LINUX.ORG.RU
ФорумAdmin

Пример подготовки к атаке


0

1

Обнаружил вот в логах недавно поднятого сервера (нет доменного имени, только IP) следующее:

webmail.ifsc.edu.br - - [15/Jan/2010:00:22:03 +0300] "GET //phpmyadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hermes.ifsc.edu.br - - [15/Jan/2010:00:22:06 +0300] "GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hermes.ifsc.edu.br - - [15/Jan/2010:00:22:07 +0300] "GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
webmail.ifsc.edu.br - - [15/Jan/2010:00:22:07 +0300] "GET //dbadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hermes.ifsc.edu.br - - [15/Jan/2010:00:22:08 +0300] "GET //mysql/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
webmail.ifsc.edu.br - - [15/Jan/2010:00:22:08 +0300] "GET //php-my-admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034"-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hermes.ifsc.edu.br - - [15/Jan/2010:00:22:09 +0300] "GET //myadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
webmail.ifsc.edu.br - - [15/Jan/2010:00:22:10 +0300] "GET //PHPMYADMIN/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hermes.ifsc.edu.br - - [15/Jan/2010:00:22:10 +0300] "GET //phpMyAdmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
webmail.ifsc.edu.br - - [15/Jan/2010:00:22:11 +0300] "GET //p/m/a/config/config.inc.php?p=phpinfo(); HTTP/1.1" 403 1034 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

Видно что гад вынюхивал PHP-шные настройки. По адресам отправителя — свежеподнятый апач с «It Works!».

Cудя по быстроте первого визита (первые сутки с момента запуска) это какой-то популярный прощупыватель.

В связи с этим вопросы — что оно могло искать? В PHP не втыкал глубоко, но раз у отправителя у самого апач, то наверное искал возможность инклюдов. Куда копать прикажете?

Есть ли программа, позволяющая вырубить вынюхивания на корню?

Думаю многим будет полезна тема. Спасибо.

GET //phpMyAdmin/config/config.inc.php?p=phpinfo() 

Странный какой-то файл, наверное, известная дырка?

mclaudt ()

Первый сервер?
Какой-нибудь сетевой триппер шарился, искал конфиг пхпадмина с криво выставленными правами.

Marmirus ★★ ()

Месяц назад похожее было у меня в логах, выглядит ужасающе, но боятся особо нечего, особенно если все правильно настроено. Еще на ssh будут ломиться, меня всегда умиляет попытка root-доступа, когда он запрещен.

ostin ★★★★★ ()

Подготовка к атаке - это когда кот в засаде начинает задницей крутить.
А у тебя - ничего страшного :)

ovax ★★ ()

в phpmyadmin дыры постоянно, поэтому и ходят всякие боты сканируют

ко мне вон тоже постоянно тыкаются в поисках:

[Sat Jan 02 10:37:54 2010] [error] [client 86.125.5.142] File does not exist: /home/www/phpMyAdmin
[Tue Jan 05 01:09:23 2010] [error] [client 91.189.181.157] File does not exist: /home/www/phpMyAdmin
[Tue Jan 05 10:44:21 2010] [error] [client 88.203.203.150] File does not exist: /home/www/phpmyadmin
[Tue Jan 05 10:44:23 2010] [error] [client 88.203.203.150] File does not exist: /home/www/myadmin
[Tue Jan 05 10:44:24 2010] [error] [client 88.203.203.150] File does not exist: /home/www/PHPMYADMIN
[Tue Jan 05 10:44:24 2010] [error] [client 88.203.203.150] File does not exist: /home/www/phpMyAdmin
[Sat Jan 09 15:44:17 2010] [error] [client 195.56.146.16] File does not exist: /home/www/phpmyadmin
[Sat Jan 09 15:44:18 2010] [error] [client 195.56.146.16] File does not exist: /home/www/phpMyAdmin
[Sun Jan 10 23:22:00 2010] [error] [client 61.187.94.171] File does not exist: /home/www/phpMyAdmin
[Sun Jan 10 23:38:37 2010] [error] [client 61.187.94.171] File does not exist: /home/www/phpmyadmin
[Thu Jan 14 04:17:48 2010] [error] [client 80.86.111.164] File does not exist: /home/www/phpmyadmin
[Thu Jan 14 04:17:50 2010] [error] [client 80.86.111.164] File does not exist: /home/www/phpMyAdmin

Sylvia ★★★★★ ()
Ответ на: комментарий от Sylvia

Взаимно.

77.111.88.13 - - [28/Dec/2009:17:41:16 +0300] «GET //mysql/ HTTP/1.1» 404 1889 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:16 +0300] «GET //mysqladmin/ HTTP/1.1» 404 1894 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:17 +0300] «GET //typo3/phpmyadmin/ HTTP/1.1» 404 1901 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:17 +0300] «GET //phpadmin/ HTTP/1.1» 404 1890 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:17 +0300] «GET //phpMyAdmin/ HTTP/1.1» 404 1897 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:18 +0300] «GET //phpmyadmin/ HTTP/1.1» 404 1893 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:18 +0300] «GET //phpmyadmin1/ HTTP/1.1» 404 1898 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:19 +0300] «GET //phpmyadmin2/ HTTP/1.1» 404 1898 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:19 +0300] «GET //pma/ HTTP/1.1» 404 1887 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:19 +0300] «GET //web/phpMyAdmin/ HTTP/1.1» 404 1901 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:20 +0300] «GET //xampp/phpmyadmin/ HTTP/1.1» 404 1901 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:20 +0300] «GET //web/ HTTP/1.1» 404 1888 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»
77.111.88.13 - - [28/Dec/2009:17:41:21 +0300] «GET //php-my-admin/ HTTP/1.1» 404 1898 "-" «Made by ZmEu @ WhiteHat Team - www.whitehat.ro»

unixway ()
Ответ на: комментарий от Sylvia

>>в phpmyadmin дыры постоянно, поэтому и ходят всякие боты сканируют

От оно как; хорошо что снесено давно.

А зато теперь точно знаю, как не надо называть главные папки сервера.

mclaudt ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.