Czy zostałem zhakowany?

Question

Oto tylko kilka linii z mojego Apache 2.0 error_log:

[Sun Nov 25 08:22:04 2012] [error] [client 64.34.195.190] File does not exist: /var/www/vhosts/default/htdocs/admin 
[Sun Nov 25 14:14:32 2012] [error] [client 96.254.171.2] File does not exist: /var/www/vhosts/default/htdocs/azenv.php 
[Wed Nov 28 03:02:01 2012] [error] [client 91.205.189.15] File does not exist: /var/www/vhosts/default/htdocs/user 
[Wed Nov 28 03:44:35 2012] [error] [client 66.193.171.223] File does not exist: /var/www/vhosts/default/htdocs/vtigercrm 
[Mon Dec 03 00:09:16 2012] [error] [client 82.223.239.68] File does not exist: /var/www/vhosts/default/htdocs/jmx-console 
[Mon Dec 03 20:48:44 2012] [error] [client 221.2.209.46] File does not exist: /var/www/vhosts/default/htdocs/manager 
[Thu Dec 06 07:37:04 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/w00tw00t.at.blackhats.romanian.anti-sec:) 
[Thu Dec 06 07:37:05 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin 
[Thu Dec 06 07:37:05 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/phpmyadmin 
[Thu Dec 06 07:37:06 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/pma 
[Thu Dec 06 07:37:06 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/myadmin 
[Thu Dec 06 07:37:07 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/MyAdmin 
[Thu Dec 13 02:19:53 2012] [error] [client 96.254.171.2] File does not exist: /var/www/vhosts/default/htdocs/judge.php 

Najczęstsze błędy są wnioski o "phpMyAdmin" pliku, a "w00tw00t.at.blackhats.romanian.anti-sec :)" .

Widzę adres IP, z którego pochodzą żądania. Ale kto jest "klientem"?

Dzięki, Shane.

Answer 1

To jest tylko automatyczny skrypt wdrożony przez wiele dzieci skryptów szukających naruszenia bezpieczeństwa w wersji/konfiguracji apache. Podpis w00tw00t jest zwykle pozostawiony przez DFind.

Wystarczy użyć program jak fail2ban skonfigurowana tak, jak tego przykład wyjaśnia uniknąć zalane przez tych wniosków:

https://web.archive.org/web/20160617020600/http://www.userdel.com/post/18618537324/block-w00tw00t-scans-with-fail2ban

To niekoniecznie znaczy, że już hacked, ale serwer został przeskanowany pod kątem luk w zabezpieczeniach. Jeśli jednak korzystasz z dowolnego oprogramowania, które zobaczyłeś w tych dziennikach, a jest to starsza wersja, która ma znane luki w zabezpieczeniach, powinieneś sprawdzić swój serwer pod kątem nietypowych plików i działań logowania.

Answer 2

Żądania są wysyłane zazwyczaj bez nagłówka serwera. Po prostu utwórz domyślnego hosta wirtualnego dla żądań, które nie mają nagłówka serwera, którego oczekujesz, i sprawdź go. Zabawnie jest też rejestrować zepsuty ruch i odwracać DNS, aby sprawdzić, czy pochodzi on z innego serwera sieciowego (zhakowany?) I skontaktować się z właścicielem na podstawie bazy danych Whois. Nigdy nie wiadomo, kto uruchamia głupie skrypty z publicznie identyfikowalnego serwera w celu wyszukania luk w zabezpieczeniach i późniejszego wykorzystania ich w tunelu ToR. Użyj informacji kontaktowych palnika, jeśli nie chcesz zwracać na siebie uwagi.

Answer 3

Aby śledzić na odpowiedź udzieloną przez @ user823629, tutaj jest domyślną konfigurację wirtualnego hosta używam na Apache 2.4:

<VirtualHost *:80 *:443> 
    # Default vhost for requests not matching IP or Host of other vhosts 
    ServerName blackhole 
    ErrorLog logs/error_log_blackhole 
    CustomLog logs/access_log_blackhole combined 
    Redirect 404/
</VirtualHost> 

przekierowuje wszystkie żądania do domyślnej 404 strony.

Umieszczam to w conf.d i nadaję mu nazwę conf.d/0_default.conf, tak aby pojawiła się przed innymi definicjami vhostów i jest domyślnym hostem wirtualnym. Można to sprawdzić poprzez:

apachectl -t -D DUMP_VHOSTS 

innych hostów wirtualnych dopasuje przed tym domyślnym vhost jeśli 1) ich adres IP i port odpowiada definicji VirtualHost bardziej wyraźny (oparte na IP wirtualnego hosta), lub 2) wniosek zawiera nagłówek Host pasujący do żądania (host wirtualny oparty na nazwie). W przeciwnym razie żądanie zostanie przywrócone do domyślnego hosta wirtualnego blackhole zdefiniowanego powyżej.

Aby uzyskać więcej informacji na temat dopasowywania hosta wirtualnego, zobacz artykuł http://httpd.apache.org/docs/current/vhosts/details.html.

Answer 4

Jeśli nie używasz /var/www/vhosts/default/ do hostowania strony internetowej, oznacza to, że masz żądania przejścia do domyślnego hosta, który nie jest przechwytywany przez konfigurację virtualhosts.

Lekceważenie przez chwilę, że są to złośliwe żądania, ponieważ powodem dla tych vhostów/default/ błędów jest prawdopodobnie masz SSL wyłączone dla wirtualnego hosta, & są HTTPS żądania wciągnąć w konfiguracji domyślnej serwera.

Możesz dodać %v %V %p do rejestrowania parametrów dostępu Apache w httpd.conf, aby zobaczyć więcej informacji o tym, co te wnioski są & co virtualhost/nazwa_serwera jest ich obróbki (%v %V) & na jakim porcie (%p) wnioski są wykonywane przez (zwykle port 443, jeśli jest to HTTPS).

Aby naprawić aspekt HTTPS, włączę SSL &, a następnie wstawię RewriteRule, aby wysyłać żądania HTTPS do HTTP (jeśli jest to zamierzone działanie). More info about how to do that here.

W przeciwnym razie, aby pomóc dzieciom ze skryptów, wspomniana wyżej czarna dziura jest drogą do zrobienia. Tylko upewnij się, że nie wysyłasz poprawnie legalnego robota sieciowego/pająków żądających HTTPS do tej samej galaktycznej śmierci - na przykład Googlebot testuje legalne strony za pośrednictwem protokołu HTTPS, ponieważ jest to kierunek, w którym Google chce, aby sieć przeszła.