[vpsFree.cz: community-list] brutoforce attack

Tomáš Filčák filcak.t at gmail.com
Mon Mar 30 02:20:38 CEST 2015


Tak sa mi nakoniec podarilo prist na koren utoku. Jedna sa o prienik do modulu Revslider na niekolkych Wordpress instalaciach… Tento hack je uz dlhsie znamy, skoda len ze som sa o tom dozvedel takto.

Problemom je vsak ako sa k danej situacii postavit voci klientom, ktory si samozrejme za udrzbu a updaty modulov neplatia. Narusenie ich stranok ma stalo nemalo usilia a zaroven to zhodilo v podstate vsetky stranky ktore pod mojim web serverom bezia. Napada ma vytvorit pre kazdy takyto hosting vlastny sandbox a tym padom napadnuta stranka by neovplyvnila chod inych. Zaroven by klient bol nuteny poziadat o pomoc a ja by som mohol pracu s hladanym chyby fakturovat. Takto je to narocna uloha a neviem ako to riesit ani ci vobec nieco od klienta mam ziadat kedze vypadok zapricinila jeho stranka.

Ako by ste sa k danemu problemu postavili vy? Dakujem za navrhy a odporucania 
 
> On 29. Mar 2015, at 17:39, Pavel Snajdr <snajpa at snajpa.net> wrote:
> 
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
> 
> On 03/29/2015 05:22 PM, Petr Parolek wrote:
>> Ahoj,
>> 
>> taky by mě zajímalo, jak se efektivně dají povolit pouze české IP
>> adres.
>> 
> 
> Nijak, neexistuje aktualni seznam. GeoIP DB je zastarala. Z BGP se
> vycist vsechno neda. Btw, doufam, ze to nikoho nenapadne cpat do
> iptables pravidlo po pravidlo, zpomali to totiz pruchod kazdeho paketu.
> 
> /snajpa
> 
>> 
>> Petr Parolek
>> 
>> Dne 29. března 2015 17:18 Ondřej Beránek <rainbof at gmail.com <mailto:rainbof at gmail.com> 
>> <mailto:rainbof at gmail.com <mailto:rainbof at gmail.com>>> napsal(a):
>> 
>> K tem českým ip, jak toho dosahnes? Geoip nebo máš nějaký seznam
>> range?
>> 
>> Ondřej Beránek Původní zpráva Od: Jiří V. Odesláno: neděle, 29.
>> března 2015 17:14 Komu: vpsFree.cz Community list Odpovědět:
>> vpsFree.cz Community list Předmět: Re: [vpsFree.cz: community-list]
>> brutoforce attack
>> 
>> Ahoj, jestli tam máš nejaký mobilní kód zjistíš nejlépe pomocí 
>> netstat -a. Potom pokud nemáš nastav iptables jak na input, tak 
>> output, povol jen to co opravdu potřebuješ. Také se podívej na
>> datum vytvoření souborů. Osobně se proti brute force chráním tak že
>> po dobu útoku povolim připojování pouze z českých ip.
>> 
>> s pozdravem Jiří V.
>> 
>> Vaclav Dusek <Vaclav.Dusek at cz-pro.cz <mailto:Vaclav.Dusek at cz-pro.cz> 
>> <mailto:Vaclav.Dusek at cz-pro.cz <mailto:Vaclav.Dusek at cz-pro.cz>>>napsal/a:
>> 
>>> apachetop - 
>>> http://www.buben.piranhacz.cz/monitorovani-systemu-pomoci-apachetop/ <http://www.buben.piranhacz.cz/monitorovani-systemu-pomoci-apachetop/>
>> 
>>> 
>> 
>>> Dne 29.3.2015 v 14:42 Tomáš Filčák napsal(a):
>>>> Jj logy postupne prechadzam vsetky. To FTP ma nenapadlo
>>>> prezriem
>> aj to ci tam nebol uploadnuty nejaky script.
>>>> 
>>>> Neviete mi pripadne poradit ako by som mohol zistit, ktora
>> stranka vytazuje server najviac? To by ma vedelo naviest k
>> problemu a kedze tych stranok mam viac ako dost je to prilis
>> pracne prechadzat jednu za druhou...
>>>> 
>>>> 
>>>>> On 29. Mar 2015, at 10:44, Peter Bubelíny <neri at neridev.com <mailto:neri at neridev.com>
>> <mailto:neri at neridev.com <mailto:neri at neridev.com>>> wrote:
>>>>> 
>>>>> Ahoj,
>>>>> 
>>>>> pokiaľ to šablóna a pluginy umožňujú, a budú pracovať
>>>>> korektne, tak vytvoriť .htaccess v wp-content, wp-includes s
>>>>> obsahom:
>>>>> 
>>>>> <FilesMatch "\.(php)$"> deny from all allow from localhost 
>>>>> </FilesMatch>
>>>>> 
>>>>> Neviem či to pomôže priamo v tom prípade, ale zabráni to
>> spusteniu .php
>>>>> mimo localhost.
>>>>> 
>>>>> Tak ako písal kolega, pozrieť logy, procesy... nezabudnúť ak
>> používaš
