• Ismertető
  • Hírek
  • Letöltés
  • Súgó
  • Közösség
ubuntu.hu

Belépés

  • Felhasználó létrehozása
  • Elfelejtett jelszó

Facebook

Kapcsolat

  • Facebook oldal
  • IRC
  • Közösségi levlista
  • Segítői levlista
  • További elérhetőségek

FHScan a webkiszolgálóm ellen

2012. április 14. – 11.38 – szkajt
  • Kiszolgálók

Üdv Minden Kedves Fórumtársnak!

Pár napja játszogattam és készítettem egy kis webkiszolgálót saját célra itthonra és amint nézegettem a logokat, feltűntek ezek az idegen IP címek és tevékenységek:

Egyik:

*:443 216.221.114.206 - - [10/Apr/2012:05:30:26 +0200] "GET / HTTP/1.1" 200 2347 "-" "Mozilla/5.0 (FHScan Core 1.1)"
*:443 216.221.114.206 - - [10/Apr/2012:05:30:28 +0200] "GET http://www.fbi.gov/ HTTP/1.1" 200 564 "-" "-"
*:443 216.221.114.206 - - [10/Apr/2012:05:30:30 +0200] "CONNECT www.fbi.gov:80 HTTP/1.0" 405 548 "-" "-"
*:443 216.221.114.206 - - [10/Apr/2012:05:30:34 +0200] "GET /FastHTTPAuthScanner200test/ HTTP/1.1" 404 2283 "-" "Mozilla/5.0 (FHScan Core 1.1)"
*:443 216.221.114.206 - - [10/Apr/2012:05:30:36 +0200] "GET /admin/ HTTP/1.1" 404 548 "-" "Mozilla/5.0 (FHScan Core 1.1)"
*:443 216.221.114.206 - - [10/Apr/2012:05:30:39 +0200] "GET /vtigercrm/modules/com_vtiger_workflow/sortfieldsjson.php?module_name=../../../../../../../..//etc/asterisk/sip_additional.conf%00 [^] HTTP/1.1" 404 580 "-" "Mozilla/5.0 (FHScan Core 1.1)"
[Tue Apr 10 05:30:34 2012] [error] [client 216.221.114.206] File does not exist: /var/www/FastHTTPAuthScanner200test
[Tue Apr 10 05:30:36 2012] [error] [client 216.221.114.206] File does not exist: /var/www/admin
[Tue Apr 10 05:30:39 2012] [error] [client 216.221.114.206] File does not exist: /var/www/vtigercrm


Másik:

*:443 195.131.147.27 - - [13/Apr/2012:05:30:48 +0200] "GET /vtigercrm/modules/com_vtiger_workflow/sortfieldsjson.php?module_name=../../../../../../../..//etc/amportal.conf%00 HTTP/1.1" 404 2039 "-" "-"
[Fri Apr 13 05:30:48 2012] [error] [client 195.131.147.27] File does not exist: /var/www/vtigercrm

Ha jól értelmezem akkor április 10-én és 13-án ugyanabban az időben valami szkript (azonos időpontból kiindulva) megpróbált elérni a kiszolgálómon egy vtiger nevű crm rendszert.
Az előbbi még egy FastHTTPAuthScanner / FHScan-t is lefuttatott hogy sebezhetőséget keressen.
Ha bármit is számít, az első IP cím amerikai a második orosz.
Érdekes továbbá hogy mit keres az az FBI-os url ott?! (Ha nem jelentkezem többet akkor legalább tudjátok hol vagyok..) :D

Miért pont ezt a vtiger-t keresik és milyen sebezhetőségeket találhatnak azzal a scannerrel?
Mekkora jelentőséget kell ennek tulajdonítani?
Van valakinek tapasztalata már ilyennel kapcsolatban?

