PhpMyAdmin automata "hack"

Web, mail, IRC, IM, hálózatok

Sziasztok,

http://pastebin.com/pVL9kiNw

Az alábbi automatikus botnet scannelés ellen mit tudtok javasolni?
A fail2ban pattern rengeteg meló, mint látjátok több mint 50 féle végződést próbálgat végig. A PMA jelszóval van védve, azt sem tudom hogy juthat be eddig a bot.

Másik hibám pedig ez:
http://pastebin.com/du64p1wW

Ezt a kettőt általában egymás után futtatja le a zombi, viszont van hogy csak az egyiket.

Előre is köszi.

  • 8002 megtekintés

( uid_7086 | 2013. 12. 23., h – 14:14 )

Egy e-mail az abuse @ ovh.net címre? ;)

( denton | 2013. 12. 23., h – 14:23 )

Szinte alap, hogy nem használjuk a valami.hu/phpmyadmin elérést.

Kreálj neki valami egyedi url-tpl phpfuckadmin vagy lehet benne egy rövid számsor, esetleg aldomain pl phpmy4dmin.valami.hu stb, lehet kombinálni, ha eléggé ügyes vagy, akkor nem találják meg egykönnyen az oldalt.

Ez a legegyszerűbb és leggyorsabb védelem.

( denton | 2013. 12. 23., h – 14:25 )

"A PMA jelszóval van védve, azt sem tudom hogy juthat be eddig a bot.

Nem jut be, hisz látod, hogy mind 401-re végződik.

( Elbandi v | 2013. 12. 23., h – 19:44 )

hozzal letre a hianyzo fajlt: "kedves bot! itt nincs semmi, csak a gazdadat szivatom, hogy ertelmesnek tuno valaszt adok vissza." :D

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Komolyan azt gondolod, hogy a kapott kimenetet ember olvassa?

Minden bizonnyal a robot beazonosítja az alkalmazást (ha tudja), kipróbál a beazonosított alkalmazásra használható sebezhetőségeket, majd ha van sikeres eredmény akkor a feljegyzi egy táblázatba a körülmény paramétereit. Ha befejezte a keresést (vagy pl. IP tiltás miatt nem tudja folytatni) megy a következő áldozatra...

--
maszili

Gondolod, hogy a robot be van tanítva, hogy ha sikerül egy pma-t felnyomnia, akkor mit kell csináljon?

Valószínűleg nem értetted amit írtam. A robot konkrét sebezhetőségeket keres. Ha talál, azután jön majd a humán támadó és felhasználja a sebezhetőséget valamire.

Ha egyszer sikerült, utána úgyis ember jön károkozni.. Meg kitudja, lehet felkelti a figyelmét a könnyű pénz reménye...

Ha megvan a sebezhetőség akkor nem a kamuszöveggel találkozik a humanoid hanem már az alkalmazás sebezhetőségével, mert a robot megkereste neki.
Tehát a lényegtelen információt (kamuszöveg) nem látja az ember mert szükségtelen és egyébként sincs kapacitása, hogy több tízezer kamuszöveget elolvasson.

Egyébként meg de, van olyan, hogy a robot "be van tanítva" és több tucat sebezhető wordpress-t deface-elne egy percen belül ha a védelmi rendszer nem akadályozná meg.

--
maszili

( atomjani | 2013. 12. 24., k – 09:30 )

Egyszer lehetnek szerveroldali megoldások:
- megadod a tűzfalnak a saját ip címed. Ha valaki más ip címmel akarja a pma-t kóstolgatni, tiltsa x időre, mindjárt dobja el bármilyen jellegű kérését.
- a pma csak olyan porton legyen elérhető, ami nem olyan népszerű. Ha 80-as porton is elérhető, akkor persze, hogy fog tudni próbálkozni.

Aztán van weboldali megoldások:
- az egész phpMyAdmin könyvtárt védd le .htaccess fájllal. Nem tudom, hogy lehetséges e, de lehetne olyat, hogy mondjuk egy nevet és 5 jelszót kér be. Ha nem, akkor 5 nevet és 1 jelszót kér. Ha mindegyik stimmel, akkor beenged. De mire mindegyiket feltöri...
- a phpMyAdmin beléptetőjét cseréld le flash-re, esetleg még rechapta is jöhet hozzá. De még több ellenőrző kérdés is szóba jöhet, vagy az üres mezős csapda is. Ha megoldható ilyesmik.

A megvalósítási részében nem tudok segíteni. Ezek csak 9tletek, melyek egy része biztosan megoldható valahogy.

Nem eri meg a PHPMyadmin kodjat turni ezek miatt (szinte mindegyikhez kell, hogy valid session jojjon letre a folyamat vegen).

A sajat IP cimmel meg az a baj, hogy nagyon sokan dinamikus IP-rol neteznek, mert a fix IP penzbe kerul, es otthonra teljesen felesleges pluszkiadas.

Ha siman 401-re/404-re szalad, az boven jo, esetleg fail2ban-nal fel lehet ezt meg tuningolni, de kb. ennel tobb eroforrast kar beletolni a dologba.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

( nyekhere | 2013. 12. 25., sze – 08:42 )

2 tipp, az egyik lehet, hogy necces, annyira nem értek hozzá

1. Mint írták, tedd a pdpmyadmint valami "hülye" helyre (pld. /hulyehely/kutyaful/... stb :) )

2. Nagyon régen néztem és álligattam már a fail2ban-t. Az apache-noscript szűrő erre nem jó?(FIXME!)
Ha nem: A regexp is misztikum számomra, de szerintem itt elég lenne arra szűrni, hogy tartalmaz-e "GET"-t valamint "401"-t, és 3. próba után pld. 2 órára :) elküldeni pihenni az IP-t - de ha ez más problémát is okozna, akkor nem szóltam.

Ne kattints ide!