Problema sicurezza apache

giorgino87 · 22-08-2016, 03:09

Ho un serve apache funzionante su ip statico e dns configurati, lo uso per un sito blog personale, siti web in via di sviluppo, e poco altro

Il 15 agosto sono stato vittima di un attacco da piu' di 500 IP localizzati in tutto il mondo volto a trovarmi la password del blog wordpress. Dopo di che mi sono accorto che un attacco simile era accaduto il 13 aprile scorso. Inoltre, guardando i log sembra che ci siano malintenzionati che cercano di fare del male ogni giorno, ma questo credo sia normale.

Ora, per il momento ho ristretto l'accesso a tutte le cartelle con le pagine di login a IP locali per maggior sicurezza, tuttavia mi sono accorto di alcune cose strane. Un sito web in via di sviluppo se provo ad aprirlo non carica piu', apache mi dice "risorsa non disponibile". Nel log errori compare:

[cgi:error] [pid 1748:tid 1256] [client X:37966] AH02809: Options ExecCGI is off in this directory: E:/www/internal/hndUnblock.cgi
[cgi:error] [pid 1748:tid 1256] [client X:37968] AH02809: Options ExecCGI is off in this directory: E:/www/internal/tmUnblock.cgi

questi 2 script NON sono chiamati dalla pagina index.php (ne' dalle risorse caricate dalla pagina) che provo a caricare, eppure apache li vuole caricare e non trovandoli mi dice risorsa non trovata. Cosa e' successo? Sono riusciti a modificare qualche file configurazione? quale? Che mi consigliate di fare per essere sicuro che non mi abbiano infettato in qualche modo?

PS: tempo fa trovai apache Disinstallato senza che io lo avessi disinstallato...anche questo non so come sia potuto accadere....

Altre cose strane:

trovo richieste tipo:

169.229.3.91 - - [06/Aug/2016:15:07:19 +0200] "#\xae'\x0f\xdcQ\xd8\xf0\\O\x1eF\xf7\x96\x95_{\x83\x94-\x9d4\xb3\x88+\xa6\xa7\x04\xdb\x04\x91\xda\x15HF<\x1c\tWv\xa3}\xd8" 400 348

13.88.246.36 - - [02/Aug/2016:07:12:06 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec

HTTP/1.1" 403 41
104.130.19.164 - - [01/Aug/2016:11:03:31 +0200] "GET http://ec2-54-188-193-163.us-west-2..../z/headers.php HTTP/1.1" 404 367

111.248.101.139 - - [31/Jul/2016:23:50:28 +0200] "CONNECT 163mx00.mxmail.netease.com:25 HTTP/1.0" 200 913
36.225.235.30 - - [21/Jul/2016:10:32:50 +0200] "CONNECT vip163mx01.mxmail.netease.com:25 HTTP/1.0" 200 913

che significano?

zeMMeMMez · 22-08-2016, 16:23

...

Tasslehoff · 22-08-2016, 18:33

Per bonificare la situazione prima di tutto fai una copia completa del sito e un backup del DB, meglio ancora una immagine con dd della macchina per avere una fotografia della situazione attuale in caso di ulteriori successive verifiche.
Poi installa l'estensione wordfence e fai una scansione completa, ti analizzerà ogni risorsa e ti notificherà ogni file o modifica rispetto ai file di WordPress (ovviamente devi verificare bene nel caso tu sia intervento modificando a mano qualcosa).
Bonificato il tutto se ancora trovi anomalie non ti resta che fare piazza pulita e ripristinare il possibile partendo da backup antecedenti all'incident.
Consigli post bonifica:
- Installa e configura fail2ban
- restringi il più possibile l'accesso alle aree sensibili di WordPress (es /wp-admin), I sistemi sono molteplici (da restrizioni sugli ip a certificati x509 per autenticazione client side ad autenticazione multifattore)
- intercetta le scansioni più comuni anche solo analizzando logs (es con Ossec)
- riduci all'osso le estensioni (specialmente quelle che implementano librerie esterne)
- tieni sempre aggiornato wordpress e tutte le estensioni che usi
- aggiorna PHP ad una versione supportata (5.6 o superiore e tienila fixata)
- se sullo stesso sito convivono altre applicazioni insieme a WordPress sradicale e spostale a virtualhost dedicati (ovviamente quanto detto sopra vale anche per loro)

Spero di esserti stato utile

giorgino87 · 22-08-2016, 23:11

dimenticavo di aggiungere che questi comportamenti strani sono su un virtualhost separato da quello dove gira wordpress, che failtoban e' installato e configurato (ma failtoban previene gli attacchi DOS, non questi tentativi di carpire la password dove fanno una richiesta di login ogni 30 secondi).
Php e' aggiornato al 5.6 (installero l'ultima release ora), idem apache.

Kaya · 26-08-2016, 08:57

Quote:

Originariamente inviato da giorgino87

Nel log errori compare:

[cgi:error] [pid 1748:tid 1256] [client X:37966] AH02809: Options ExecCGI is off in this directory: E:/www/internal/hndUnblock.cgi
[cgi:error] [pid 1748:tid 1256] [client X:37968] AH02809: Options ExecCGI is off in this directory: E:/www/internal/tmUnblock.cgi

questi 2 script NON sono chiamati dalla pagina index.php (ne' dalle risorse caricate dalla pagina) che provo a caricare, eppure apache li vuole caricare e non trovandoli mi dice risorsa non trovata.

Verifica che non ci sia qualcosa nelle operazioni pianificate.. magari sono riusciti a caricarti qualche schifezza..

