Sziasztok!
Néhány napja a naplóbejegyzések szerint 2 perc alatt 190 db 'page not found' üzenetem keletkezett, részleteiben elég mókásak, néhány példát kiragadok:
http://www.wignerkollegium.hu/xampp/phpmyadmin/scripts/setup.php
http://www.wignerkollegium.hu/wp-phpmyadmin/phpmyadmin/scripts/setup.php
http://www.wignerkollegium.hu/webmail2/scripts/setup.php
http://www.wignerkollegium.hu/typo3/phpmyadmin/scripts/setup.php
http://www.wignerkollegium.hu/pma/scripts/setup.php
http://www.wignerkollegium.hu/mysqlmanager/scripts/setup.php
és így tovább, ezek variációi, az a közös bennük, hogy mind setup.php-re végződik.
Valószínűleg a rendszert 'kóstolgatták', és nyilván nem tudták, hogy milyen motorról van szó. Igazából a támadások száma késztetett arra, hogy megkérdezzem: mi ilyenkor a teendő, illetve rejt-e ez valamilyen veszélyeket a továbbiakra ?
Köszönettel:
Ducsai Zoltán
Próbálkozások. Pakold az ip
Próbálkozások. Pakold az ip címeket feketelistára, illetve én egyszer elkezdtem .htaccess-t feltölteni redirectekkel ezekkel a címekkel, és szépen elfogytak.
----
Rájöttem, miért kérdezek olyan ritkán a drupal.hu-n. Amíg szedem össze az infokat a kérdéshez, mindig rájövök a megoldásra.
és konkrétan hogy zajlott ez?
Eleg keves a konkretum
Eleg keves a konkretum hogy erre pontos valaszt lehessen adni ennyibol. Atiranyitasok tiltasok stb pl. attol is nagyban fugg hogy linux vagy mas szerverrol van szo.
Ugytudom hogy a drupal eleg biztonsagos az ilyen szondazasoknak (hamar igy nevezted), de tudni kell hogy 100% nincsen. Kovetni kell a biztonsagi frissiteseket. Figyelni kell ha salyat modulokat fejlesztesz hogy azokba nehogy biztonsagi reseket vigyel be. Meg ha nem tevedek a template fajlnal is oda kell figyelni. Habar nem tudom pontossan a drupal hol es mikor ellenorzi a megjelenitesre szant adatokat. Errol majd valaki konpetensebb remelem tobbet ir. Engem is erdekelne.
Ha nem te vagy a rendszergazda akkor szerintem feketelistat meg ilyeneket inkabb bizd a szakikra.
De hát én vagyok a szaki, ennek nyilvánvalónak kéne lennie! :)
Kedves Vajdasági,
én vagyok a redszergazda is, meg a szaki is. Csodálkozom, hogy hogyan alakulhatott ki e körül félreértés egyáltalán! :D
Szóval továbbra is érdekel az összes válasz! (Drupal ügyben legalábbis mindenképp...) :)
üdv, szaki
:D !
u.i.: persze, ha jobban megnézzük, akkor nyilván junior szaki - de jelenleg épp azért vagyok itt, hogy igazi lehessek :)
Az adat meg mindeg keves amit megadtal.
Nem olvastam ugylatszik elegge figyelmessen amit irtal. De nem volt egyertelmu hogy te vagy a minden (szaki) vagy mongyuk ugy hogy van (felreneerts) rendes rendszergazda, es te csak ugy nevezzuk kivancsisagbol nezegetted a logokat.
Szoval en sem vagyok nagy szaki, a drupalos reszt majd a nalam okosabbak megmondjak amit tudtam az nagyjabol meg is irtam.
Mesreszt arrol nem is irtal hogy ez linux server vagy win mert az nem mindegy a konkret valaszoknal. Te adminolod az egesz gepet vagy mongyuk berelsz tarhelyet egy cegtol es annak a naplojaban talaltad ezeket? Linuxra van a fail2ban, win-re nem tudom mi van. De ez meg nem drupalos tema nem tudom idevalo-e?
Talan jo lenne meg egy picit ha pontositanal.
Egy pelda. Ha van pl. phpmyadmin -od mint ahogy lattad a logban azt is probaltak megtalani azt vedd .htaccess -szel hogy barki ne ferjen hozza. Ezek mar szinte mind eleg altalanos dolgok es eleg keves kozuk van a Drupalhoz.
Szakiság
Kedves vajdasági, a kérdésedre azt tudom válaszolni, hogy a kollégium kapott tárhelyet az EKF szerverén (valószínűsítem, hogy linux, de ez számomra nem sokat jelent). Még phpmyadmin belépésem sincs (ez majd valószínűleg azért szükséges lesz). Én vagyok a honlap létrehozója, adminisztrátora. Elvégzem a biztonsági mentéseket, frissítéseket, igazából még tanulom a rendszert, de kifogástalanul működik. Kb ennyi :)
Szoval tarhelyrol van szo.
Szoval tarhely-rol van szo, igy akkor picit mas a kep. A servert gondolom van aki adminisztralja. Igy szerintem neked akkor eleg ha csak a Drupallal foglalkozol. A tobbi biztonsaga nem a te gondod. Ha azokat az ip cimeket tiltani akarod akkor vagy beszlesz a rendszergazdaval vagy mint ahogy mar itt szo volt rola te magad tiltod oket.
Esetleg lehet hogy van valami kesz drupal modul is ami automatikusan tudja tiltani azokat az IP cimeket amit adott idointervalumban egy adott hatarertek feletti hibas, nemletezo stb oldallekerest generalnak....
Legutóbbi napló bejegyzések bogarászása
Csak a Jelentések/Legutóbbi napló bejegyzések bogarászása során vettem észre. Mivel ilyen url-ek nem léteznek, mind page not found kategória lett. Én is úgy gondolom, nem mennek vele semmire (pláne typo3 meg phpmanager stb. elemeket tartalmazó url-eket használva :) - legalábbis egy drupal oldalon).
Biztos másnál is lehet ilyen, a Jelentések/Gyakori látogatók oldalon még megdöbbentőbb, hogy erről az ip címről másfél perc alatt 584 darab próbálkozás volt, egyes url-eket 10-15-ször próbált ki (ez az adat pedig a Jelentések/Legtöbbet látogatott nem található oldalakról).
Ugyanitt, a gyakori látogatók menüpontban a lista mellett minden ip címre van kitiltás lehetőség (a 3. kérdésedre a válasz).
Ezt még soha nem használtam, de most megtettem, egy hasonló adatokkal szereplő másik ip-vel együtt.
Letiltottam
Köszönöm, szantog! Letiltottam az adott ip címeket (Adminisztráció/Jelentések/Gyakori látogatók oldalon).
Nem sziszifuszi?
„Pakold az ip címeket feketelistára”
Én is ezt teszem, de vajon megéri manapság a DHCP-vel dinamikusan kiosztott IP-címek korában? Nem hinném, hogy következetesen mindig ugyanarról az ukrán címről történnének a behatolási kísérletek, főleg ha egy komplett botnet van ráállítva...
Sziszifuszi?
Teljesen jogos hogy DHCP-vel kiosztott cimeknel ha tiltodik az ip akkor utanna esetleg ertekes latogato sem tud feljutni arrol a cimrol. Vagy netan a tiltott IP valami proxy cime.
Szerintem ideiglenessen erdemes csak tiltani. En ugy erzem hogy HA minden rendben van a szerverrel akkor egyreszt hagy probalkozzanak ugysem tudnak kart tenni. De automatikussan mongyuk par ilyen hibas probalkozas utan azt az IP-t tiltjuk egy fel orara igy nem tudja az egeszet vegigprobalgatni.
Ezek a tamadasok nem kimondottan a Drupalt celozzak, van egy lista az "erdekes" oldalakbol es azokat probalgatjak automatikussan sorba ip cimeken es domain neveken.
Igen probalkozasok
Igen probalkozasok szerintem is egyertelmuen. Ha te vagy a rendszergazda is akkor mindenkeppen figyelj a phpmydamin es hasonlo egyeb dolgok beallitasaira es hogy mi elerheto ezekbol a netrol. Default jelszavakra. Mysql elerhetosegere a netrol.
Kiegészítések
Nagyon örülök, hogy létrejött ez a szál, mert én is épp akartam kérdezni ugyanerről a jelenségről: 1-2 perc alatt kb. ~100 sor (dblog default 50/oldallal két oldalnyi) fiktív URL módszeres végigpróbálgatása különböző logika mentén (pl. PHPmyAdmin verziószámain sorba, majd setup.php-k más-más útvonalon) ==> szerintem tuti, hogy ártó szándékú bot látókörébe került az oldal.
@duc-sai said: „nyilván nem tudták, hogy milyen motorról van szó”
Szerintem pofonegyszerűen meg lehet állapítani egy átlagos site-ról, hogy Drupal hajtja-e? A
/user/login, a/nodeés/filter/tipsoldalakat ritkán szoktuk áttenni másik webcímre, így ha ezek működnek, esélyes a Drupal. A verzió már más kérdés, de szakértőbb mesterek itt a közösségben biztosan még sok tippet-trükköt tudnak rá. (WordPress esetén hasonlóan árulkodó jel a/wp-content/könyvtár megjelenése.)Tökéletesen
Tökéletesen igazad van! Én arra gondoltam, hogy nem vizsgálják ilyen részleteiben az egyes weboldalakat, hanem tartalomkezelőnek látszó oldalakat végigpróbálnak olyan url-ekkel, amik adott esetben (x tartalomkezelő esetében fennálló) biztonsági réseket vesznek célba. Szóval vaktában próbálkozás, de azért nyilván nem árt figyelni ezeket a dolgokat :)
Ha esetleg valakinek a
Ha esetleg valakinek a jövőben hasznos lesz egy átvezetés egy kapcsolódó topikra, akkor itt a link: Brute-Force támadás? - MuieBlackCat