Ir para o conteúdo
ou

Software livre Brasil

 Voltar a Alexos Core ...
Tela cheia

Servidores ssh sob ataque devido a falha no phpMyAdmin ( Atualizado )

13 de Agosto de 2010, 0:00 , por Software Livre Brasil - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado 992 vezes

logo

Relatórios recentes [1] [2] revelam que vários servidores ssh estão sendo vitimas de ataques de força bruta pelo bot dd_ssh.

A porta de entrada destes ataques é uma vulnerabilidade encontrada na ferramenta phpMyadmin, está vulnerabilidade afeta as versões 2.11.x anteriores a 2.11.9.5 e 3.x anteriores à 3.1.3.1.

Aparentemente o botnet injeta um script malicioso através do phpMyAdmin. A máquina comprometida servirá de zumbi para ataques a outros servidores.

Para os usuários desta ferramenta recomendo 2 soluções:

1 – Remova ela totalmente do seu servidor, a utilização de ferramentas como Webmin, phpMyAdmin e etc não são recomendadas.

2 – Se você não quer seguir a 1a recomendação então atualize o phpMyAdmin para a versão mais atual

Para evitar ataques de SSH Brute Force recomendo:

1 – Utilização de senhas fortes e se possível uso de chaves DSA

2 – Alterar a porta padrão do ssh

3 – Uso do Port Knocking ( knockd ou SPA )

4 – Uso do Ossec HIDS

= = Atualização = =

Recebi o alerta de 02 servidores sobre a tentativa de ataque do bot dd_ssh

82.145.xx.xx – - [13/Aug/2010:07:19:36 -0300] “GET /phpadmin/scripts/setup.php HTTP/1.1″ 404 192 “-” “ZmEu”
82.145.xx.xx – - [13/Aug/2010:07:19:35 -0300] “GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1″ 404 198 “-” “ZmEu”
82.145.xx.xx – - [13/Aug/2010:07:19:35 -0300] “GET /mysqladmin/scripts/setup.php HTTP/1.1″ 404 194 “-” “ZmEu”
82.145.xx.xx – - [13/Aug/2010:07:19:34 -0300] “GET /myadmin/scripts/setup.php HTTP/1.1″ 404 192 “-” “ZmEu”
82.145.xx.xx – - [13/Aug/2010:07:19:33 -0300] “GET /dbadmin/scripts/setup.php HTTP/1.1″ 404 191 “-” “ZmEu”
82.145.xx.xx – - [13/Aug/2010:07:19:33 -0300] “GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1″ 404 196 “-” “ZmEu”

O IP zumbi é da Turquia

IP Information – 82.145.xx.xx

IP address: 82.145.xx.xx
Reverse DNS: www.world-education-center.org.
Reverse DNS authenticity: [Verified]
ASN: 29179
ASN Name: KIBRISONLINE-AS (Kibrisonline Ltd.)
IP range connectivity: 6
Registrar (per ASN): RIPE
Country (per IP registrar): TR [Turkey]
Country Currency: TRL [Turkey Liras]
Country IP Range: 82.145.224.0 to 82.145.255.255
Country fraud profile: High
City (per outside source): Mersin, Icel
Country (per outside source): TR [Turkey]
Private (internal) IP? No
IP address registrar: whois.ripe.net
Known Proxy? No
Link for WHOIS: 82.145.xx.xx

Ao acessá-lo dou de cara com um phpMyAdmin

Como sigo as recomendações acima este IP foi bloqueado automaticamente:

active-responses.log:Fri Aug 13 07:19:38 BRT 2010 /var/ossec/active-response/bin/host-deny.sh add – 82.145.xx.xx 1281694778.24427 31151
active-responses.log:Fri Aug 13 07:19:38 BRT 2010 /var/ossec/active-response/bin/firewall-drop.sh add – 82.145.xx.xx 1281694778.24427 31151

Fonte

Google Bookmarks Twitter Technorati Favorites Google Gmail LinkedIn Google Reader WordPress Slashdot Reddit Delicious Multiply Digg Identi.ca Share/Bookmark


Fonte: http://blog.alexos.com.br/?feed=atom&p=1933&lang=pt-br

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.