Autor Tópico: Conexões estranhas no apache (Lida 11536 vezes)

cpaynes · « **Online:** 13 de MAR?O de 2012, 23:33 »

Pessoal, queria uma ajuda para interpretar uma parte do meu log.
estou recebendo diversas conexões de ips estranhos no meu servidor web.
E nos logs de acesso do site possui alguns endereços ips tentanto acessar pelo que entendi o meu dominio.com.br/ticket ou newticket ou query, dentre outros.
esses ips que comecam com 89, 90, 80, 46... provavel que deverão ser bloqueados, mas queria saber melhor o que eles estão fazendo!!
Obrigado!

tcp 0 0 0.0.0.0:8080 0.0.0.0:* OUÇA 2981/java
tcp 0 0 0.0.0.0:80 0.0.0.0:* OUÇA 3133/apache2
tcp 0 0 200.xxx.xxx.xx:80 125.24.250.13:61193 SYN_RECEBIDO –
tcp 0 0 200.xxx.xxx.xx:80 89.169.1.30:60120 ESTABELECIDA 12200/apache2
tcp 0 0 200.xxx.xxx.xx:80 80.194.50.116:40111 ESTABELECIDA 15889/apache2

tcp 0 0 0.0.0.0:8081 0.0.0.0:* OUÇA 3133/apache2
tcp 0 0 127.0.0.1:8005 0.0.0.0:* OUÇA 2981/java
tcp 0 0 0.0.0.0:8009 0.0.0.0:* OUÇA 2981/java
tcp 0 0 200.xxx.xxx.xx:80 200.102.207.218:50011 TIME_WAIT -
tcp 0 0 200.xxx.xxx.xx:80 46.105.30.42:56676 TIME_WAIT -
tcp 0 0 200.xxx.xxx.xx:80 76.164.222.35:1922 TIME_WAIT -
tcp 0 0 200.xxx.xxx.xx:80 76.164.222.35:4986 TIME_WAIT -
tcp 0 0 200.xxx.xxx.xx:80 96.47.224.218:44383 TIME_WAIT -

tcp 0 0 200.xxx.xxx.xx:80 76.164.222.35:1518 ESTABELECIDA 14044/apache2
tcp 0 0 200.xxx.xxx.xx:80 200.102.207.218:50044 TIME_WAIT -
tcp 0 0 127.0.0.1:37742 127.0.0.1:3306 ESTABELECIDA 15808/amavisd (ch3-
tcp 0 0 200.xxx.xxx.xx:80 200.102.207.218:50009 TIME_WAIT -
tcp 0 0 200.xxx.xxx.xx:80 200.102.207.218:50012 TIME_WAIT -
tcp 0 0 200.xxx.xxx.xx:80 200.102.207.218:50010 TIME_WAIT -
tcp 0 0 200.xxx.xxx.xx:80 142.169.1.233:51469 ESPERA_FIN2 -

- tail -f /var/log/ispconfig/http/mydomain/error.log

[Tue Mar 13 22:48:18 2012] [error] [client 180.76.6.26] File does not exist: /var/www/mydomain.com.br/web/ticket
[Tue Mar 13 22:48:23 2012] [error] [client 66.249.72.205] File does not exist: /var/www/ mydomain.com.br/web/ticket
[Tue Mar 13 22:48:23 2012] [error] [client 66.249.72.211] File does not exist: /var/www/ mydomain.com.br/web/ticket
[Tue Mar 13 22:48:29 2012] [error] [client 201.11.201.137] File does not exist: /var/www/ mydomain.com.br/web/ticket
[Tue Mar 13 22:48:53 2012] [error] [client 96.47.224.50] File does not exist: /var/www/ mydomain.com.br/web/ticket
[Tue Mar 13 22:48:54 2012] [error] [client 96.47.224.50] File does not exist: /var/www/ mydomain.com.br/web/newticket
[Tue Mar 13 22:49:02 2012] [error] [client 66.249.72.211] File does not exist: /var/www/ mydomain.com.br/web/ticket
[Tue Mar 13 22:49:17 2012] [error] [client 180.76.5.176] File does not exist: /var/www/ mydomain.com.br/web/query
[Tue Mar 13 22:49:23 2012] [error] [client 96.47.225.178] File does not exist: /var/www/ mydomain.com.br/web/ticket
[Tue Mar 13 22:49:23 2012] [error] [client 96.47.225.178] File does not exist: /var/www/ mydomain.com.br/web/ticket

