giorgino87
22-08-2016, 03:09
Ho un serve apache funzionante su ip statico e dns configurati, lo uso per un sito blog personale, siti web in via di sviluppo, e poco altro
Il 15 agosto sono stato vittima di un attacco da piu' di 500 IP localizzati in tutto il mondo volto a trovarmi la password del blog wordpress. Dopo di che mi sono accorto che un attacco simile era accaduto il 13 aprile scorso. Inoltre, guardando i log sembra che ci siano malintenzionati che cercano di fare del male ogni giorno, ma questo credo sia normale.
Ora, per il momento ho ristretto l'accesso a tutte le cartelle con le pagine di login a IP locali per maggior sicurezza, tuttavia mi sono accorto di alcune cose strane. Un sito web in via di sviluppo se provo ad aprirlo non carica piu', apache mi dice "risorsa non disponibile". Nel log errori compare:
[cgi:error] [pid 1748:tid 1256] [client X:37966] AH02809: Options ExecCGI is off in this directory: E:/www/internal/hndUnblock.cgi
[cgi:error] [pid 1748:tid 1256] [client X:37968] AH02809: Options ExecCGI is off in this directory: E:/www/internal/tmUnblock.cgi
questi 2 script NON sono chiamati dalla pagina index.php (ne' dalle risorse caricate dalla pagina) che provo a caricare, eppure apache li vuole caricare e non trovandoli mi dice risorsa non trovata. Cosa e' successo? Sono riusciti a modificare qualche file configurazione? quale? Che mi consigliate di fare per essere sicuro che non mi abbiano infettato in qualche modo?
PS: tempo fa trovai apache Disinstallato senza che io lo avessi disinstallato...anche questo non so come sia potuto accadere....
Altre cose strane:
trovo richieste tipo:
169.229.3.91 - - [06/Aug/2016:15:07:19 +0200] "#\xae'\x0f\xdcQ\xd8\xf0\\O\x1eF\xf7\x96\x95_{\x83\x94-\x9d4\xb3\x88+\xa6\xa7\x04\xdb\x04\x91\xda\x15HF<\x1c\tWv\xa3}\xd8" 400 348
13.88.246.36 - - [02/Aug/2016:07:12:06 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 41
104.130.19.164 - - [01/Aug/2016:11:03:31 +0200] "GET http://ec2-54-188-193-163.us-west-2.compute.amazonaws.com/z/headers.php HTTP/1.1" 404 367
111.248.101.139 - - [31/Jul/2016:23:50:28 +0200] "CONNECT 163mx00.mxmail.netease.com:25 HTTP/1.0" 200 913
36.225.235.30 - - [21/Jul/2016:10:32:50 +0200] "CONNECT vip163mx01.mxmail.netease.com:25 HTTP/1.0" 200 913
che significano?
Il 15 agosto sono stato vittima di un attacco da piu' di 500 IP localizzati in tutto il mondo volto a trovarmi la password del blog wordpress. Dopo di che mi sono accorto che un attacco simile era accaduto il 13 aprile scorso. Inoltre, guardando i log sembra che ci siano malintenzionati che cercano di fare del male ogni giorno, ma questo credo sia normale.
Ora, per il momento ho ristretto l'accesso a tutte le cartelle con le pagine di login a IP locali per maggior sicurezza, tuttavia mi sono accorto di alcune cose strane. Un sito web in via di sviluppo se provo ad aprirlo non carica piu', apache mi dice "risorsa non disponibile". Nel log errori compare:
[cgi:error] [pid 1748:tid 1256] [client X:37966] AH02809: Options ExecCGI is off in this directory: E:/www/internal/hndUnblock.cgi
[cgi:error] [pid 1748:tid 1256] [client X:37968] AH02809: Options ExecCGI is off in this directory: E:/www/internal/tmUnblock.cgi
questi 2 script NON sono chiamati dalla pagina index.php (ne' dalle risorse caricate dalla pagina) che provo a caricare, eppure apache li vuole caricare e non trovandoli mi dice risorsa non trovata. Cosa e' successo? Sono riusciti a modificare qualche file configurazione? quale? Che mi consigliate di fare per essere sicuro che non mi abbiano infettato in qualche modo?
PS: tempo fa trovai apache Disinstallato senza che io lo avessi disinstallato...anche questo non so come sia potuto accadere....
Altre cose strane:
trovo richieste tipo:
169.229.3.91 - - [06/Aug/2016:15:07:19 +0200] "#\xae'\x0f\xdcQ\xd8\xf0\\O\x1eF\xf7\x96\x95_{\x83\x94-\x9d4\xb3\x88+\xa6\xa7\x04\xdb\x04\x91\xda\x15HF<\x1c\tWv\xa3}\xd8" 400 348
13.88.246.36 - - [02/Aug/2016:07:12:06 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 41
104.130.19.164 - - [01/Aug/2016:11:03:31 +0200] "GET http://ec2-54-188-193-163.us-west-2.compute.amazonaws.com/z/headers.php HTTP/1.1" 404 367
111.248.101.139 - - [31/Jul/2016:23:50:28 +0200] "CONNECT 163mx00.mxmail.netease.com:25 HTTP/1.0" 200 913
36.225.235.30 - - [21/Jul/2016:10:32:50 +0200] "CONNECT vip163mx01.mxmail.netease.com:25 HTTP/1.0" 200 913
che significano?