‹ Apache, 403, problémák... FHScan a webkiszolgálóm ellen ›
  • A hozzászóláshoz regisztráció és belépés szükséges
szkajt – 2012. április 14. 11.45

Egyik kérdésre válaszolok magamnak :)
http://www.xaker.name/forvb/archive/index.php/t-10949.html

  • A hozzászóláshoz regisztráció és belépés szükséges

 

Luth3r – 2012. április 14. 11.53

Hogy milyen sebezhetőséget találnak azt neked kell tudni.

A VtigerCRM a SugarCRM egyik ága.
http://www.sugarcrm.com/
http://www.vtiger.com/crm/

Itt a válasz arra, hogy mi akar ez lenni:
http://www.minicrm.hu/?gclid=COf105mWtK8CFcNF3wod4Rybhg#utm_source=adwor...

Hogy miért találtak meg pont téged? X

  • A hozzászóláshoz regisztráció és belépés szükséges

“If there were no hell, we would be like the animals. No hell, no dignity.”

szkajt – 2012. április 14. 12.09 – előzmény

Köszi a linkeket!
Azt én is megnéztem hogy mi ez a CRM, csak furcsának találtam hogy látszólag a világ két ellenkező végéből is ugyanazt keresik. Éppen ezért csak találgatni tudok, hogy lehet azért pont ezt pécézték ki, mert ebben találtak most valami kiskaput amit kihasználva betörhetnek könnyen egy webszerverre?
Ha így van, akkor aki ilyet használ az figyeljen oda :)

  • A hozzászóláshoz regisztráció és belépés szükséges

 

hehenrik – 2012. április 14. 13.00

"mit keres az az FBI-os url ott?!" a helyedben nevet változtatnák és elrejtőznék.

  • A hozzászóláshoz regisztráció és belépés szükséges

Dropbox regisztráció: http://db.tt/HeuqIqe || Matematikát, metafizikát csak annyit, hogy gyomornak meg ne ártson. Shakespeare

felhasznalo1 – 2012. június 13. 0.45

Sziasztok

Nekem is volt hasonlo //FastHTTPAuthScanne// a logok kozt ma.
Par szoban elmondanatok, hogy ez most komoly problema vagy, nem veszes?

//Érdekes továbbá hogy mit keres az az FBI-os url ott?!//
Sikerult kideriteni mit jelentett nalad ? Valos volt az az url vagy nem?

Valaszokat elore is koszonom.

  • A hozzászóláshoz regisztráció és belépés szükséges

 

szkajt – 2012. június 13. 14.45 – előzmény

Dejó, legalább nem leszek egyedül magyar Guantanamoban! :)

Amúgy az incidens után hozzácsaptam egy mod_security-t az indiánhoz, azóta nincs ilyen.

  • A hozzászóláshoz regisztráció és belépés szükséges

 

felhasznalo1 – 2012. június 13. 17.24 – előzmény

MIt csinal a "mod_security" ?
De tenyleg mit gondolsz tenyleg az URL ben szereplo oldalrol kerestek meg ?
Vagy csak valami trukkozes?

  • A hozzászóláshoz regisztráció és belépés szükséges

 

teferenc – 2012. június 13. 19.40 – előzmény

http://www.modsecurity.org/

  • A hozzászóláshoz regisztráció és belépés szükséges

FreeBSD 9.1 64bitCPU: AMD Athlon2 x2 P360 VGA:HD 6470M(512MB) RAM: 4GB DDR3

teferenc – 2012. június 13. 6.06

érdemes sűrűn ránézni: http://exploit-db.com/
tesztelésre meg érdemes ezt használni: http://backtrack-linux.org/

  • A hozzászóláshoz regisztráció és belépés szükséges

FreeBSD 9.1 64bitCPU: AMD Athlon2 x2 P360 VGA:HD 6470M(512MB) RAM: 4GB DDR3

Hozzászólás-megjelenítési lehetőségek

A választott hozzászólás-megjelenítési mód a „Beállítás” gombbal rögzíthető.
© 2007–2020. Magyar Ubuntu Közösség.
Az Ubuntu a Canonical bejegyzett védjegye.
Az ubuntu.hu az fsf.hu kiszolgálóin fut.