PDA

Visualizza la versione completa : Attacco su server


magnus
21-12-2009, 14:57
Ciao ragazzi,
ho un piccolo server dedicato e mi hanno segnalato questo:



Citazione
Dear XXXXX Abuse Department:

I am writing to notify you that a computer on your network, identified through the RIPE web site and other WHOIS sources, may have been compromised and used in an attempt to exploit my Formmail script to send spam through my server.

Our script is set up to report the source IP address in the output e-mail each time the form is filled out. The output e-mail is forwarded below, and the remote address record shows that the attack originated from IP address [XX.XX.XX.XXX].

Relevant excerpts from our access log:

XX.XX.XX.XX - - [16/Dec/2009:21:38:18 -0500] "GET /Oform.html HTTP/1.1" 200 9480 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
XX.XX.XX.XX - - [16/Dec/2009:21:38:19 -0500] "POST /formmail.php HTTP/1.1" 302 - "http://www.nanoprobes.com/Oform.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
XX.XX.XX.XX - - [16/Dec/2009:21:38:23 -0500] "GET /Othanks.html HTTP/1.1" 200 2286 "http://www.nanoprobes.com/Oform.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Our script output notification message is pasted below, showing the IP address from which the abuse occurred in the REMOTE_ADDR line.

This type of attack is frequently made using an unsecured, compromised proxy server. Please make sure that this machine - and any similar servers in your network - are secured, and take steps to prevent any further abuse. If this attack is the result of a virus, worm or trojan, or an exploit carried out without the user's knowledge, we request that you take action to make sure they have full and current anti-virus software, security protections and system patches in place to protect against these threats. If you find they are deliberately sending spam or conducting script abuse, please remove them from your servers.

Thank you for your consideration,

XXXXXXXXXXXX
Web Site Administrator


Come potrei bloccare o comunque verificare questa cosa?

Mutato
21-12-2009, 15:41
Cerca nei log di apache formmail.php

Leggi qua, magari ti e` utile
http://www.openclose.it/post:poche_maledette_righe_di_php.do

magnus
21-12-2009, 17:10
Nell'error.log di apache ci sono linee sospette...

...
[Mon Dec 14 08:21:25 2009] [error] [client 89.149.254.73] proxy: DNS lookup failure for: aabbo.com returned by http://aabbo.com/bbs/formmail_form.php
[Wed Dec 16 17:58:14 2009] [error] [client 89.149.254.73] proxy: Error reading from remote server returned by http://www.artnice.com.hk/formmail_contact.php, referer: http://www.artnice.com.hk/contact.php
[Thu Dec 17 12:03:30 2009] [error] [client 89.149.254.73] (70007)The timeout specified has expired: proxy: error reading status line from remote server ssrental.co.kr, referer: http://ssrental.co.kr/acecart/bin/formmailshow.cgi?f_na=ss2
[Thu Dec 17 12:03:30 2009] [error] [client 89.149.254.73] proxy: Error reading from remote server returned by http://ssrental.co.kr/acecart/bin/formmailshow.cgi, referer: http://ssrental.co.kr/acecart/bin/formmailshow.cgi?f_na=ss2
...

Ma ho una domanda: apache era già stoppato in quella data, come sono potute partire quelle richieste? :dottò:

Come fare a bloccare ulteriori richieste?

Marcolino's
21-12-2009, 17:11
E se puoi non usare formail ma le funzioni native del php o di una altro linguaggio.
Attualmente formamail è uno dei software più usati per inviare spam dati gli exploit che si trovano in giro per la rete.

Marcolino's
21-12-2009, 17:12
Cioè il tuo server è fermo dal 14 dicembre?

magnus
21-12-2009, 17:25
No, ho tomcat installato ed ho stoppato apache.

Come elimino formmail?

Mutato
21-12-2009, 18:03
Qualcosa mi sfugge. Una cosa e` se ti fanno una richiesta. Una cosa e` se il tuo server la soddisfa.

Tu hai formmail_form.php sul tuo server? (locate formmail_form.php) E se si` e` raggiungibile dall'esterno?

Perche` a me pare che quelle siano delle richieste a cui il suo server ha risposto picche.
:master:

Marcolino's
21-12-2009, 18:27
Originariamente inviato da magnus
Nell'error.log di apache ci sono linee sospette...

...
[Mon Dec 14 08:21:25 2009] [error] [client 89.149.254.73] proxy: DNS lookup failure for: aabbo.com returned by http://aabbo.com/bbs/formmail_form.php
[Wed Dec 16 17:58:14 2009] [error] [client 89.149.254.73] proxy: Error reading from remote server returned by http://www.artnice.com.hk/formmail_contact.php, referer: http://www.artnice.com.hk/contact.php
[Thu Dec 17 12:03:30 2009] [error] [client 89.149.254.73] (70007)The timeout specified has expired: proxy: error reading status line from remote server ssrental.co.kr, referer: http://ssrental.co.kr/acecart/bin/formmailshow.cgi?f_na=ss2
[Thu Dec 17 12:03:30 2009] [error] [client 89.149.254.73] proxy: Error reading from remote server returned by http://ssrental.co.kr/acecart/bin/formmailshow.cgi, referer: http://ssrental.co.kr/acecart/bin/formmailshow.cgi?f_na=ss2
...

Ma ho una domanda: apache era già stoppato in quella data, come sono potute partire quelle richieste? :dottò:

Come fare a bloccare ulteriori richieste?
La prima non trova i dns per aabbo.com
la seconda dice chiaramente che non riesce a leggere artnice.com.hk
La terza ha un errore di time out
La quarta è come la seconda.
Anche a me pare che non riesca a leggere le richieste.
Non è che quelle pagine linkino il tuo formail?
Artnice no, nel form ha solo un riferimento locale a formmail_contact.php

pilovis
21-12-2009, 19:42
Il problema non sembra il formmail sul tuo server, ma il formmail su quello che viene attaccato dal tuo server, praticamente usano il tuo server per lanciare richieste verso il formmail del loro sito.

Quindi qualcuno sta usando il tuo server come ponte, probabilmente ti hanno bucato il server e lo stanno usando per attaccare altri servers, tra cui c'e' quello che ti ha segnalato la cosa.

pilovis
21-12-2009, 19:47
Basta leggere i logs: :madai!?:

[Mon Dec 14 08:21:25 2009] [error] [client 89.149.254.73] proxy: DNS lookup failure for: aabbo.com returned by http://aabbo.com/bbs/formmail_form.php
[Wed Dec 16 17:58:14 2009] [error] [client 89.149.254.73] proxy: Error reading from remote server returned by http://www.artnice.com.hk/formmail_contact.php, referer: http://www.artnice.com.hk/contact.php
[Thu Dec 17 12:03:30 2009] [error] [client 89.149.254.73] (70007)The timeout specified has expired: proxy: error reading status line from remote server ssrental.co.kr, referer: http://ssrental.co.kr/acecart/bin/f...ow.cgi?f_na=ss2
[Thu Dec 17 12:03:30 2009] [error] [client 89.149.254.73] proxy: Error reading from remote server returned by http://ssrental.co.kr/acecart/bin/formmailshow.cgi, referer: http://ssrental.co.kr/acecart/bin/f...ow.cgi?f_na=ss2

questi sono tre servers (aabbo.com - artnice.com.hk - ssrental.co.kr) che il tuo server sta cercando di contattare per mandare probabile SPAM.
Chissa' quanti altri sono andati a buon fine.

Attivati prima di finire nelle liste RBL e trovarti con l'IP bloccato.

Loading