- tail -f /var/log/ispconfig/http/mydomain/access.log

6.105.30.42 - - [13/Mar/2012:23:48:02 -0300] "GET /ticket/2181 HTTP/1.0" 404 1806 "http://server.mydomain.com.br/ticket/2181#comment:1" "Mozilla/4.76 [en] (Windows NT 5.0; U)"
140.98.210.233 - - [13/Mar/2012:23:48:08 -0300] "GET /ticket/2181 HTTP/1.1" 404 1806 "http://server.mydomain.com.br/ticket/2181#comment:1" "Mozilla/4.76 [en] (Windows NT 5.0; U)"
84.246.226.180 - - [13/Mar/2012:23:48:11 -0300] "GET /ticket/2181 HTTP/1.1" 404 1806 "http://server.mydomain.com.br/ticket/2181#comment:1" "Mozilla/4.76 [en] (Windows NT 5.0; U)"
80.90.151.1 - - [13/Mar/2012:23:48:13 -0300] "GET /ticket/2181 HTTP/1.1" 404 1806 "http://server.mydomain.com.br/ticket/2181#comment:1" "Mozilla/4.76 [en] (Windows NT 5.0; U)"
180.76.5.90 - - [13/Mar/2012:23:48:28 -0300] "GET /ticket/4034 HTTP/1.1" 404 809 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
66.249.72.211 - - [13/Mar/2012:23:48:32 -0300] "GET /ticket/171511?format=rss HTTP/1.1" 404 809 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
125.24.250.13 - - [13/Mar/2012:23:48:35 -0300] "GET /newticket HTTP/1.0" 404 1806 "http://server.mydomain.com.br/newticket" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts; .NET CLR 1.1.4322; PeoplePal 6.2)"
125.24.250.13 - - [13/Mar/2012:23:48:39 -0300] "GET / HTTP/1.0" 302 0 "http://server.mydomain.com.br/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts; .NET CLR 1.1.4322; PeoplePal 6.2)"
66.249.72.211 - - [13/Mar/2012:23:48:44 -0300] "GET /ticket/157436 HTTP/1.1" 404 809 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

zekkerj · « **Resposta #1 Online:** 14 de MAR?O de 2012, 11:10 »

Estão tentando invadir seu servidor, só isso. Estão atrás de serviços vulneráveis.

Dica: revise a segurança do servidor, e observe se você não largou cópias dos arquivos do site, tipo "index.php.bak", acessíveis na página. Já vi um script varrer o site inteiro atrás desses arquivos. Pra quê? Pra conseguir o código fonte do php, em vez de sua saída, e assim conseguir senhas de conexão ao banco de dados.

Outra coisa, se vc tiver algum script que formate arquivos, certifique-se de que ele trata os parâmetros que recebe, e de que não permite acessar arquivos fora da ramificação esperada. Já vi um invasor abusar de um script desses e conseguir acesso ao arquivo /etc/passwd. Por sorte a autenticação do servidor não era feita nesse arquivo (era LDAP), o que reduziu o estrago.

cpaynes · « **Resposta #2 Online:** 14 de MAR?O de 2012, 14:25 »

Olá, eu andei bloqueando uns endereços ontem porem apareceram outros hoje.
tu tem como dar um exemplo desse script de formatação ?

tem uma idéia de como bloquear esses tipos de ataques ? tipo com modesecurity, um fail2ban ajudaria neste sentido ? pois tenho os dois compilados e instalados e nos logs do modsecurity mostra isso:

[14/Mar/2012:15:01:19 --0300] [trac.mydomain.com.br/sid#7f65308ff3f0][rid#7f6530fa8360][/newticket][1] Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/etc/apache2/modsecurity/crs/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "46"] [id "960015"] [rev "2.1.2"] [msg "Request Missing an Accept Header"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"]

[14/Mar/2012:15:02:03 --0300] [server.mydomain.com.br/sid#7f65308ff3f0][rid#7f6530f7d190][/ticket/86042][1] Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/etc/apache2/modsecurity/crs/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "46"] [id "960015"] [rev "2.1.2"] [msg "Request Missing an Accept Header"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"]

[14/Mar/2012:15:02:04 --0300] [server.mydomain.com.br/sid#7f65308ff3f0][rid#7f6530fa0320][/ticket/86042][1] Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/etc/apache2/modsecurity/crs/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "46"] [id "960015"] [rev "2.1.2"] [msg "Request Missing an Accept Header"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"]

tem que formular uma regra para bloquear ?

zekkerj · « **Resposta #3 Online:** 14 de MAR?O de 2012, 19:32 »

Tem um módulo do iptables chamado "recent" que limita a quantidade de novas conexões da mesma origem, num determinado período de tempo. Dá uma pesquisada sobre ele...

cpaynes · « **Resposta #4 Online:** 15 de MAR?O de 2012, 08:28 »

Olá,
eu tenho esse modulo com ssh ja havia feito uns testes com ele, e fiz outros esta noite, porem não resultou em nada.
Tentei com essas regras:
Regra1
iptables -A INPUT -i eth0 -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -m recent --set --name apache
iptables -A INPUT -i eth0 -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 2 --name apache-j REJECT
Regra2
# mesmo tendo passado pela regra acima (3 por minuto), aceita somente 6 por dia
iptables -A INPUT -i eth0 -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -m recent --set --name apache2
iptables -A INPUT -i eth0 -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -m recent --update --seconds 86400 --hitcount 6 --name apache2-j REJECT
Regra3
iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set --name aplimita -j RETURN
iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --name aplimita --rcheck --seconds 120 --hitcount 2 -j LOG --log-prefix "APACHELimitaConn: "
iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --name aplimita --rcheck --seconds 120 --hitcount 2 -j DROP

Mas nenhuma deu resultado.

Notícias:

Autor Tópico: Conexões estranhas no apache (Lida 11536 vezes)

cpaynes

Conexões estranhas no apache

zekkerj

Re: Conexões estranhas no apache

cpaynes

Re: Conexões estranhas no apache

zekkerj

Re: Conexões estranhas no apache

cpaynes

Re: Conexões estranhas no apache