Attaques Web

Par s4mdf0o1, le samedi 07 f´vrier 2009 à 15:22 | Domosys

Blacklist sous Apache 
Grâce à logcheck, j'ai pu voir dans les logs d'apache, 
une attaque d'un ordi cherchant une connection à ma base MySQL
à travers phpmyadmin, entre autres...
J'ai scanné ses ports, (du serveur -pas envie non plus d'être repéré de mon client ;) ):

# nmap 85.88.18.29

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-02-07 15:26 CET
Interesting ports on 85.88.18.29:
Not shown: 1665 closed ports
PORT     STATE    SERVICE
21/tcp   open     ftp
25/tcp   open     smtp
80/tcp   open     http
110/tcp  open     pop3
135/tcp  open     msrpc
139/tcp  open     netbios-ssn
443/tcp  open     https
1025/tcp open     NFS-or-IIS
1026/tcp open     LSA-or-nterm
1027/tcp open     IIS
1443/tcp open     ies-lm
1900/tcp open     UPnP
3306/tcp open     mysql
3389/tcp open     ms-term-serv
8443/tcp filtered https-alt

Nmap finished: 1 IP address (1 host up) scanned in 2.144 seconds

Un nom de domaine ?

# host 85.88.18.29
Host 29.18.88.85.in-addr.arpa not found: 3(NXDOMAIN)

Apparemment non

Chuis allé visiter le site : http://85.88.18.29
>Une page de navigation des dossiers par défaut sous IIS (CACA !)
C'est un allemand !...

Ok : C'est un gars sous M$ qui n'a aucune sécurité et qui s'amuse avec des serveurs...
Probablement piraté à travers ses ports de partage SMB (135/139)
Edit: attend pire : J'ai accédé à la page de connection de son Windaube
avec rdesktop sur son ms-term-serv !! 00
Il est fou ce type !

...Y'a du SMTP ...

M'en vais l'avertir en telnet :

# telnet 85.88.18.29 smtp
Trying 85.88.18.29...
Connected to 85.88.18.29.
Escape character is '^]'.
220 UHWEB18029 Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at  Sat, 7 Feb 2009 14:52:34 +0100
helo foreign
250 UHWEB18029 Hello [92.243.1.107]
MAIL FROM: hostmaster@domosys.org
250 2.1.0 hostmaster@domosys.org....Sender OK
RCPT TO: postmaster
250 2.1.5 postmaster@UHWEB18029
DATA
354 Start mail input; end with .
Subject: security
Please add a firewall on your computer
all your ports are open
and your IP is attacking my webserver
so add quickly security on your host !!!
hostmaster@domosys.org
.
250 2.6.0  Queued mail for delivery
QUIT
221 2.0.0 UHWEB18029 Service closing transmission channel
Connection closed by foreign host.

... Ouala
Du coup , j'ai renforcé la sécurité à ce niveau pour Apache:

RewriteEngine On
RewriteMap hosts-deny txt:/etc/apache2/hosts.deny
RewriteCond ${hosts-deny:%{REMOTE_HOST}|NOT-FOUND} !=NOT-FOUND [OR]
RewriteCond ${hosts-deny:%{REMOTE_ADDR}|NOT-FOUND} !=NOT-FOUND
RewriteRule ^/.* /blacklisted.html [L]

Puis je l'ai blacklisté !
Hmmm... J'ai envie de rajouter un script auto avec swatch (par exemple) pour automatiser tout ça !...

Commentaires

Par black hattitude le mardi 01 septembre 2009 à 13:00

J'aurai bien aimé voir sa tête quand il a recu tes messages :p

Par black hattitude le jeudi 03 septembre 2009 à 00:53

http://black-hattitude.blog-gratuit.org/

Par Tarifs postaux le jeudi 01 juillet 2010 à 19:47

Merci pour cet article !

Par gta 5 rumors le jeudi 08 juillet 2010 à 16:18

Très bon article

Par Passeport Equipe de France le jeudi 15 juillet 2010 à 11:38

Oui, super article.

Fil des commentaires de cet article

Ecrire un commentaire




Quelle est la quatrième lettre du mot zkucnz ? :