>>>>> FTP, pozrieť, či nebol nejaký nepožadovaný upload, ešte je
>>>>> dobré
>> pozrieť
>>>>> aké súbory boli naposledy modifikované či vytvorené, v
>>>>> prípade
>> napr. že
>>>>> by web spamoval, či bežal nejaký iný proces, kt. preťažuje
>>>>> vps.
>>>>> 
>>>>> pb.
>>>>> 
>>>>> 
>>>>> On 03/29/2015 06:35 AM, Vaclav Dusek wrote:
>>>>>> Aktualizace WP a sablon Vymazata nepouzivane doplnky a
>>>>>> templaty Nepouzivat doplnky a templaty z pochybnych zdroju
>>>>>> 
>>>>>> ***
>>>>>> 
>>>>>> Aktualizace OS a PHP
>>>>>> 
>>>>>> ***
>>>>>> 
>>>>>> pro deb - apt-get update; aptitude full-upgrade pro cent a
>>>>>> spol. - yum update
>>>>>> 
>>>>>> ***
>>>>>> 
>>>>>> Z logu zjistit o ktera URL je podezrele vysoy zajem a
>>>>>> hledat
>> chybu tam
>>>>>> nebo uz tam bezi nejake nezadouci procesy?
>>>>>> 
>>>>>> ***
>>>>>> 
>>>>>> proscanovat WWW data pomoci 
>>>>>> https://www.rfxn.com/projects/linux-malware-detect/
>>>>>> 
>>>>>> ***
>>>>>> 
>>>>>> Dne 28.3.2015 v 21:06 Tomáš Filčák napsal(a):
>>>>>>> Ahojte, posledne 2 dni riesim na mojej VPSke problem
>>>>>>> pravdepodobne s brutoforce attackom a potreboval by som
>>>>>>> poradit. Ako web
>> server mam
>>>>>>> nainstalovany nginx. Spozoroval som, ze moje stranky sa v
>>>>>>> priebehu min. 2 dni zacali strane pomaly nacitavat a tak
>>>>>>> som sa pustil do analyzy logov, z ktorej som zistil, ze
>>>>>>> sa pravdepodobne jedna o bruteforce utok na wordpress
>>>>>>> weby ktore hostujem. Kedze v oblasti spravy servera nie
>>>>>>> som profesional stretol som sa s tym prvykrat a hned som
>>>>>>> proti tomu podnikol kroky. Nainstaloval som preto
>> fail2ban a
>>>>>>> nakonfiguroval pre fungovanie s nginxom. Z logov vidim,
>>>>>>> ze
>> niekolko ip
>>>>>>> adries bolo zabanovanych avsak problem pretrvava a moj
>>>>>>> web server odpoveda na requesty strasne pomaly. Pamat
>>>>>>> VPSky je vytazena
>> niekedy
>>>>>>> nad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky
>>>>>>> mam
>> podniknut
>>>>>>> na obrany pripadne analyzu skod? Dakujem
>>>>>> _______________________________________________ 
>>>>>> Community-list mailing list 
>>>>>> Community-list at lists.vpsfree.cz
>> <mailto:Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>>
>>>>>> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
>>>>> 
>>>>> 
>>> _______________________________________________ Community-list
>>> mailing list Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
>> <mailto:Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>>
>>> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
>> _______________________________________________ Community-list
>> mailing list Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
>> <mailto:Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>> 
>> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list> 
>> _______________________________________________ Community-list
>> mailing list Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
>> <mailto:Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>> 
>> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
>> 
>> 
>> 
>> 
>> _______________________________________________ Community-list
>> mailing list Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz> 
>> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
>> 
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2
> 
> iF4EAREIAAYFAlUYHKcACgkQgRwOVqYrsFW64wEAk46AgWy7uuFULL+bcj+5PiX9
> c5mIdsaUaO3JBTXs+WcBAKUwGStMaBQFSDQuhurJCea8wkWIQLGsl4aliU2mgbli
> =H1Vq
> -----END PGP SIGNATURE-----
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
S pozdravom,
Ing. Tomáš Filčák
+421 904 076 786

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20150330/eff7714f/attachment-0002.html>


More information about the Community-list mailing list