[vpsFree.cz: community-list] brutoforce attack
Vaclav Dusek
Vaclav.Dusek at cz-pro.cz
Mon Mar 30 11:00:46 CEST 2015
Pokud není placená údržba webu, tak vypnout a informovat majitele
Dne 30.3.2015 v 2:20 Tomáš Filčák napsal(a):
> Tak sa mi nakoniec podarilo prist na koren utoku. Jedna sa o prienik do
> modulu Revslider na niekolkych Wordpress instalaciach… Tento hack je uz
> dlhsie znamy, skoda len ze som sa o tom dozvedel takto.
>
> Problemom je vsak ako sa k danej situacii postavit voci klientom, ktory
> si samozrejme za udrzbu a updaty modulov neplatia. Narusenie ich stranok
> ma stalo nemalo usilia a zaroven to zhodilo v podstate vsetky stranky
> ktore pod mojim web serverom bezia. Napada ma vytvorit pre kazdy takyto
> hosting vlastny sandbox a tym padom napadnuta stranka by neovplyvnila
> chod inych. Zaroven by klient bol nuteny poziadat o pomoc a ja by som
> mohol pracu s hladanym chyby fakturovat. Takto je to narocna uloha a
> neviem ako to riesit ani ci vobec nieco od klienta mam ziadat kedze
> vypadok zapricinila jeho stranka.
>
> Ako by ste sa k danemu problemu postavili vy? Dakujem za navrhy a
> odporucania
>
>> On 29. Mar 2015, at 17:39, Pavel Snajdr <snajpa at snajpa.net
>> <mailto:snajpa at snajpa.net>> wrote:
>>
>> -----BEGIN PGP SIGNED MESSAGE-----
>> Hash: SHA256
>>
>> On 03/29/2015 05:22 PM, Petr Parolek wrote:
>>> Ahoj,
>>>
>>> taky by mě zajímalo, jak se efektivně dají povolit pouze české IP
>>> adres.
>>>
>>
>> Nijak, neexistuje aktualni seznam. GeoIP DB je zastarala. Z BGP se
>> vycist vsechno neda. Btw, doufam, ze to nikoho nenapadne cpat do
>> iptables pravidlo po pravidlo, zpomali to totiz pruchod kazdeho paketu.
>>
>> /snajpa
>>
>>>
>>> Petr Parolek
>>>
>>> Dne 29. března 2015 17:18 Ondřej Beránek <rainbof at gmail.com
>>> <mailto:rainbof at gmail.com>
>>> <mailto:rainbof at gmail.com>> napsal(a):
>>>
>>> K tem českým ip, jak toho dosahnes? Geoip nebo máš nějaký seznam
>>> range?
>>>
>>> Ondřej Beránek Původní zpráva Od: Jiří V. Odesláno: neděle, 29.
>>> března 2015 17:14 Komu: vpsFree.cz Community list Odpovědět:
>>> vpsFree.cz Community list Předmět: Re: [vpsFree.cz: community-list]
>>> brutoforce attack
>>>
>>> Ahoj, jestli tam máš nejaký mobilní kód zjistíš nejlépe pomocí
>>> netstat -a. Potom pokud nemáš nastav iptables jak na input, tak
>>> output, povol jen to co opravdu potřebuješ. Také se podívej na
>>> datum vytvoření souborů. Osobně se proti brute force chráním tak že
>>> po dobu útoku povolim připojování pouze z českých ip.
>>>
>>> s pozdravem Jiří V.
>>>
>>> Vaclav Dusek <Vaclav.Dusek at cz-pro.cz <mailto:Vaclav.Dusek at cz-pro.cz>
>>> <mailto:Vaclav.Dusek at cz-pro.cz>>napsal/a:
>>>
>>>> apachetop -
>>>> http://www.buben.piranhacz.cz/monitorovani-systemu-pomoci-apachetop/
>>>
>>>>
>>>
>>>> Dne 29.3.2015 v 14:42 Tomáš Filčák napsal(a):
>>>>> Jj logy postupne prechadzam vsetky. To FTP ma nenapadlo
>>>>> prezriem
>>> aj to ci tam nebol uploadnuty nejaky script.
