Re: [vpsFree.cz: community-list] brutoforce attack

Tak sa mi nakoniec podarilo prist na koren utoku. Jedna sa o prienik do modulu Revslider na niekolkych Wordpress instalaciach… Tento hack je uz dlhsie znamy, skoda len ze som sa o tom dozvedel takto. Problemom je vsak ako sa k danej situacii postavit voci klientom, ktory si samozrejme za udrzbu a updaty modulov neplatia. Narusenie ich stranok ma stalo nemalo usilia a zaroven to zhodilo v podstate vsetky stranky ktore pod mojim web serverom bezia. Napada ma vytvorit pre kazdy takyto hosting vlastny sandbox a tym padom napadnuta stranka by neovplyvnila chod inych. Zaroven by klient bol nuteny poziadat o pomoc a ja by som mohol pracu s hladanym chyby fakturovat. Takto je to narocna uloha a neviem ako to riesit ani ci vobec nieco od klienta mam ziadat kedze vypadok zapricinila jeho stranka. Ako by ste sa k danemu problemu postavili vy? Dakujem za navrhy a odporucania > On 29. Mar 2015, at 17:39, Pavel Snajdr &lt;snajpa(a)snajpa.net > <mailto:snajpa@snajpa.net>> wrote: > > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA256 > > On 03/29/2015 05:22 PM, Petr Parolek wrote: >> Ahoj, >> >> taky by mě zajímalo, jak se efektivně dají povolit pouze české IP >> adres. >> > > Nijak, neexistuje aktualni seznam. GeoIP DB je zastarala. Z BGP se > vycist vsechno neda. Btw, doufam, ze to nikoho nenapadne cpat do > iptables pravidlo po pravidlo, zpomali to totiz pruchod kazdeho paketu. > > /snajpa > >> >> Petr Parolek >> >> Dne 29. března 2015 17:18 Ondřej Beránek &lt;rainbof(a)gmail.com >> <mailto:rainbof@gmail.com> >> <mailto:rainbof@gmail.com>> napsal(a): >> >> K tem českým ip, jak toho dosahnes? Geoip nebo máš nějaký seznam >> range? >> >> Ondřej Beránek Původní zpráva Od: Jiří V. Odesláno: neděle, 29. >> března 2015 17:14 Komu: vpsFree.cz Community list Odpovědět: >> vpsFree.cz Community list Předmět: Re: [vpsFree.cz: community-list] >> brutoforce attack >> >> Ahoj, jestli tam máš nejaký mobilní kód zjistíš nejlépe pomocí >> netstat -a. Potom pokud nemáš nastav iptables jak na input, tak >> output, povol jen to co opravdu potřebuješ. Také se podívej na >> datum vytvoření souborů. Osobně se proti brute force chráním tak že >> po dobu útoku povolim připojování pouze z českých ip. >> >> s pozdravem Jiří V. >> >> Vaclav Dusek &lt;Vaclav.Dusek(a)cz-pro.cz <mailto:Vaclav.Dusek@cz-pro.cz> >> <mailto:Vaclav.Dusek@cz-pro.cz>>napsal/a: >> >>> apachetop - >>> http://www.buben.piranhacz.cz/monitorovani-systemu-pomoci-apachetop/ >> >>> >> >>> Dne 29.3.2015 v 14:42 Tomáš Filčák napsal(a): >>>> Jj logy postupne prechadzam vsetky. To FTP ma nenapadlo >>>> prezriem >> aj to ci tam nebol uploadnuty nejaky script. >>>> >>>> Neviete mi pripadne poradit ako by som mohol zistit, ktora >> stranka vytazuje server najviac? To by ma vedelo naviest k >> problemu a kedze tych stranok mam viac ako dost je to prilis >> pracne prechadzat jednu za druhou... >>>> >>>> >>>>> On 29. Mar 2015, at 10:44, Peter Bubelíny &lt;neri(a)neridev.com >>>>> <mailto:neri@neridev.com> >> <mailto:neri@neridev.com>> wrote: >>>>> >>>>> Ahoj, >>>>> >>>>> pokiaľ to šablóna a pluginy umožňujú, a budú pracovať >>>>> korektne, tak vytvoriť .htaccess v wp-content, wp-includes s >>>>> obsahom: >>>>> >>>>> <FilesMatch "\.(php)$"> deny from all allow from localhost >>>>> </FilesMatch> >>>>> >>>>> Neviem či to pomôže priamo v tom prípade, ale zabráni to >> spusteniu .php >>>>> mimo localhost. >>>>> >>>>> Tak ako písal kolega, pozrieť logy, procesy... nezabudnúť ak >> používaš >>>>> FTP, pozrieť, či nebol nejaký nepožadovaný upload, ešte je >>>>> dobré >> pozrieť >>>>> aké súbory boli naposledy modifikované či vytvorené, v >>>>> prípade >> napr. že >>>>> by web spamoval, či bežal nejaký iný proces, kt. preťažuje >>>>> vps. >>>>> >>>>> pb. >>>>> >>>>> >>>>> On 03/29/2015 06:35 AM, Vaclav Dusek wrote: >>>>>> Aktualizace WP a sablon Vymazata nepouzivane doplnky a >>>>>> templaty Nepouzivat doplnky a templaty z pochybnych zdroju >>>>>> >>>>>> *** >>>>>> >>>>>> Aktualizace OS a PHP >>>>>> >>>>>> *** >>>>>> >>>>>> pro deb - apt-get update; aptitude full-upgrade pro cent a >>>>>> spol. - yum update >>>>>> >>>>>> *** >>>>>> >>>>>> Z logu zjistit o ktera URL je podezrele vysoy zajem a >>>>>> hledat >> chybu tam >>>>>> nebo uz tam bezi nejake nezadouci procesy? >>>>>> >>>>>> *** >>>>>> >>>>>> proscanovat WWW data pomoci >>>>>> https://www.rfxn.com/projects/linux-malware-detect/ >>>>>> >>>>>> *** >>>>>> >>>>>> Dne 28.3.2015 v 21:06 Tomáš Filčák napsal(a): >>>>>>> Ahojte, posledne 2 dni riesim na mojej VPSke problem >>>>>>> pravdepodobne s brutoforce attackom a potreboval by som >>>>>>> poradit. Ako web >> server mam >>>>>>> nainstalovany nginx. Spozoroval som, ze moje stranky sa v >>>>>>> priebehu min. 2 dni zacali strane pomaly nacitavat a tak >>>>>>> som sa pustil do analyzy logov, z ktorej som zistil, ze >>>>>>> sa pravdepodobne jedna o bruteforce utok na wordpress >>>>>>> weby ktore hostujem. Kedze v oblasti spravy servera nie >>>>>>> som profesional stretol som sa s tym prvykrat a hned som >>>>>>> proti tomu podnikol kroky. Nainstaloval som preto >> fail2ban a >>>>>>> nakonfiguroval pre fungovanie s nginxom. Z logov vidim, >>>>>>> ze >> niekolko ip >>>>>>> adries bolo zabanovanych avsak problem pretrvava a moj >>>>>>> web server odpoveda na requesty strasne pomaly. Pamat >>>>>>> VPSky je vytazena >> niekedy >>>>>>> nad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky >>>>>>> mam >> podniknut >>>>>>> na obrany pripadne analyzu skod? Dakujem