| |
Jak se dnes nabouravaji servery...
Sedim si takhle doma a projizdim si na jednom jeden svuj zdrojak (hledaje v nem zakerne se sklebici chybu, jak take jinak...). Najednou se z niceho nic rozchrasti disk v mem druhem, unixovskem pocitaci. Priznam se, ze hned na prvni pohled mi takova aktivita pocitace, ktery v ten moment nemel delat nic, jen hucet vetrackem a routovat pripadne packety (k cemuz vrtet diskem nepotrebuje). Je pravda, ze ten stroj mam zabezpeceny standardne slusne - nebezi na nem obvykle ani inetd, ani httpd, jen ssh, samba, sendmail a xntpd. Ale na druhou stranu - obcas (jako treba prave dnes) si pustim z nejakeho duvodu (obvykle ladeni neceho) jak inetd, tak i httpd. A vzhledem k tomu, ze oboji mam pustene jen tehdy, kdyz jsem nablizku a system mam pod kontrolou, nepovazuji za vyznamnou bezpecnostni diru ani to, ze inetd nema zakazane spousteni telnetd, ftpd, imapd, pop3d a dalsi. A musim rici, ze rozhodne nelituji toho, ze v inkriminovanou chvili muj system tyto sluzby zapnute mel.
Slo o klasicky portscan? Ne tak docela. Slo o podstatne vylepseny portscan... Ostatne, posudte sami, jak rychle mi byl otestovan system na mozne vulnerabilities:
Jul 8 18:27:26 hm sshd[14157]: log: Connection from 207.240.53.137 port 3724
Jul 8 18:27:27 hm sshd[14157]: fatal: Did not receive ident string.
Jul 8 18:27:31 hm in.telnetd[14159]: connect from 207.240.53.137
Jul 8 18:27:31 hm telnetd[14159]: ttloop: peer died: Success
Jul 8 18:27:32 hm imapd[14160]: connect from 207.240.53.137
Jul 8 18:27:32 hm imapd[14160]: Connection broken while reading line user=???
host=07-137.012.popsite.net
Jul 8 18:27:33 hm sendmail[14155]: NOQUEUE: Null connection from 07-137.012.popsite.net
[207.240.53.137]
Jul 8 18:27:34 hm in.pop3d[14154]: connect from 207.240.53.137
Jul 8 18:27:34 hm in.telnetd[14153]: connect from 207.240.53.137
Jul 8 18:27:34 hm wu.ftpd[14156]: connect from 207.240.53.137
Jul 8 18:27:34 hm telnetd[14153]: ttloop: peer died: Success
Jul 8 18:27:35 hm ftpd[14156]: FTP session closed
Jul 8 18:27:42 hm in.pop3d[14161]: connect from 207.240.53.137
Jul 8 18:27:48 hm imapd[14164]: connect from 207.240.53.137
Dalsi zajimave informace poskytl access_log od Apache:
07-137.012.popsite.net - - [08/Jul/1999:18:28:08 +0200] "GET /cgi-bin/webgais
HTTP/1.0" 404 168
07-137.012.popsite.net - - [08/Jul/1999:18:28:12 +0200] "GET /cgi-bin/websendmail
HTTP/1.0" 404 172
07-137.012.popsite.net - - [08/Jul/1999:18:28:15 +0200] "GET /cgi-bin/webdist.cgi
HTTP/1.0" 404 172
07-137.012.popsite.net - - [08/Jul/1999:18:28:18 +0200] "GET /cgi-bin/faxsurvey
HTTP/1.0" 404 170
07-137.012.popsite.net - - [08/Jul/1999:18:28:25 +0200] "GET /cgi-bin/htmlscript HTTP/1.0" 404 171
07-137.012.popsite.net - - [08/Jul/1999:18:28:29 +0200] "GET /cgi-bin/pfdisplay.cgi
HTTP/1.0" 404 174
07-137.012.popsite.net - - [08/Jul/1999:18:28:32 +0200] "GET /cgi-bin/perl.exe
HTTP/1.0" 404 169
07-137.012.popsite.net - - [08/Jul/1999:18:28:35 +0200] "GET /cgi-bin/wwwboard.pl HTTP/1.0" 404 172
07-137.012.popsite.net - - [08/Jul/1999:18:28:39 +0200] "GET /cgi-bin/ews/ews/architext_query.pl
HTTP/1.0" 404 187
07-137.012.popsite.net - - [08/Jul/1999:18:28:43 +0200] "GET /cgi-bin/jj HTTP/1.0" 404 163
Zajimave, ne? Aneb jak zdarma ziskat seznam deravych cgi-scriptu ;-) Jeste zajimavejsi na tom je, ze notoricky zname phf zde jiz neni, cili dotycny uz asi nepocita s tim, ze by takovy program nekdo na svem systemu jeste mel.
A co ze je za adresu 07-137.012.popsite.net (cili 207.240.53.137)? Tato adresa je podle dostupnych informaci pridelena spolecnosti Starnet Inc., 473 W. Northwest Hwy, Palatine, Illinois 60067, USA. S nejvetsi pravdepodobnosti ovsem jde o ISP, ktery nabizi dialupy pro pripojeni dal, coz take neprimo potvrzuje vzhled domenoveho jmena. Je tedy mozne poznat, kdo je skutecnym pachatelem? Jiste. Ale jen za predpokladu, ze primejete ke spolupraci providera, ktery tohoto cloveka pripojil.
Mate nekdo podobny zazitek z osahavanim vaseho pocitace z uvedene adresy (nebo z bloku adres zacinajicich 207.240)?
| |
