[vpsFree.cz: community-list] brutoforce attack

Peter Bubelíny neri at neridev.com
Mon Mar 30 07:59:09 CEST 2015


Sprav si zmluvu o prevádzke... keď platí, staráš sa o web, aktualizácie,
atď. , riešenie problémov je v plnej miere na tebe. Keď neplatí nestaráš
sa o web, ani aktualizácie, v prípade problému nesie následky klient,
fakturuješ si zásah podľa hodín tak ako sa už zmluvne dohodneš s klientom.

Nechcem ťa strašiť, ale mám skúsenosť, že ak si mal prienik cez
Revslider, tak backdoors môžeš mať na X miestach vo WP, v samotnom
jadre, v šablóne... a tiež si útočníci mohli spraviť prístup aj do WP -
pozri či v DB nemáš nových users.
Útoky na weby sa môžu opakovať, treba byť pripravený.

pb.


On 03/30/2015 02:20 AM, Tomáš Filčák wrote:
> Tak sa mi nakoniec podarilo prist na koren utoku. Jedna sa o prienik do
> modulu Revslider na niekolkych Wordpress instalaciach… Tento hack je uz
> dlhsie znamy, skoda len ze som sa o tom dozvedel takto.
> 
> Problemom je vsak ako sa k danej situacii postavit voci klientom, ktory
> si samozrejme za udrzbu a updaty modulov neplatia. Narusenie ich stranok
> ma stalo nemalo usilia a zaroven to zhodilo v podstate vsetky stranky
> ktore pod mojim web serverom bezia. Napada ma vytvorit pre kazdy takyto
> hosting vlastny sandbox a tym padom napadnuta stranka by neovplyvnila
> chod inych. Zaroven by klient bol nuteny poziadat o pomoc a ja by som
> mohol pracu s hladanym chyby fakturovat. Takto je to narocna uloha a
> neviem ako to riesit ani ci vobec nieco od klienta mam ziadat kedze
> vypadok zapricinila jeho stranka.
> 
> Ako by ste sa k danemu problemu postavili vy? Dakujem za navrhy a
> odporucania 
>  
>> On 29. Mar 2015, at 17:39, Pavel Snajdr <snajpa at snajpa.net
>> <mailto:snajpa at snajpa.net>> wrote:
>>
> On 03/29/2015 05:22 PM, Petr Parolek wrote:
>>>> Ahoj,
>>>>
>>>> taky by mě zajímalo, jak se efektivně dají povolit pouze české IP
>>>> adres.
>>>>
> 
> Nijak, neexistuje aktualni seznam. GeoIP DB je zastarala. Z BGP se
> vycist vsechno neda. Btw, doufam, ze to nikoho nenapadne cpat do
> iptables pravidlo po pravidlo, zpomali to totiz pruchod kazdeho paketu.
> 
> /snajpa
> 
>>>>
>>>> Petr Parolek
>>>>
>>>> Dne 29. března 2015 17:18 Ondřej Beránek <rainbof at gmail.com
>>>> <mailto:rainbof at gmail.com> 
>>>> <mailto:rainbof at gmail.com>> napsal(a):
>>>>
>>>> K tem českým ip, jak toho dosahnes? Geoip nebo máš nějaký seznam
>>>> range?
>>>>
>>>> Ondřej Beránek Původní zpráva Od: Jiří V. Odesláno: neděle, 29.
>>>> března 2015 17:14 Komu: vpsFree.cz Community list Odpovědět:
>>>> vpsFree.cz Community list Předmět: Re: [vpsFree.cz: community-list]
>>>> brutoforce attack
>>>>
>>>> Ahoj, jestli tam máš nejaký mobilní kód zjistíš nejlépe pomocí 
>>>> netstat -a. Potom pokud nemáš nastav iptables jak na input, tak 
>>>> output, povol jen to co opravdu potřebuješ. Také se podívej na
>>>> datum vytvoření souborů. Osobně se proti brute force chráním tak že
>>>> po dobu útoku povolim připojování pouze z českých ip.
>>>>
>>>> s pozdravem Jiří V.
>>>>
>>>> Vaclav Dusek <Vaclav.Dusek at cz-pro.cz <mailto:Vaclav.Dusek at cz-pro.cz> 
>>>> <mailto:Vaclav.Dusek at cz-pro.cz>>napsal/a:
>>>>
>>>>> apachetop - 
>>>>> http://www.buben.piranhacz.cz/monitorovani-systemu-pomoci-apachetop/
>>>>
>>>>>
>>>>
>>>>> Dne 29.3.2015 v 14:42 Tomáš Filčák napsal(a):
>>>>>> Jj logy postupne prechadzam vsetky. To FTP ma nenapadlo
>>>>>> prezriem
>>>> aj to ci tam nebol uploadnuty nejaky script.
>>>>>>
>>>>>> Neviete mi pripadne poradit ako by som mohol zistit, ktora
>>>> stranka vytazuje server najviac? To by ma vedelo naviest k
>>>> problemu a kedze tych stranok mam viac ako dost je to prilis
>>>> pracne prechadzat jednu za druhou...
>>>>>>
>>>>>>
>>>>>>> On 29. Mar 2015, at 10:44, Peter Bubelíny <neri at neridev.com
>>>>>>> <mailto:neri at neridev.com>
>>>> <mailto:neri at neridev.com>> wrote:
>>>>>>>
>>>>>>> Ahoj,
>>>>>>>
>>>>>>> pokiaľ to šablóna a pluginy umožňujú, a budú pracovať
>>>>>>> korektne, tak vytvoriť .htaccess v wp-content, wp-includes s
>>>>>>> obsahom:
>>>>>>>
>>>>>>> <FilesMatch "\.(php)$"> deny from all allow from localhost 
>>>>>>> </FilesMatch>
>>>>>>>