>>>>>
>>>>> Neviete mi pripadne poradit ako by som mohol zistit, ktora
>>> stranka vytazuje server najviac? To by ma vedelo naviest k
>>> problemu a kedze tych stranok mam viac ako dost je to prilis
>>> pracne prechadzat jednu za druhou...
>>>>>
>>>>>
>>>>>> On 29. Mar 2015, at 10:44, Peter Bubelíny <neri at neridev.com
>>>>>> <mailto:neri at neridev.com>
>>> <mailto:neri at neridev.com>> wrote:
>>>>>>
>>>>>> Ahoj,
>>>>>>
>>>>>> pokiaľ to šablóna a pluginy umožňujú, a budú pracovať
>>>>>> korektne, tak vytvoriť .htaccess v wp-content, wp-includes s
>>>>>> obsahom:
>>>>>>
>>>>>> <FilesMatch "\.(php)$"> deny from all allow from localhost
>>>>>> </FilesMatch>
>>>>>>
>>>>>> Neviem či to pomôže priamo v tom prípade, ale zabráni to
>>> spusteniu .php
>>>>>> mimo localhost.
>>>>>>
>>>>>> Tak ako písal kolega, pozrieť logy, procesy... nezabudnúť ak
>>> používaš
>>>>>> FTP, pozrieť, či nebol nejaký nepožadovaný upload, ešte je
>>>>>> dobré
>>> pozrieť
>>>>>> aké súbory boli naposledy modifikované či vytvorené, v
>>>>>> prípade
>>> napr. že
>>>>>> by web spamoval, či bežal nejaký iný proces, kt. preťažuje
>>>>>> vps.
>>>>>>
>>>>>> pb.
>>>>>>
>>>>>>
>>>>>> On 03/29/2015 06:35 AM, Vaclav Dusek wrote:
>>>>>>> Aktualizace WP a sablon Vymazata nepouzivane doplnky a
>>>>>>> templaty Nepouzivat doplnky a templaty z pochybnych zdroju
>>>>>>>
>>>>>>> ***
>>>>>>>
>>>>>>> Aktualizace OS a PHP
>>>>>>>
>>>>>>> ***
>>>>>>>
>>>>>>> pro deb - apt-get update; aptitude full-upgrade pro cent a
>>>>>>> spol. - yum update
>>>>>>>
>>>>>>> ***
>>>>>>>
>>>>>>> Z logu zjistit o ktera URL je podezrele vysoy zajem a
>>>>>>> hledat
>>> chybu tam
>>>>>>> nebo uz tam bezi nejake nezadouci procesy?
>>>>>>>
>>>>>>> ***
>>>>>>>
>>>>>>> proscanovat WWW data pomoci
>>>>>>> https://www.rfxn.com/projects/linux-malware-detect/
>>>>>>>
>>>>>>> ***
>>>>>>>
>>>>>>> Dne 28.3.2015 v 21:06 Tomáš Filčák napsal(a):
>>>>>>>> Ahojte, posledne 2 dni riesim na mojej VPSke problem
>>>>>>>> pravdepodobne s brutoforce attackom a potreboval by som
>>>>>>>> poradit. Ako web
>>> server mam
>>>>>>>> nainstalovany nginx. Spozoroval som, ze moje stranky sa v
>>>>>>>> priebehu min. 2 dni zacali strane pomaly nacitavat a tak
>>>>>>>> som sa pustil do analyzy logov, z ktorej som zistil, ze
>>>>>>>> sa pravdepodobne jedna o bruteforce utok na wordpress
>>>>>>>> weby ktore hostujem. Kedze v oblasti spravy servera nie
>>>>>>>> som profesional stretol som sa s tym prvykrat a hned som
>>>>>>>> proti tomu podnikol kroky. Nainstaloval som preto
>>> fail2ban a
>>>>>>>> nakonfiguroval pre fungovanie s nginxom. Z logov vidim,
>>>>>>>> ze
>>> niekolko ip
>>>>>>>> adries bolo zabanovanych avsak problem pretrvava a moj
>>>>>>>> web server odpoveda na requesty strasne pomaly. Pamat
>>>>>>>> VPSky je vytazena
>>> niekedy
>>>>>>>> nad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky
>>>>>>>> mam
>>> podniknut
>>>>>>>> na obrany pripadne analyzu skod? Dakujem
More information about the Community-list
mailing list