22-08-2016, 03:09	#1
giorgino87 Member Iscritto dal: Dec 2009 Città: Melbourne Messaggi: 197	Problema sicurezza apache Ho un serve apache funzionante su ip statico e dns configurati, lo uso per un sito blog personale, siti web in via di sviluppo, e poco altro Il 15 agosto sono stato vittima di un attacco da piu' di 500 IP localizzati in tutto il mondo volto a trovarmi la password del blog wordpress. Dopo di che mi sono accorto che un attacco simile era accaduto il 13 aprile scorso. Inoltre, guardando i log sembra che ci siano malintenzionati che cercano di fare del male ogni giorno, ma questo credo sia normale. Ora, per il momento ho ristretto l'accesso a tutte le cartelle con le pagine di login a IP locali per maggior sicurezza, tuttavia mi sono accorto di alcune cose strane. Un sito web in via di sviluppo se provo ad aprirlo non carica piu', apache mi dice "risorsa non disponibile". Nel log errori compare: [cgi:error] [pid 1748:tid 1256] [client X:37966] AH02809: Options ExecCGI is off in this directory: E:/www/internal/hndUnblock.cgi [cgi:error] [pid 1748:tid 1256] [client X:37968] AH02809: Options ExecCGI is off in this directory: E:/www/internal/tmUnblock.cgi questi 2 script NON sono chiamati dalla pagina index.php (ne' dalle risorse caricate dalla pagina) che provo a caricare, eppure apache li vuole caricare e non trovandoli mi dice risorsa non trovata. Cosa e' successo? Sono riusciti a modificare qualche file configurazione? quale? Che mi consigliate di fare per essere sicuro che non mi abbiano infettato in qualche modo? PS: tempo fa trovai apache Disinstallato senza che io lo avessi disinstallato...anche questo non so come sia potuto accadere.... Altre cose strane: trovo richieste tipo: 169.229.3.91 - - [06/Aug/2016:15:07:19 +0200] "#\xae'\x0f\xdcQ\xd8\xf0\\O\x1eF\xf7\x96\x95_{\x83\x94-\x9d4\xb3\x88+\xa6\xa7\x04\xdb\x04\x91\xda\x15HF<\x1c\tWv\xa3}\xd8" 400 348 13.88.246.36 - - [02/Aug/2016:07:12:06 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec HTTP/1.1" 403 41 104.130.19.164 - - [01/Aug/2016:11:03:31 +0200] "GET http://ec2-54-188-193-163.us-west-2..../z/headers.php HTTP/1.1" 404 367 111.248.101.139 - - [31/Jul/2016:23:50:28 +0200] "CONNECT 163mx00.mxmail.netease.com:25 HTTP/1.0" 200 913 36.225.235.30 - - [21/Jul/2016:10:32:50 +0200] "CONNECT vip163mx01.mxmail.netease.com:25 HTTP/1.0" 200 913 che significano? Ultima modifica di giorgino87 : 22-08-2016 alle 03:14.

22-08-2016, 16:23	#2
zeMMeMMez Bannato Iscritto dal: Aug 2016 Messaggi: 871	... Ultima modifica di zeMMeMMez : 02-11-2016 alle 13:27.

22-08-2016, 18:33	#3
Tasslehoff Senior Member Iscritto dal: Nov 2001 Città: Kendermore Messaggi: 6710	Per bonificare la situazione prima di tutto fai una copia completa del sito e un backup del DB, meglio ancora una immagine con dd della macchina per avere una fotografia della situazione attuale in caso di ulteriori successive verifiche. Poi installa l'estensione wordfence e fai una scansione completa, ti analizzerà ogni risorsa e ti notificherà ogni file o modifica rispetto ai file di WordPress (ovviamente devi verificare bene nel caso tu sia intervento modificando a mano qualcosa). Bonificato il tutto se ancora trovi anomalie non ti resta che fare piazza pulita e ripristinare il possibile partendo da backup antecedenti all'incident. Consigli post bonifica: - Installa e configura fail2ban - restringi il più possibile l'accesso alle aree sensibili di WordPress (es /wp-admin), I sistemi sono molteplici (da restrizioni sugli ip a certificati x509 per autenticazione client side ad autenticazione multifattore) - intercetta le scansioni più comuni anche solo analizzando logs (es con Ossec) - riduci all'osso le estensioni (specialmente quelle che implementano librerie esterne) - tieni sempre aggiornato wordpress e tutte le estensioni che usi - aggiorna PHP ad una versione supportata (5.6 o superiore e tienila fixata) - se sullo stesso sito convivono altre applicazioni insieme a WordPress sradicale e spostale a virtualhost dedicati (ovviamente quanto detto sopra vale anche per loro) Spero di esserti stato utile __________________ https://tasslehoff.burrfoot.it \| Cloud? Enough is enough! \| SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." Ultima modifica di Tasslehoff : 22-08-2016 alle 18:42.

22-08-2016, 23:11	#4
giorgino87 Member Iscritto dal: Dec 2009 Città: Melbourne Messaggi: 197	dimenticavo di aggiungere che questi comportamenti strani sono su un virtualhost separato da quello dove gira wordpress, che failtoban e' installato e configurato (ma failtoban previene gli attacchi DOS, non questi tentativi di carpire la password dove fanno una richiesta di login ogni 30 secondi). Php e' aggiornato al 5.6 (installero l'ultima release ora), idem apache.

Strumenti
Mostra una versione stampabile Invia questa pagina per email