Host sotto attacco
Luca Giuzzi
giuzzi a dmf.unicatt.it
Mer 26 Dic 2001 22:26:52 UTC
On Sun, Dec 23, 2001 at 12:47:33PM +0100, Luca Coianiz wrote:
> Ciao a tutti,
>
> Do un'occhiata all'interno delle mail (sempre via Web) e scopro che un
> "qualcuno" stava tentando d'inviare, due/tre volte al minuto tramite uno
> script del mio server (FormMail.pl), mail di spam, con destinatario "di
> fantasia", al domain aol.com... il quale rispondeva giustamente "user
> unknown" (v. i log in attach).
>
A che serve questo script?
Non che io abbia simpatia per gli utenti di AOL, intendiamoci, ma
resta comunque una cosa spiacevole. Non puoi riscrivere il programma/
disattivarlo?
> Comincio allora a dare un'occhiata ai log del server e risulta che,
> dall'inizio del mese (ma probabilmente solo perchè erano stati cancellati in
> quell'occasione), un altro paio di attackers tentavano di far eseguire sulla
> mia macchina vari comandi "di Win/NT".
>
Ok... questi sono i soliti attacchi automatici di redcode o qualchecosa
di piu'... ne ricevo una cinquantina al giorno pure io e, se sono
veramente seccato provvedo a bloccare il dominio tramite iptables.
Ovviamente nel tuo caso dovresti ricorrere ad ipf(4) oppure a pf(4)
[a seconda della versione di BSD installata], ma la cosa e' fattibile
da semplice script perl.
>
> Passando alle contromisure ho:
>
> (A) tentato, senza troppo successo, di aggiornare FormMail alla v1.9
> (purtroppo c'è qualcosa che non va: usandolo nel modo corretto, credo,
> ricevo un Error 500... vabbè),
error 500? sicuro non sia un problema con i tcpwrappers...
> (B) attivato una restrizione (tramite .htaccess) sulla cgi-bin del server:
> in questo caso l'attacker che usa formmail riceve un Error 401 e la mail ad
> aol.com non viene spedita (mi rimane il dubbio che Apache non riceva qualche
> errore e, per questo, dia il 500).
buono, ma perche' non togli lo script allora??
> (C) aperto una Customer Support c/o il mio Host Provider per vedere se si
> poteva fare qualcosa sia per bloccare gli attacker che per FormMail (nessuna
> risposta per ora).
Domanda:
che livello di gestione hai sulla macchina? se puoi controllare pf sei
a posto... se sei responsabile per FromMail, immagino tu possa anche
toglierlo...
> (D) inviato mail agli indirizzi "abuse" e "security" dei domain di
> provenienza dei crackers.
>
Buona cosa... security c'entra poco... abuse non e' detto che ti
risponda...
> La mia domanda era questa: dato che conosco perfettamente gli indirizzi
> (virtuale ed IP) dei nodi degli attackers (v. attach), non c'è
> qualche altra contromisura che posso attuare da qui ?..
bloccare gli ip a livello di packet filter...
> non so... tipo un
> "contrattacco"... un blocco delle loro porte... un DoS su di loro...
> mandargli un virus... boh.
>
Questa e' una reazione ragionevole, condivisibile, auspicabile ma
pericolosa per te... legalmente un DoS e' un DoS, non importa il motivo
per cui e' stato fatto... in piu' non e' detto che l'host da cui
si collegano sia necessariamente quello da cui chi ti sta attaccando
e' partito... io ci penserei bene prima di prendere questo
provvedimento (anche se ho valutato piu' volte la possibilita' di
formattare il disco di quelle persone che cercano di infettare col
nimda il MIO server linux... la cosa e' facile, semplice e si
riduce ad una riga di perl, ma... )
> Alla fine sono comunque attacchi di tipo DoS: mi hanno prodotto diversi MB
> di log. Adesso ho settato l'auto-cencellazione "every day" (prima era "every
> month") ma produce lo stesso c.ca 2MB di access_log al giorno (nota: io ho
> 100MB di Quota e solo 32 liberi). Oltre a tutto, almeno finchè non riesco a
> settare FormMail correttamente (farò qualche prova in locale), sono
> costretto a bloccare l'uso dei form nelle mie pagine. :-(
>
> Riporto (in attach) un estratto dei log del server.
>
> Vabbè... scusate la solita "mailona"... che ne pensate ?
>
> Bye
> Sky
>
[esempio dei files di log cancellato]
Il profilo di attacco descritto e' esattamente quello dei vari
worms per nt... le macchine che ti attaccano sono pure loro
compromesse... i miserini manco sanno che cosa sta succedendo sui
loro computers [e, vedo, che alcune sono su adsl... ahi ahi ahi...]
Ciao,
lg
Maggiori informazioni sulla lista
Lug
|
