Host sotto attacco
Luca Coianiz
luca.coianiz a lugbs.linux.it
Dom 23 Dic 2001 11:47:33 UTC
Ciao a tutti,
Ieri mi sono accorto che due o tre "crackers" stanno tentando, per la
verità da un pò, di scassare il mio server virtuale (digitalbrixia.com).
Purtroppo NON ho il server in casa (è dalle parti di Seattle) per cui posso
lavorarci, a livello OS, con un pò di difficoltà e non ho tutto quel
controllo che potrei avere qui (i comandi (ls, cp, ecc.) li posso eseguire
ma non tutti: ad es. df non mi è permesso).
Ad ogni modo la macchina gira in FreeBSD e non mi ha ancora dato reali
problemi: il sito è sù.
Un minimo (spero) di history)
Ieri vado a controllare, via Web, la mail da scaricare dal server (lo
faccio, ogni tanto, per evitare di tirar giù virus e robaccia gigantesca in
attach) e mi ritrovo con 300 mail (!!!) con subj "User unknown" da
scaricare... ovviamente mi si accende la classica lampadina (non ancora il
faro rosso lampeggiante): "vuoi vedere che qualcuno dei miei clienti tenta
d'inviare una mail ad un utente sconosciuto ed io, come postmaster, mi becco
gli errori ?" (m'è capitato di recente di ricevere posta per mailbox
overflow).
Do un'occhiata all'interno delle mail (sempre via Web) e scopro che un
"qualcuno" stava tentando d'inviare, due/tre volte al minuto tramite uno
script del mio server (FormMail.pl), mail di spam, con destinatario "di
fantasia", al domain aol.com... il quale rispondeva giustamente "user
unknown" (v. i log in attach).
Comincio allora a dare un'occhiata ai log del server e risulta che,
dall'inizio del mese (ma probabilmente solo perchè erano stati cancellati in
quell'occasione), un altro paio di attackers tentavano di far eseguire sulla
mia macchina vari comandi "di Win/NT".
Passando alle contromisure ho:
(A) tentato, senza troppo successo, di aggiornare FormMail alla v1.9
(purtroppo c'è qualcosa che non va: usandolo nel modo corretto, credo,
ricevo un Error 500... vabbè),
(B) attivato una restrizione (tramite .htaccess) sulla cgi-bin del server:
in questo caso l'attacker che usa formmail riceve un Error 401 e la mail ad
aol.com non viene spedita (mi rimane il dubbio che Apache non riceva qualche
errore e, per questo, dia il 500).
(C) aperto una Customer Support c/o il mio Host Provider per vedere se si
poteva fare qualcosa sia per bloccare gli attacker che per FormMail (nessuna
risposta per ora).
(D) inviato mail agli indirizzi "abuse" e "security" dei domain di
provenienza dei crackers.
La mia domanda era questa: dato che conosco perfettamente gli indirizzi
(virtuale ed IP) dei nodi degli attackers (v. attach), non c'è
qualche altra contromisura che posso attuare da qui ?.. non so... tipo un
"contrattacco"... un blocco delle loro porte... un DoS su di loro...
mandargli un virus... boh.
Alla fine sono comunque attacchi di tipo DoS: mi hanno prodotto diversi MB
di log. Adesso ho settato l'auto-cencellazione "every day" (prima era "every
month") ma produce lo stesso c.ca 2MB di access_log al giorno (nota: io ho
100MB di Quota e solo 32 liberi). Oltre a tutto, almeno finchè non riesco a
settare FormMail correttamente (farò qualche prova in locale), sono
costretto a bloccare l'uso dei form nelle mie pagine. :-(
Riporto (in attach) un estratto dei log del server.
Vabbè... scusate la solita "mailona"... che ne pensate ?
Bye
Sky
-------------- parte successiva --------------
È stato filtrato un testo allegato il cui set di caratteri non era
indicato...
Nome: logs_extract.txt
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20011223/4782dfb6/attachment.txt>
-------------- parte successiva --------------
È stato filtrato un testo allegato il cui set di caratteri non era
indicato...
Nome: addresses.txt
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20011223/4782dfb6/attachment-0001.txt>
Maggiori informazioni sulla lista
Lug
|
