωτοποριακό σαν ιδέα αν και σαν τεχνολογία υπάρχει ήδη από το Elxis 2006 στο updiag. Ο Defender έχει πλέον και δυνατότητα ανίχνευσης αλλαγών στο σύστημα αρχείων. Αν ανιχνεύσει μία αλλαγή (πχ κάποιος αλλοίωσε τα περιεχόμενα του index.php αρχείου) φράζει το site και ενημερώνει τον τεχνικό υπεύθυνο του ιστότοπου. Έχει και πολλά αλλα καλούδια αλλά δυστυχώς δεν μπορώ να τα αποκαλύψω ακόμα...