Neregistrovaný Přihlásit Registrovat

Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Pokusy o hackování mého webu - kam hlásit, jak ještě znepřijemnit pachatelům život?

Mám na síti počítač, na něm mi běží pár různých webů.
Každou chvíli se mi je někdo pokoučí hacknout a mě už to nebaví.
Zatím jsem těmhle pokusníkům blokoval IP, ale ty stovky položek v iptables pořád rostou.
Zkoušel jsem některé dohledat přez whois je.ho.ip.addr ale abuse emaily mají zahlcené schránky a do nějaké číny nebo jiného ruska se mi trakat nechce, abych si to vyříkal s majitelem firmy, pokud se vůbec na údajné adrese nějaký vyskytuje.

Dá se to hlásit ještě někam, nebo není šance?

Příklad

410 # 185.7.214.104 - - [2022-06-16 08:23:29] "GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1" 410 360 #  "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36" "mo.je.ip.addr"

(a samozřejmě, že na

http://mo.je.ip.addr

nic neběží, protože mi to běží na např. http://micro-corner.gilhad.cz/ nebo na http://drby-dne.gilhad.cz/ nebo něčem takovém )

Předmět Autor Datum
Vsetko co ma verejnu ip je vystavene dennodenne utokom. Samozrejme sa to nikam nehlasi, navyse utoci…
fleg 16.06.2022 09:34
 fleg
Tak to já se do nich koukám odjakživa a co vidím, automatizuju. Takže z daného IP se o něco podobnéh…
gilhad 16.06.2022 09:50
 gilhad
Nemáš šanci něco skutečnému útočníkovi způsobit.
Wikan 16.06.2022 09:53
 Wikan
Ale mám (aspoň občas) šanci donutit někoho odvirovat počítač. Nebo mu poslat ping-of-death (fakt je,…
gilhad 16.06.2022 09:56
 gilhad
Což ti ale nijak nepomůže a útoky budou přicházet dál ve stejné míře.
Wikan 16.06.2022 10:13
 Wikan
Ahoj jak zobrazím ve svém pc výpis těchto logů?
eps444 16.06.2022 10:39
 eps444
To je vypis z logov weboveho severa.
fleg 16.06.2022 10:48
 fleg
Já to dělám takto cat /var/log/apache2/00-catch_all_other_80-access_log přičemž zápis do toho sou… poslední
gilhad 16.06.2022 11:24
 gilhad
Rejectom zbytocne zatazujes svoj stroj, pretoze utocnikovi odpovedas a umoznujes mu tak zahltit tvoj…
fleg 16.06.2022 10:47
 fleg

Vsetko co ma verejnu ip je vystavene dennodenne utokom.
Samozrejme sa to nikam nehlasi, navyse utocia aj tak len hacknute servre, ci nejaka zombie siet, takze skutocneho pachatela sa nedopatras.
Chranit sa mas sam.
Ja sa radsej do logov ani nepozeram;o).
Inak z mojich skusenosti uz do 1min po pripojeni na net sa stanes cielom prveho pokusu o prihlasenie zvonku.

Len pre ukazku, tu je kratky log z utokov na OpenVPn server poradne.

