Tak sa mi nakoniec podarilo prist na koren utoku. Jedna sa o prienik do modulu Revslider na niekolkych Wordpress instalaciach… Tento hack je uz dlhsie znamy, skoda len ze som sa o tom dozvedel takto.Problemom je vsak ako sa k danej situacii postavit voci klientom, ktory si samozrejme za udrzbu a updaty modulov neplatia. Narusenie ich stranok ma stalo nemalo usilia a zaroven to zhodilo v podstate vsetky stranky ktore pod mojim web serverom bezia. Napada ma vytvorit pre kazdy takyto hosting vlastny sandbox a tym padom napadnuta stranka by neovplyvnila chod inych. Zaroven by klient bol nuteny poziadat o pomoc a ja by som mohol pracu s hladanym chyby fakturovat. Takto je to narocna uloha a neviem ako to riesit ani ci vobec nieco od klienta mam ziadat kedze vypadok zapricinila jeho stranka.Ako by ste sa k danemu problemu postavili vy? Dakujem za navrhy a odporucaniaOn 29. Mar 2015, at 17:39, Pavel Snajdr <snajpa@snajpa.net> wrote:-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
On 03/29/2015 05:22 PM, Petr Parolek wrote:Ahoj,
taky by mě zajímalo, jak se efektivně dají povolit pouze české IP
adres.
Nijak, neexistuje aktualni seznam. GeoIP DB je zastarala. Z BGP se
vycist vsechno neda. Btw, doufam, ze to nikoho nenapadne cpat do
iptables pravidlo po pravidlo, zpomali to totiz pruchod kazdeho paketu.
/snajpa-----BEGIN PGP SIGNATURE-----
Petr Parolek
Dne 29. března 2015 17:18 Ondřej Beránek <rainbof@gmail.com
<mailto:rainbof@gmail.com>> napsal(a):
K tem českým ip, jak toho dosahnes? Geoip nebo máš nějaký seznam
range?
Ondřej Beránek Původní zpráva Od: Jiří V. Odesláno: neděle, 29.
března 2015 17:14 Komu: vpsFree.cz Community list Odpovědět:
vpsFree.cz Community list Předmět: Re: [vpsFree.cz: community-list]
brutoforce attack
Ahoj, jestli tam máš nejaký mobilní kód zjistíš nejlépe pomocí
netstat -a. Potom pokud nemáš nastav iptables jak na input, tak
output, povol jen to co opravdu potřebuješ. Také se podívej na
datum vytvoření souborů. Osobně se proti brute force chráním tak že
po dobu útoku povolim připojování pouze z českých ip.
s pozdravem Jiří V.
Vaclav Dusek <Vaclav.Dusek@cz-pro.cz
<mailto:Vaclav.Dusek@cz-pro.cz>>napsal/a:apachetop -
http://www.buben.piranhacz.cz/monitorovani-systemu-pomoci-apachetop/Dne 29.3.2015 v 14:42 Tomáš Filčák napsal(a):aj to ci tam nebol uploadnuty nejaky script.Jj logy postupne prechadzam vsetky. To FTP ma nenapadlo
prezriemstranka vytazuje server najviac? To by ma vedelo naviest k
Neviete mi pripadne poradit ako by som mohol zistit, ktora
problemu a kedze tych stranok mam viac ako dost je to prilis
pracne prechadzat jednu za druhou...<mailto:neri@neridev.com>> wrote:On 29. Mar 2015, at 10:44, Peter Bubelíny <neri@neridev.comspusteniu .php
Ahoj,
pokiaľ to šablóna a pluginy umožňujú, a budú pracovať
korektne, tak vytvoriť .htaccess v wp-content, wp-includes s
obsahom:
<FilesMatch "\.(php)$"> deny from all allow from localhost
</FilesMatch>
Neviem či to pomôže priamo v tom prípade, ale zabráni topoužívašmimo localhost.
Tak ako písal kolega, pozrieť logy, procesy... nezabudnúť akpozrieťFTP, pozrieť, či nebol nejaký nepožadovaný upload, ešte je
dobrénapr. žeaké súbory boli naposledy modifikované či vytvorené, v
prípadechybu tamby web spamoval, či bežal nejaký iný proces, kt. preťažuje
vps.
pb.
On 03/29/2015 06:35 AM, Vaclav Dusek wrote:Aktualizace WP a sablon Vymazata nepouzivane doplnky a
templaty Nepouzivat doplnky a templaty z pochybnych zdroju
***
Aktualizace OS a PHP
***
pro deb - apt-get update; aptitude full-upgrade pro cent a
spol. - yum update
***
Z logu zjistit o ktera URL je podezrele vysoy zajem a
hledatserver mamnebo uz tam bezi nejake nezadouci procesy?
***
proscanovat WWW data pomoci
https://www.rfxn.com/projects/linux-malware-detect/
***
Dne 28.3.2015 v 21:06 Tomáš Filčák napsal(a):Ahojte, posledne 2 dni riesim na mojej VPSke problem
pravdepodobne s brutoforce attackom a potreboval by som
poradit. Ako webfail2ban anainstalovany nginx. Spozoroval som, ze moje stranky sa v
priebehu min. 2 dni zacali strane pomaly nacitavat a tak
som sa pustil do analyzy logov, z ktorej som zistil, ze
sa pravdepodobne jedna o bruteforce utok na wordpress
weby ktore hostujem. Kedze v oblasti spravy servera nie
som profesional stretol som sa s tym prvykrat a hned som
proti tomu podnikol kroky. Nainstaloval som pretoniekolko ipnakonfiguroval pre fungovanie s nginxom. Z logov vidim,
zeniekedyadries bolo zabanovanych avsak problem pretrvava a moj
web server odpoveda na requesty strasne pomaly. Pamat
VPSky je vytazenapodniknutnad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky
mam<mailto:Community-list@lists.vpsfree.cz>na obrany pripadne analyzu skod? Dakujem_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz<mailto:Community-list@lists.vpsfree.cz>_______________________________________________ Community-listhttp://lists.vpsfree.cz/listinfo/community-list
mailing list Community-list@lists.vpsfree.czhttp://lists.vpsfree.cz/listinfo/community-list_______________________________________________ Community-list
mailing list Community-list@lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list@lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Version: GnuPG v2
iF4EAREIAAYFAlUYHKcACgkQgRwOVqYrsFW64wEAk46AgWy7uuFULL+bcj+5PiX9
c5mIdsaUaO3JBTXs+WcBAKUwGStMaBQFSDQuhurJCea8wkWIQLGsl4aliU2mgbli
=H1Vq
-----END PGP SIGNATURE-----
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list