Security Professionals - ipfw add deny all from eindgebruikers to any

3535 HTTP aanvallen

16-01-2012, 07:40 door Anoniem, 9 reacties
Een tijd geleden registreerde de web server log een aanval met maar liefst 3535 GET's. Het begint met
GET /pics/main.php?cmd=setquality&var1=1%27.passthru%28%27id%27%29.%27; HTTP/1.1
en het eindigt met:
GET /phpopenchat/contrib/yabbse/poc.php?sourcedir=/.xpl/asc?&cmd=uname -a;w;id;pwd;ps../../../../../../../proc/self/environ%00

Enig idee welke tool dit doet?
Reacties (9)
16-01-2012, 09:36 door Anoniem
Dit is zeer waarschijnlijk een botje die hele IP ranges van het internet scanned op standaard lekken. Toevallig was jij aan de beurt. Deze lekken zijn vaak bekende lekken en kan je op verschillende websites terug vinden. Vaak wordt hier een script van gemaakt met alle exploits van bijvoorbeeld een heel jaar/maand/week. Dit Zodat de hackers (scriptkiddies) geen moeite hoeven te doen om een vatbare server te vinden.

Niks om je druk over te maken, zolang de web applicatie die je host maar up-to-date is.
16-01-2012, 09:58 door 0xDC
Hi,

Het lijkt er op als of je gebruikt maakt van phpAlbum, hier zit een remote command execution in, zie de volgende link:

http://blog.spiderlabs.com/2011/12/honeypot-alert-phpalbum-php-code-execution-attacks.html

Vermoedelijk proberen ze (of hebben ze) een poc.php script kunnen uploaden, die in de laatste regel wordt uitgevoerd. Probeer de poc.php op de webserver te vinden en bekijk wat het doet. Je zou de inhoud hier ook wellicht kunnen plaatsen zodat we precies kunnen zien wat het doet.

Gr, 0xDC
16-01-2012, 10:29 door Anoniem
Typisch een brute force HTTP scanner a la Nikto of Burp Suite. Gewoon zorgen dat je CMS en scripts up-to-date zijn, dan loop je niet heel veel gevaar.
16-01-2012, 11:49 door Anoniem
En met fail2ban geinstalleerd kan je ze ook nog eens heel makkelijk automatisch blokkeren.
16-01-2012, 13:47 door Anoniem
"Niks om je druk over te maken, zolang de web applicatie die je host maar up-to-date is."

Ooit gehoord van 0day vulnerabilities ? Een up-to-date applicatie kan wel degelijk kwetsbaar zijn, het vermindert enkel het risico.
16-01-2012, 13:48 door [Account Verwijderd]
[Verwijderd]
16-01-2012, 14:56 door SjaakieSjoc
Door Anoniem: "Niks om je druk over te maken, zolang de web applicatie die je host maar up-to-date is."

Ooit gehoord van 0day vulnerabilities ? Een up-to-date applicatie kan wel degelijk kwetsbaar zijn, het vermindert enkel het risico.

Tuurlijk 0Day vulnerabilities.. Als jij je daar ook tegen zou willen beschermen zou je Fail2Ban kunnen installeren wat anoniem ook al zegt @ 11:49. Met diverse custom regular expressions is het mogelijk om dat soort scripts te blokkeren.

Let wel! ook dat is geen oplossing voor 0Day vulnerabilities maar je doet in ieder geval je best!
16-01-2012, 15:25 door SirDice
Door Anoniem: Typisch een brute force HTTP scanner a la Nikto of Burp Suite.
Zo'n vermoeden heb ik ook. Nikto of Nessus (dat zijn wel de populairste).
16-01-2012, 19:36 door Anoniem
(ik ben de TS)
Het is 1 aanval vanaf 1 IP. Ik maak me geen zorgen over de aanval op zich - de server is goed beschermd, mijn vraag is welke hack/security tool zoveel GET's stuurt. Dat het een tool/script is weet ik al, maar welke precies?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.