>>>>>>> Neviem či to pomôže priamo v tom prípade, ale zabráni to
>>>> spusteniu .php
>>>>>>> mimo localhost.
>>>>>>>
>>>>>>> Tak ako písal kolega, pozrieť logy, procesy... nezabudnúť ak
>>>> používaš
>>>>>>> FTP, pozrieť, či nebol nejaký nepožadovaný upload, ešte je
>>>>>>> dobré
>>>> pozrieť
>>>>>>> aké súbory boli naposledy modifikované či vytvorené, v
>>>>>>> prípade
>>>> napr. že
>>>>>>> by web spamoval, či bežal nejaký iný proces, kt. preťažuje
>>>>>>> vps.
>>>>>>>
>>>>>>> pb.
>>>>>>>
>>>>>>>
>>>>>>> On 03/29/2015 06:35 AM, Vaclav Dusek wrote:
>>>>>>>> Aktualizace WP a sablon Vymazata nepouzivane doplnky a
>>>>>>>> templaty Nepouzivat doplnky a templaty z pochybnych zdroju
>>>>>>>>
>>>>>>>> ***
>>>>>>>>
>>>>>>>> Aktualizace OS a PHP
>>>>>>>>
>>>>>>>> ***
>>>>>>>>
>>>>>>>> pro deb - apt-get update; aptitude full-upgrade pro cent a
>>>>>>>> spol. - yum update
>>>>>>>>
>>>>>>>> ***
>>>>>>>>
>>>>>>>> Z logu zjistit o ktera URL je podezrele vysoy zajem a
>>>>>>>> hledat
>>>> chybu tam
>>>>>>>> nebo uz tam bezi nejake nezadouci procesy?
>>>>>>>>
>>>>>>>> ***
>>>>>>>>
>>>>>>>> proscanovat WWW data pomoci 
>>>>>>>> https://www.rfxn.com/projects/linux-malware-detect/
>>>>>>>>
>>>>>>>> ***
>>>>>>>>
>>>>>>>> Dne 28.3.2015 v 21:06 Tomáš Filčák napsal(a):
>>>>>>>>> Ahojte, posledne 2 dni riesim na mojej VPSke problem
>>>>>>>>> pravdepodobne s brutoforce attackom a potreboval by som
>>>>>>>>> poradit. Ako web
>>>> server mam
>>>>>>>>> nainstalovany nginx. Spozoroval som, ze moje stranky sa v
>>>>>>>>> priebehu min. 2 dni zacali strane pomaly nacitavat a tak
>>>>>>>>> som sa pustil do analyzy logov, z ktorej som zistil, ze
>>>>>>>>> sa pravdepodobne jedna o bruteforce utok na wordpress
>>>>>>>>> weby ktore hostujem. Kedze v oblasti spravy servera nie
>>>>>>>>> som profesional stretol som sa s tym prvykrat a hned som
>>>>>>>>> proti tomu podnikol kroky. Nainstaloval som preto
>>>> fail2ban a
>>>>>>>>> nakonfiguroval pre fungovanie s nginxom. Z logov vidim,
>>>>>>>>> ze
>>>> niekolko ip
>>>>>>>>> adries bolo zabanovanych avsak problem pretrvava a moj
>>>>>>>>> web server odpoveda na requesty strasne pomaly. Pamat
>>>>>>>>> VPSky je vytazena
>>>> niekedy
>>>>>>>>> nad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky
>>>>>>>>> mam
>>>> podniknut
>>>>>>>>> na obrany pripadne analyzu skod? Dakujem
>>>>>>>> _______________________________________________ 
>>>>>>>> Community-list mailing list 
>>>>>>>> Community-list at lists.vpsfree.cz
>>>>>>>> <mailto:Community-list at lists.vpsfree.cz>
>>>> <mailto:Community-list at lists.vpsfree.cz>
>>>>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>>>>
>>>>>>>
>>>>> _______________________________________________ Community-list
>>>>> mailing list Community-list at lists.vpsfree.cz
>>>>> <mailto:Community-list at lists.vpsfree.cz>
>>>> <mailto:Community-list at lists.vpsfree.cz>
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>> _______________________________________________ Community-list
>>>> mailing list Community-list at lists.vpsfree.cz
>>>> <mailto:Community-list at lists.vpsfree.cz>
>>>> <mailto:Community-list at lists.vpsfree.cz> 
>>>> http://lists.vpsfree.cz/listinfo/community-list 
>>>> _______________________________________________ Community-list
>>>> mailing list Community-list at lists.vpsfree.cz
>>>> <mailto:Community-list at lists.vpsfree.cz>
>>>> <mailto:Community-list at lists.vpsfree.cz> 
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>>>>
>>>>
>>>>
>>>> _______________________________________________ Community-list
>>>> mailing list Community-list at lists.vpsfree.cz
>>>> <mailto:Community-list at lists.vpsfree.cz> 
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
>> http://lists.vpsfree.cz/listinfo/community-list
> 
> S pozdravom,
> Ing. Tomáš Filčák
> +421 904 076 786
> 
> 
> 
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
> 

-- 
S pozdravom / Best regards / Mit freundlichen Grüßen
-----------------------------------------------------
[neri - Peter Bubelíny] [http://neridev.com]
[GPG Key: http://neridev.com/peter.bubeliny.gpg]
-----------------------------------------------------




More information about the Community-list mailing list