w00tw00.at.* és társainak szimatolása

 ( vmg | 2011. február 14., hétfő - 23:26 )

Sziasztok,

a w00tw00.at.* valamilyen botnet?
Milyen hatékony módszerekkel lehet védekezni a hasonló szimatolgatásokkal szemben?

Az apache access logjában a nevére szűrve ennyi látszik:

208.109.191.74 - - [31/Jan/2011:18:28:56 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 383 "-" "-"
77.70.54.66 - - [11/Feb/2011:14:13:34 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 383 "-" "-"
91.121.243.113 - - [11/Feb/2011:22:38:25 +0100] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 413 "-" "ZmEu"
89.136.100.192 - - [13/Feb/2011:04:47:04 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 383 "-" "-"
213.199.197.134 - - [14/Feb/2011:09:33:16 +0100] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 413 "-" "ZmEu"
121.248.63.102 - - [14/Feb/2011:18:52:36 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 383 "-" "-"

az error.log-ban pedig egy adott IP-re szűrve ehhez hasonló sorozatok:

[Mon Feb 14 09:33:16 2011] [error] [client 213.199.197.134] File does not exist: /var/www/w00tw00t.at.blackhats.romanian.anti-sec:)
[Mon Feb 14 09:33:20 2011] [error] [client 213.199.197.134] File does not exist: /var/www/admin
[Mon Feb 14 09:33:20 2011] [error] [client 213.199.197.134] File does not exist: /var/www/admin
[Mon Feb 14 09:33:20 2011] [error] [client 213.199.197.134] File does not exist: /var/www/admin
[Mon Feb 14 09:33:21 2011] [error] [client 213.199.197.134] File does not exist: /var/www/db
[Mon Feb 14 09:33:21 2011] [error] [client 213.199.197.134] File does not exist: /var/www/dbadmin
[Mon Feb 14 09:33:21 2011] [error] [client 213.199.197.134] File does not exist: /var/www/myadmin
[Mon Feb 14 09:33:21 2011] [error] [client 213.199.197.134] File does not exist: /var/www/mysql
[Mon Feb 14 09:33:22 2011] [error] [client 213.199.197.134] File does not exist: /var/www/mysqladmin
[Mon Feb 14 09:33:22 2011] [error] [client 213.199.197.134] File does not exist: /var/www/typo3
[Mon Feb 14 09:33:22 2011] [error] [client 213.199.197.134] File does not exist: /var/www/phpadmin
[Mon Feb 14 09:33:25 2011] [error] [client 213.199.197.134] File does not exist: /usr/share/phpmyadmin/scripts
[Mon Feb 14 09:33:25 2011] [error] [client 213.199.197.134] File does not exist: /var/www/phpmyadmin1
[Mon Feb 14 09:33:28 2011] [error] [client 213.199.197.134] File does not exist: /var/www/pma
[Mon Feb 14 09:33:28 2011] [error] [client 213.199.197.134] File does not exist: /var/www/web
[Mon Feb 14 09:33:28 2011] [error] [client 213.199.197.134] File does not exist: /var/www/xampp
...

de vannak olyan logrészletek is, ahol nem "azonosítja magát" a sniffer:

[Sat Feb 12 13:51:13 2011] [error] [client 89.133.73.105] File does not exist: /var/www/_vti_bin
[Sat Feb 12 13:51:13 2011] [error] [client 89.133.73.105] File does not exist: /var/www/MSOffice
[Sat Feb 12 13:51:36 2011] [error] [client 89.133.73.105] File does not exist: /var/www/_vti_bin
[Sat Feb 12 13:51:36 2011] [error] [client 89.133.73.105] File does not exist: /var/www/MSOffice
[Sat Feb 12 14:00:55 2011] [error] [client 89.133.73.105] File does not exist: /var/www/_vti_bin
[Sat Feb 12 14:00:55 2011] [error] [client 89.133.73.105] File does not exist: /var/www/MSOffice
[Sat Feb 12 14:01:42 2011] [error] [client 89.133.73.105] File does not exist: /var/www/_vti_bin
[Sat Feb 12 14:01:42 2011] [error] [client 89.133.73.105] File does not exist: /var/www/MSOffice
[Sat Feb 12 14:07:36 2011] [error] [client 89.133.73.105] File does not exist: /var/www/_vti_bin
[Sat Feb 12 14:07:36 2011] [error] [client 89.133.73.105] File does not exist: /var/www/MSOffice

Blacklistre kerülnek ezek az IP-k valahol és lehet IP alapján szűrni? Ki hogyan kezeli a hasonló próbálkozásokat?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Két egyszerű dolgot szoktam megtenni. Az egyik, hogy a default vhost mindíg töküres, legfeljebb egy "ön az XY cég webszerverén jár" van, de inkább egy eccerű Forbidden. A másik, hogy a /admin, /phpmyadmin és tsai url-eket kerülöm. Ez nyilván nem véd meg mindentől, de a kósza és tényleg ad hoc próbálkozásoktól igen. Az extra, hogy eleve csak azokat a modulokat töltöm be, ami tényleg kell.

Apache-hoz lehet mod_security-t szerelni, de ott észnél kell lenni. Azzal pl. globálisan kivághatod a /mysql, /phpmyadmin url-eket vagy a _vti_bin -t. A nemszabványos karakterek kizárása szintén megoldható vele. Logikusan minnél kevesebb site-od van, annál specifikusabb rule-okat lehet beállítani. (referer-re, user-agentre és más http-nél szokásos dologra szintén könnyen tudsz szűrni)

Az IP-ket fölösleges nézegetni, mert úgyis változni fog elég gyorsan és mire letiltod, addigra már máshonnan újra próbálkoznak. Jobb megközelítés ha a támadás típus ellen védekezel és nem utólag tiltasz ki egy hosztot.