Logi Apache

[NetMat 107]

Witam,

 

Od nie dawna znajduje w logach dziwne wpisy, a mianowicie ktoś usiłują znaleźć jakiś panel zarządzania stroną oraz panel zarządzania serwerem mysql (może kiedyś się skapnie że serwer mysql jest na całkiem innej maszynie ) ale wracając do tematu od kilku dni znajduje takie logi niemal codziennie różni się tylko adres IP klienta wygląda to tak :

 

[Mon Apr 09 17:39:50 2012] [error] [client 92.**.***.*] File does not exist: /home/www/favicon.ico
[Mon Apr 09 23:00:07 2012] [error] [client 125.***.***.***] File does not exist: /home/www/w00tw00t.at.blackhats.romanian.anti-sec:)
[Mon Apr 09 23:00:07 2012] [error] [client 125.***.***.***] File does not exist: /home/www/w00tw00t.at.blackhats.romanian.anti-sec:)
[Mon Apr 09 23:00:08 2012] [error] [client 125.***.***.***] File does not exist: /home/www/phpMyAdmin
[Mon Apr 09 23:00:08 2012] [error] [client 125.***.***.***] File does not exist: /home/www/phpMyAdmin
[Mon Apr 09 23:00:08 2012] [error] [client 125.***.***.***] File does not exist: /home/www/phpmyadmin
[Mon Apr 09 23:00:08 2012] [error] [client 125.***.***.***] File does not exist: /home/www/phpmyadmin
[Mon Apr 09 23:00:09 2012] [error] [client 125.***.***.***] File does not exist: /home/www/pma
[Mon Apr 09 23:00:09 2012] [error] [client 125.***.***.***] File does not exist: /home/www/pma
[Mon Apr 09 23:00:10 2012] [error] [client 125.***.***.***] File does not exist: /home/www/myadmin
[Mon Apr 09 23:00:10 2012] [error] [client 125.***.***.***] File does not exist: /home/www/myadmin
[Mon Apr 09 23:00:10 2012] [error] [client 125.***.***.***] File does not exist: /home/www/MyAdmin
[Mon Apr 09 23:00:10 2012] [error] [client 125.***.***.***] File does not exist: /home/www/MyAdmin
[Tue Apr 10 08:19:50 2012] [error] [client 85.**.***.*] File does not exist: /home/www/w00tw00t.at.blackhats.romanian.anti-sec:)
[Tue Apr 10 08:19:50 2012] [error] [client 85.**.***.*] File does not exist: /home/www/phpMyAdmin
[Tue Apr 10 08:19:50 2012] [error] [client 85.**.***.*] File does not exist: /home/www/phpmyadmin
[Tue Apr 10 08:19:50 2012] [error] [client 85.**.***.*] File does not exist: /home/www/pma
[Tue Apr 10 08:19:51 2012] [error] [client 85.**.***.*] File does not exist: /home/www/myadmin
[Tue Apr 10 08:19:51 2012] [error] [client 85.**.***.*] File does not exist: /home/www/MyAdmin

 

Troszkę mnie to zaniepokoiło dlatego dzisiaj wgrałem fail2ban na wszelki wypadek aby się upewnić że serwer jest troszkę bardziej bezpieczny.

 

Poza tym znalazłem jeszcze coś ciekawego w logach a mianowicie :

125.***.***.*** - - [09/Apr/2012:23:00:07 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 490 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:07 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 490 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:08 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:08 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:08 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:08 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:09 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 474 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:09 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 474 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:10 +0200] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 478 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:10 +0200] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 478 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:10 +0200] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:10 +0200] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
85.**.***.* - - [10/Apr/2012:08:19:50 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 490 "-" "ZmEu"
85.**.***.* - - [10/Apr/2012:08:19:50 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
85.**.***.* - - [10/Apr/2012:08:19:50 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
85.**.***.* - - [10/Apr/2012:08:19:50 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 474 "-" "ZmEu"
85.**.***.* - - [10/Apr/2012:08:19:51 +0200] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 478 "-" "ZmEu"
85.**.***.* - - [10/Apr/2012:08:19:51 +0200] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"

 

Adresów IP nie będę podawał bo nie wiem czy mogę, ale w każdym bądź razie mam do was pytanie, czy jeśli strona działa na serwerze mysql który jest na całkiem innej maszynie a na tym serwerze mam tylko serwer apache oraz serwer ftp to czy moja maszyna jest zagrożona ??

 

Jeśli chodzi o zabezpieczenia to od dzisiaj działa fail2ban na domyślnej konfiguracji (dzisiaj jeszcze troszkę w nim pogrzebię aby go "ulepszyć" ) oraz iptables który jest skonfigurowany aby blokował wszystko oprócz porótw 80 oraz 21 i 22.

[xorg 693]

Są to zwykłe skany - jakich miliony dziennie. Przy dobrej konfiguracji i bezpiecznych hasłach nie masz się czego obawia.

[murgal 0]

Ktoś ci kosi serwer, zbanuj IP i po kłopocie.

[Biszkopcik 37]

Olej to, zbanowanie jednego IP nic nie da bo będa inne. Pamietam ze kiedys byly do tego jakies regulki.

[NetMat 107]

Olej to, zbanowanie jednego IP nic nie da bo będa inne. Pamietam ze kiedys byly do tego jakies regulki.

 

Dokładnie... teraz wszystko siedzi na dynamicznych adresach IP, wystarczy głupie zrestartowanie routera i przydzielony jest kolejny adres...

 

Jeśli sobie przypomnisz te regułki to bardzo bym prosił jakiś link na pw.

 

Pozdrawiam

Mateusz

[regdos 1848]

Google nie gryzie i jego używanie też nie boli - https://www.google.pl/search?q=fail2ban+w00tw00t i pierwszy link.