Die Attacken nehmen kein Ende

Flattr this
Tweet this: Die Attacken nehmen kein Ende
Dent this: Die Attacken nehmen kein Ende
Datum: 14.10.2007 13:31:00

Seit ein paar Wochen wird es von Tag zu Tag schlimmer, teilweise über 100 Anfragen bekomme ich am Tag durch irgendwelche kleinen Scriptkiddie-Bots die versuchen irgendwelche bekannten Sicherheitslücken in OpenSource-Systemen auszunutzen.

Alle versuchen mir eine PHP-Console unterzujubeln oder ähnliches. Hier ein Beispiel: /announcements.php?phpraid_dir=URL-ZU-EINEM-BÖSEN-SCRIPT? http://milw0rm.com/exploits/3528
Meistens sind es nur kleine Testprogramme die schauen ob exec() und system() nutzbar sind und darüber rückmeldung geben.

Teilweise sind es aber auch kleine Allrounder wie die r57-shell (http://www.r57.li/), ein PHP-Script über das mit einfachen mitteln fast alles möglich ist.

  • lokale Dateien erspähen (auslesen der Passwörter etc)
  • ausführen von Code via exec(), system() und co (ist der Server nicht ausreichend abgesichert, kann so sehr einfach ein Programm installiert werden das direkt auf einem Port lauscht und befehl direkt an die Linux-Shell entgegen nimmt.)
  • simpler Zugriff auf die Datenbank (wer erfolgreich einen Server gefunden hat auf dem er seine r57-Shell zum laufen gebracht hat, kann sich auch ohne Probleme PMA installieren)

Wie kann solche Anfragen blocken?

Eine recht einfache Möglichkeit besteht darin zu schauen mit welchem "Browser" (USER_AGENT) sich diese Bots melden, die 3 meistgenutzen laut meinen Logs sind:

  • libwww-perl (ca 63%)
  • wget (ca 18%)
  • lynx ( weniger als 5%)

Jetzt kann man über den Webserver diese USER_AGENTS aussperren.
Allerdings sollte man sich damit auch klar sein, dass eventuell andere User oder auch Dienste ausgesperrt werden.
Ich selbst lade sehr oft mit wget (unter Windows!) Daten herunter, auch setzte ich es sehr gerne zum testen auf meiner Seite ein, weil man damit sehr einfach schauen kann welche header die eigene Seite schickt, wohin etwas weiterleitet etc. Andere Online-Scripte die einem Beispielsweise auch die Header anzeigen nutzen dazu auch libwww-perl (teilweise sinnvoller Weise dann mit anderem USER_AGENT). Und mit lynx sperrt man halt auch alle User aus die mit diesem Browser Server.

Ich habe mich entschlossen keinen dieser Browser auszusperren, viel mehr setzte ich nach Möglichkeit nur selbst programmierte Systeme ein und bei Fremdsystemen schaue ich halt dass ich das Teil möglichst aktuell halte. Bis jetzt konnte ich noch nicht feststellen, dass einer dieser Bots eine Lücke in meinem System gefunden hat, was ich auch anzweifle, dass es passieren wird :P


Trackbacks (0)

Trackbackurl: http://www.robo47.net/trackback/blogentry/134

Es sind keine Trackbacks vorhanden.


Kommentare (0)

Es sind noch keine Kommentare vorhanden.

Die Kommentare zu diesem Beitrag sind gesperrt.

You liked it ? Link it on your homepage or blog: