- This topic has 17 hozzászólás, 4 résztvevő, and was last updated 18 years, 7 months telt el by
.
-
Bejegyzés
-
Hát igen, nálunk is volt olyan eset, hogy próbált valami php bugot kihasználva maileket küldeni valaki, de észrevettük gyorsan, mert bedugult az smtp 🙂
A lényeg az hogy _ki_ nem jutott.csaba wrote:Hát igen, nálunk is volt olyan eset, hogy próbált valami php bugot kihasználva maileket küldeni valaki, de észrevettük gyorsan, mert bedugult az smtp 🙂
A lényeg az hogy _ki_ nem jutott.De gondolom, ez még SMTP auth előtt volt. Mert ugye SMTP auth után a PHP bug sem tudna auth nélkül küldeni?
linuxforum wrote:ELaci wrote:Szokatlan módon nálam is van elég sok kimenő 443 https, nem fut apache, de úgy veszem észre hogy a linuxforum.hu okozza, a kérés a google.com felől jön.
Be van ide a weboldalra építve valami bigyó?Ezt, bevallom, nem értem. A google meg közéd hogy kerül a linuxfórum?
De szerintem ez eugy új biztonsági rés az apachon. Lehet, hogy most próbálkoznak. Nálam is folyamatosan jöttek a kérelmek, akkor is, ha leállítottam az apachot.Amikor belépek ide a weboldalra, akkor rögtön jön 10-15, egyébként meg alig.
ELaci
ELaci wrote:Amikor belépek ide a weboldalra, akkor rögtön jön 10-15, egyébként meg alig.ELaci
Akkor nem hiszem.
Talán google ads lehet a forrás, bár így hirtelen google reklámot sem látok az oldalon, meg nem is értem, miért lenne neki jó végignézni a látogatókat… De jobb ötletem nincs.1. mennyi idősek a logok
2. nincs-e kiesés a logokban, mármint a logok folyamatosságában
3. host, passwd, httpd, sshd, apache2 modulok eredetiek
4. milyen feladóval mentek ki a levelek
5. ha www-data@domain.hu (vagy hasonló) sürgősen cseréld az apache-odat, meg ami még módosítva lett
6. phpBB volt a serveren? Ha IGEN biztos lehetsz a dologbankayapo wrote:1. mennyi idősek a logok
2. nincs-e kiesés a logokban, mármint a logok folyamatosságában
3. host, passwd, httpd, sshd, apache2 modulok eredetiek
4. milyen feladóval mentek ki a levelek
5. ha www-data@domain.hu (vagy hasonló) sürgősen cseréld az apache-odat, meg ami még módosítva lett
6. phpBB volt a serveren? Ha IGEN biztos lehetsz a dologban1 – Nem értem. Pénteki az eset, a logok frissek.
2 – Nincs kiesés a logokban.
3 – A modulok eredetiségét nem tudom sajnos. 🙁 Tudom, ez vétkes könnyelműség, de most már ez van. Vélhetőleg csak az apache sérült, mivel leállítva megszűnt a jelenség.
4 – A levelek az apache feladóval mentek postfixen keresztül, tehát nem leprogramozott SMTP.
5 – Most már a cserén dolgozom. Ez a litespeed egész jónak tűnik, ha minden menni fog vele. De az apachenál kikapcsolva a 443-as figyelést, megszűnt a jelenség. Tehát csak az SSL részét fúrták meg. De az apachenál ez már pár éve megtörtént egyszer, igaz én akkor abból kimaradtam szerencsére.
6 – phpBB nincs a gépen, de az apache által nem logolt tecékenység eredménye a mail küldés, tehát nem egy egyszerű URL- lekéréssel indított folyamat. (Legalábbis úgy tűnik.)Lezárásként mindenki okulására a jelenlegi állapot. A levélküldés módszere a következő volt. Volt egy PHP program a szerveren, ami a paraméterül kapott változót, mint fájlnév-perfixet használta egy inkclude parancsban. A spammerek ennek a változónak egy olyan URL-t adtak át, ami otputként egy php meta típusú php forráskódot adott vissza, ami így lefutott a szerveren.
A php.ini-ben tiltottam az allowurlopen-t (vagy valami efféle, most nem tuodm pontosda), ami alapból engedélyezve van, és engedi a php-nak külső url-ek megnyitását, include-olását.
Találtam továbbá egy ugyanilyen módszerrel felmásolt trójait is a gépen. Ezt kiirtottam.
Két érdekessége van az esetnek.
1 – A gyanús php kódoknál (ahol include-ban használ a kód GET paramétert), a támadók nem próbálták végig az összes GET paramétert, csak az esélyest tesztelték. Ott is, ahol a változó nem prefix volt, tehát külső URL behelyettesítése nem működöt. Nem próbálták végig az összeset.
2 – Mióta mindez kiderült, nem jött új kísérlet sem.
Remélem, a letörölt trójai volt a forrásuk, és az nézte át a PHP kódokat, keresve include utáni változókat, majd bepróbálkozott GEt-ként, hogy törhető-e így.
A törések nem fix IP-ről jöttek. Valószínűleg feltört gépekről.
Hát ennyit tudok jelenleg.
Azért szerintem érdemes mindenkinek az allowUrlOpen-t mindenkinek tiltani, ha nem feltétlen szükséges az engedélyezése.
További jó hack mentes netezgetést mindenkinek.Elküldtek a szerveremről több ezer SPAM-et. Ez sajna tény. És nem a szerver hivatalos felhasználói közül valaki.
De akkor ki és hogyan? És hogy akadályozhatnám meg?
Amit tudok: A leveleket az apache küldte ki. Rögtön egy gyenge form-ra gyanakodtam, de a kérdéses időben nem volt ilyen mennyiségű kérelem.
Más logokban sem láttam nyomát.
Csupán a postfix logja jelezte a kimenő leveleket – meg a beérkező ismeretlen címzett dameon üzeneteket.
A portok többségét tűzfal védi, de a http, https, smpt, pop3, imap, domain mindenki számára elérhető.
Úgy tűnik, az apachon keresztül jöttek, de hogyan? És hogyan deríthetem ki, ha az apache log-ban nincs jellemző indormáció? (Más logban meg semmi!)
Minden ötletnek, támpontnak nagyon örülnék!
Amíg ki nem derítem, újra megeshet! :-O
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz