|
|||||||
|
|
|
 |
|
|
Strumenti |
22-08-2016, 04:09
|
#1 |
|
Member
Iscritto dal: Dec 2009
Città: Melbourne
Messaggi: 197
|
Problema sicurezza apache
Ho un serve apache funzionante su ip statico e dns configurati, lo uso per un sito blog personale, siti web in via di sviluppo, e poco altro
Il 15 agosto sono stato vittima di un attacco da piu' di 500 IP localizzati in tutto il mondo volto a trovarmi la password del blog wordpress. Dopo di che mi sono accorto che un attacco simile era accaduto il 13 aprile scorso. Inoltre, guardando i log sembra che ci siano malintenzionati che cercano di fare del male ogni giorno, ma questo credo sia normale. Ora, per il momento ho ristretto l'accesso a tutte le cartelle con le pagine di login a IP locali per maggior sicurezza, tuttavia mi sono accorto di alcune cose strane. Un sito web in via di sviluppo se provo ad aprirlo non carica piu', apache mi dice "risorsa non disponibile". Nel log errori compare: [cgi:error] [pid 1748:tid 1256] [client X:37966] AH02809: Options ExecCGI is off in this directory: E:/www/internal/hndUnblock.cgi [cgi:error] [pid 1748:tid 1256] [client X:37968] AH02809: Options ExecCGI is off in this directory: E:/www/internal/tmUnblock.cgi questi 2 script NON sono chiamati dalla pagina index.php (ne' dalle risorse caricate dalla pagina) che provo a caricare, eppure apache li vuole caricare e non trovandoli mi dice risorsa non trovata. Cosa e' successo? Sono riusciti a modificare qualche file configurazione? quale? Che mi consigliate di fare per essere sicuro che non mi abbiano infettato in qualche modo? PS: tempo fa trovai apache Disinstallato senza che io lo avessi disinstallato...anche questo non so come sia potuto accadere.... Altre cose strane: trovo richieste tipo: 169.229.3.91 - - [06/Aug/2016:15:07:19 +0200] "#\xae'\x0f\xdcQ\xd8\xf0\\O\x1eF\xf7\x96\x95_{\x83\x94-\x9d4\xb3\x88+\xa6\xa7\x04\xdb\x04\x91\xda\x15HF<\x1c\tWv\xa3}\xd8" 400 348 13.88.246.36 - - [02/Aug/2016:07:12:06 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec  HTTP/1.1" 403 41104.130.19.164 - - [01/Aug/2016:11:03:31 +0200] "GET http://ec2-54-188-193-163.us-west-2..../z/headers.php HTTP/1.1" 404 367 111.248.101.139 - - [31/Jul/2016:23:50:28 +0200] "CONNECT 163mx00.mxmail.netease.com:25 HTTP/1.0" 200 913 36.225.235.30 - - [21/Jul/2016:10:32:50 +0200] "CONNECT vip163mx01.mxmail.netease.com:25 HTTP/1.0" 200 913 che significano? Ultima modifica di giorgino87 : 22-08-2016 alle 04:14. |
|
|
|
22-08-2016, 17:23
|
#2 |
|
Bannato
Iscritto dal: Aug 2016
Messaggi: 871
|
...
Ultima modifica di zeMMeMMez : 02-11-2016 alle 14:27. |
|
|
|
|
22-08-2016, 19:33
|
#3 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 6671
|
Per bonificare la situazione prima di tutto fai una copia completa del sito e un backup del DB, meglio ancora una immagine con dd della macchina per avere una fotografia della situazione attuale in caso di ulteriori successive verifiche.
Poi installa l'estensione wordfence e fai una scansione completa, ti analizzerà ogni risorsa e ti notificherà ogni file o modifica rispetto ai file di WordPress (ovviamente devi verificare bene nel caso tu sia intervento modificando a mano qualcosa). Bonificato il tutto se ancora trovi anomalie non ti resta che fare piazza pulita e ripristinare il possibile partendo da backup antecedenti all'incident. Consigli post bonifica: - Installa e configura fail2ban - restringi il più possibile l'accesso alle aree sensibili di WordPress (es /wp-admin), I sistemi sono molteplici (da restrizioni sugli ip a certificati x509 per autenticazione client side ad autenticazione multifattore) - intercetta le scansioni più comuni anche solo analizzando logs (es con Ossec) - riduci all'osso le estensioni (specialmente quelle che implementano librerie esterne) - tieni sempre aggiornato wordpress e tutte le estensioni che usi - aggiorna PHP ad una versione supportata (5.6 o superiore e tienila fixata) - se sullo stesso sito convivono altre applicazioni insieme a WordPress sradicale e spostale a virtualhost dedicati (ovviamente quanto detto sopra vale anche per loro) Spero di esserti stato utile
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." Ultima modifica di Tasslehoff : 22-08-2016 alle 19:42. |
|
|
|
|
23-08-2016, 00:11
|
#4 |
|
Member
Iscritto dal: Dec 2009
Città: Melbourne
Messaggi: 197
|
dimenticavo di aggiungere che questi comportamenti strani sono su un virtualhost separato da quello dove gira wordpress, che failtoban e' installato e configurato (ma failtoban previene gli attacchi DOS, non questi tentativi di carpire la password dove fanno una richiesta di login ogni 30 secondi).
Php e' aggiornato al 5.6 (installero l'ultima release ora), idem apache. |
|
|
|
|
26-08-2016, 09:57
|
#5 | |
|
Senior Member
Iscritto dal: Apr 2005
Messaggi: 3276
|
Quote:
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 08:02.