jun/12 08:33:53 ovpn,debug,error,53248,27460,27460,debug,l2tp,18640,warning,55552,
63184,18688,0,firewall,137,64960,9248,debug unknown msg!
jun/12 08:33:53 ovpn,info TCP connection established from 162.142.125.212
jun/12 08:33:53 ovpn,info TCP connection established from 162.142.125.212
jun/12 12:58:33 ovpn,info TCP connection established from 170.106.115.39
jun/12 16:57:07 ovpn,info TCP connection established from 192.241.199.246
jun/12 21:33:13 ovpn,info TCP connection established from 223.71.167.165
jun/13 00:43:07 ovpn,info TCP connection established from 167.94.145.60
jun/13 00:43:07 ovpn,debug,error,53248,27460,27460,debug,l2tp,18640,warning,55552,
63184,18688,0,firewall,137,64960,9248,debug unknown msg!
jun/13 00:43:07 ovpn,info TCP connection established from 167.94.145.60
jun/13 00:43:07 ovpn,info TCP connection established from 167.94.145.60
jun/13 15:05:16 ovpn,info TCP connection established from 23.225.163.215
jun/13 15:05:16 ovpn,info TCP connection established from 23.225.163.215
jun/14 01:49:03 ovpn,info TCP connection established from 167.248.133.45
jun/14 01:49:03 ovpn,debug,error,53248,27460,27460,debug,l2tp,18640,warning,55552,
63184,18688,0,firewall,137,64960,9248,debug unknown msg!
jun/14 01:49:03 ovpn,info TCP connection established from 167.248.133.45
jun/14 01:49:04 ovpn,info TCP connection established from 167.248.133.45
jun/14 01:50:06 ovpn,info TCP connection established from 167.94.138.60
jun/14 01:50:06 ovpn,debug,error,53248,27460,27460,debug,l2tp,18640,warning,55552,
63184,18688,0,firewall,137,64960,9248,debug unknown msg!
jun/14 01:50:06 ovpn,info TCP connection established from 167.94.138.60
jun/14 01:50:06 ovpn,info TCP connection established from 167.94.138.60
jun/14 07:10:22 ovpn,info TCP connection established from 128.199.64.47
jun/14 19:37:46 ovpn,info TCP connection established from 192.241.208.153
jun/14 20:59:04 ovpn,info TCP connection established from 64.227.99.233
jun/14 22:46:16 ovpn,info TCP connection established from 183.136.225.9
jun/15 08:33:32 ovpn,info TCP connection established from 167.94.146.59
jun/15 08:33:32 ovpn,debug,error,53248,27460,27460,debug,l2tp,18640,warning,55552

pripadne bruteforce na web.

jun/04 04:07:32 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 04:31:20 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 04:31:29 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 04:31:29 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 04:55:41 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 04:55:50 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 04:55:50 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 05:19:30 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 05:19:39 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 05:19:39 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 05:44:00 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 05:44:09 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 05:44:09 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 05:59:07 ovpn,info TCP connection established from 192.241.213.101
jun/04 06:08:00 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 06:08:09 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 06:08:09 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 06:32:14 system,error,critical login failure for user admin from 194.127.16
7.100 via web
jun/04 06:32:23 system,error,critical login failure for user admin from 194.127.16

Tak to já se do nich koukám odjakživa a co vidím, automatizuju.
Takže z daného IP se o něco podobného pokusí jen jednou a nezíská nic než

iptables -A f2b-apache-all_other -s 185.7.214.104/32 -j REJECT --reject-with icmp-port-unreachable

Jenže to nic moc neřeší. prostě to bude zkoušet všude možně jinde dál.
Takže bych radši mu taky způsobil nějakou nepřijemnost, aby si buď ten blbinec odviroval, nebo aby se mu zvedly náklady na spamování, nebo tak něco.

Jinak jseš na ně moc měkký, já je zaříznu už při prvním pokusu (s tím, že samozřejmě mám vlastní pevnou IP jako vyjímku a samozřejmě mám logování přez klíč (navíc samozřejmě ten klíč má každý uživatel jiný a každá skupina počítačů jiný čili pokud se hlásím třeba z gilhad@home tak použiju jiný klíč, než pokud se hlásím z gilhad@work), nikoli přez heslo, takže s heslem se nedostane nikam jako nikdo)

Ale mám (aspoň občas) šanci donutit někoho odvirovat počítač. Nebo mu poslat ping-of-death
(fakt je, že dřív to šlo snáz a úspěšněji, teď už na to admini většinou serou)

Já to dělám takto

cat /var/log/apache2/00-catch_all_other_80-access_log

přičemž zápis do toho souboru je v

/etc/apache2/vhosts.d/x-static.same.web

který je includovaný do všech konfigurací webů v

/etc/apache2/vhosts.d/*conf

Pokud nemáš Linux a Apache, tak ti ta informace asi moc nepomůže ...

Zpět do poradny Odpovědět na původní otázku Nahoru