Автор Тема: Пробив в сигурността на уеб сървър  (Прочетена 3216 пъти)

mishot

  • Напреднали
  • *****
  • Публикации: 191
  • Distribution: Fedora 16
  • Window Manager: Gnome-Shell
    • Профил
Re: Пробив в сигурността на уеб сървър
« Отговор #30 -: Sep 10, 2012, 09:23 »
това видях засега в лога:
Sep  4 04:39:45 webserver proftpd[21621]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:47 webserver proftpd[21622]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:48 webserver proftpd[21623]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:50 webserver proftpd[21624]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:52 webserver proftpd[21625]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abraham: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:49 webserver proftpd[23156]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:51 webserver proftpd[23157]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:53 webserver proftpd[23158]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:55 webserver proftpd[23159]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]

това е част от лога, започват от A-Z(всякакви комбинации)

Имаш ли инсталиран фаил2бан ?

Има fail2ban
Засега сървъра работи коректно и кода не е добавян.

Може ли някой да ми каже как да претърся директорията на уебсървъра(/vaw/www/html) за файлове БЕЗ разширение?
Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: Пробив в сигурността на уеб сървър
« Отговор #31 -: Sep 10, 2012, 09:53 »
Може ли някой да ми каже как да претърся директорията на уебсървъра(/vaw/www/html) за файлове БЕЗ разширение?
Като се има предвид, че разширението на файла не е нищо повече от разделена с точка малка част от името на файла в края, е много относителна разликата между файлове с "разширение" и файлове, в името на които се съдържа точка. Надявам се търсене на файлове, в името на които не се съдържа точка, да ти е достатъчно. Ето един вариант за такова търсене
Цитат
find /var/www/html/ |grep -v '\.'
Изписването на пълен път до началната папка при този вариант е задължително, тъй като иначе всички файлове биха били изключени от резултата, дори и да не съдържат точка, заради относителния път, който ще се изпише в началото на пътя.

П.П.: Я по-добре с ей такова търсене, че да не изключваш търсене в скрити папки (такива, имената на които започват с точка), а и да махнеш папките от резултата (т.е., да излезе списък само от файлове)
Цитат
find /var/www/html/ -type f -not -name '*.*'
Тук вече ти е позволено да ползваш и относителни пътища, ако искаш.
« Последна редакция: Sep 10, 2012, 10:24 от neter »
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

mishot

  • Напреднали
  • *****
  • Публикации: 191
  • Distribution: Fedora 16
  • Window Manager: Gnome-Shell
    • Профил
Re: Пробив в сигурността на уеб сървър
« Отговор #32 -: Sep 10, 2012, 11:12 »
Открих този скрипт, който сканира за потенциален код на webshell(май рови кода за Exploit-и )
Слагам го за всеки, който може да има моя проблем:
« Последна редакция: Sep 10, 2012, 11:18 от mishot »
Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: Пробив в сигурността на уеб сървър
« Отговор #33 -: Sep 10, 2012, 11:45 »
май рови кода за Exploit-и
По-точно, проверява файловете дали съдържат някой от описаните в sploitpattern стрингове. Описаните текущо в скрипта са имената на някои по-известни webshell-ове и някои по-често срещани думички в тях. Със същия успех и сам можеш да пуснеш търсене за тези думички (най-често кракерите не променят нищо, а в останалите случаи най-често почти нищо в webshell-овете, които ползват), но е хубаво, че някой си е поиграл да вкара действието в скрипт. Все пак не се осланяй само на него - той може да послужи само за начална проверка.
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

mishot

  • Напреднали
  • *****
  • Публикации: 191
  • Distribution: Fedora 16
  • Window Manager: Gnome-Shell
    • Профил
Re: Пробив в сигурността на уеб сървър
« Отговор #34 -: Sep 10, 2012, 15:29 »

П.П.: Я по-добре с ей такова търсене, че да не изключваш търсене в скрити папки (такива, имената на които започват с точка), а и да махнеш папките от резултата (т.е., да излезе списък само от файлове)
Цитат
find /var/www/html/ -type f -not -name '*.*'
Тук вече ти е позволено да ползваш и относителни пътища, ако искаш.

Това ми свърши перфектна работа!
Хиляди благодарности!
Активен