LINUX.ORG.RU

Брутфорс WP-шки и зараженные CentOS?


0

2

Заглянул тут в свои логи Wordpress за последнюю неделю и увидел примерно такую картинку:

root@black:~# bzcat /var/log/myblog.somedomain.com-access_log.*.bz2 |grep wp-login.php |awk '{print $1}' |sort -n |uniq -c |sort
   1 108.163.243.30
   1 113.20.29.219
... тут пропущено - мало вхождений ....
   9 69.167.81.126
   9 74.221.208.58
   9 74.221.220.72
  12 23.231.7.98
  12 72.46.153.109
  12 72.46.156.114
  14 72.46.156.115
  18 198.100.156.94
  22 94.54.17.224
  37 88.240.164.11
 233 188.134.48.250
 276 176.102.37.92
 392 78.190.31.212
1543 91.232.21.213
2178 91.231.233.3
4537 5.19.234.35
9317 196.3.96.21
root@black:~#
При анализе nmap-ом самых ярых подбирателей пароля к админке выяснил что практически все они однотипные, для примера:
Nmap scan report for 199.119.227.187
Host is up (0.16s latency).
Not shown: 995 closed ports
PORT      STATE    SERVICE
80/tcp    open     http
139/tcp   filtered netbios-ssn
1130/tcp  filtered casp
8080/tcp  open     http-proxy
55555/tcp open     unknown

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 40.17 seconds
Собственно у большинства ботов нету ssh, ftp зато есть apache2 (8080/tcp) и Squid 3.1.x (80/tcp, 55555/tcp)

Пробовал заюзать сквида - просит авторизироваться. Ктото может чтото знает? Может оно всегда так было, а я просто не обращал внимания?

фига ты их сканишь? whois айпишников смотри — там будет половина говнохостингов типа digital ocean или hetzner, а вторая половина — обыватели с дсл, шаражкины конторы, универы и госорганы. Боты же.

anonymous ()
Ответ на: комментарий от anonymous

Ну собственно интересно то что однотипные :) Это уже наводит на мысль что это не просто боты, а ботсеть с однотипной конфигой ботов. Ну и собственно интересно как это добро можно в хозяйстве приспособить?

black_13 ()
Ответ на: комментарий от anonymous

Можно было бы как free proxy юзать - дык авторизацию требует зараза :)

black_13 ()
Ответ на: комментарий от xtraeft

Вот еще для примера:

Nmap scan report for mail19.discorda.com (74.221.208.58)
Host is up (0.21s latency).
Not shown: 996 closed ports
PORT      STATE    SERVICE     VERSION
80/tcp    open     http-proxy  Squid http proxy 3.1.10
|_http-methods: No Allow or Public header in OPTIONS response (status code 400)
139/tcp   filtered netbios-ssn
8080/tcp  open     http        Apache httpd 2.2.15 ((CentOS))
| http-methods: GET HEAD POST OPTIONS TRACE
| Potentially risky methods: TRACE
|_See http://nmap.org/nsedoc/scripts/http-methods.html
|_http-title: 404 Not Found
| http-robots.txt: 68 disallowed entries (15 shown)
| /search /groups /images /catalogs /catalogues /news 
| /nwshp /setnewsprefs? /index.html? /? /addurl/image? /pagead/ 
|_/relpage/ /relcontent /imgres
55555/tcp open     http-proxy  Squid http proxy 3.1.10

NSE: Script Post-scanning.
Read data files from: /usr/bin/../share/nmap
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 40.68 seconds

Тоже видим что CentOS и теже порты открыты :)

black_13 ()
Ответ на: комментарий от xtraeft

Гляньте на первый пост, уродцы просто брутфорсят пароль админки wp, ну я и решил посмотреть что это за кексы. Да в принципе особо не парят, но число попыток у некоторых ip настораживает :)

black_13 ()
Ответ на: комментарий от xtraeft

Ну для меня это совсем новая тема, просто интересно

Вот нашел среди ботов совсем унылое корыто на винде, видать поломано все что можно - 188.227.185.254

black_13 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.