Commenti & Opinioni


Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Imposta lingua:en it | Login/Register


E Qualche Volta Ci Avete Pure Ragione Voi...

Di tanto in tanto ricevo qualche mail, che detto cosi non e' che sia tanto strano, ma quelle che ricevo io sono del tipo "ci hai problemi sul sito"... e basta. Niente informazioni di che genere di "problemi" dovrebbero essere, quando, come, dove... nada!

Ovviamente, nella maggioranza dei casi la mia risposta abbaiata e' "problemi STOCA$$O!".

Ondepercuicio', quando stamani (in effettu un'oretta fa') mi arriva la solita mailla non e' che mi sia agitato piu' di tanto. Solo che sto' gia' bestemmiando con uno degli ennesimi CL che ancora non ha capito la differenza tra "internet" e "panino al salame" quindi decido di dare un occhiata piu' da vicino. E scopro che ci sono la bellezza di 600 connessioni aperte... huh??

netstat -an | grep ':80' | awk '{print $5}' | sed 's|:.*$||' | grep -v '82.94.182.66' | sort | uniq -c
...
1 151.15.223.207
1 77.246.0.170
1 81.21.128.30
5 82.104.205.26
1 82.185.210.90
6 82.186.31.111
1 82.53.166.197
6 85.40.60.61
510 195.20.6.21
8 88.47.172.218
2 89.118.131.69
6 89.118.55.242
2 89.202.181.40
8 89.96.134.150
...

WTF??

whois 195.20.6.21
...
inetnum:        195.20.4.0 - 195.20.7.255
netname:        KAMELMAG-UA-NET
descr:          Kamelmag-Ukraine Ltd.

grep '195.20.6.21' .../logs
195.20.6.21 - - [06/Sep/2010:11:01:24 +0200] "GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php HTTP/1.1" 200 54 "-" "ZmEu"
195.20.6.21 - - [06/Sep/2010:11:01:24 +0200] "GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php HTTP/1.1" 200 54 "-" "ZmEu"
195.20.6.21 - - [06/Sep/2010:11:01:24 +0200] "GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php HTTP/1.1" 200 54 "-" "ZmEu"
195.20.6.21 - - [06/Sep/2010:11:01:24 +0200] "GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php HTTP/1.1" 200 54 "-" "ZmEu"
...

500 richieste in meno di 10 secondi! $$(!%(!#%%@#@!!$% FOXXUTOSCHIFOSMERDACCHIOSOPHP!

Ed ecco un altro motivo per cui io ODIO Php! Ed ovviamente con 600 connessioni attive non e' che il server gradisce molto eh!

Percui, se vi capita che il sito sia lento a rispondere qualche volta... adesso sapete il probabile motivo.

Davide Bianchi
06/09/2010 12:17

I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.

15 messaggi this document does not accept new posts

Anonymous coward

Di Anonymous coward postato il 06/09/2010 12:24

il problema mi sembra il software fatto in php. E' come dire che il C fa schifo perchè lo hanno usato per farci windows.

Non sarà che il suddetto indirizzo è di  uno o più pc che stanno cercando di fare cracking? Il server è il tuo?

-- Anonymous coward

maxxfi

@ Anonymous coward Di maxxfi postato il 06/09/2010 12:43

 

Non sarà che il suddetto indirizzo è di  uno o più pc che stanno cercando di fare cracking? Il server è il tuo?

 

Ma no, che dici mai. Uno che prova 'GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php'  (ripeti per tutte le versioni di phpmyadmin) vuoi mai che stia tentando di craccare il sito?



No, è sicuramente il software fatto in PHP...




 

-- maxxfi

Anonymous coward

Di Anonymous coward postato il 06/09/2010 12:31

Quel ZmEu mi ha incuriosito...Ricerca su google:

http://linux.m2osw.com/zmeu-attack

Qualche lamer sta cercando sul tuo server tutte le versioni possibili di phpMyAdmin (+sicuramente altra roba)...

Non prendertela col PHP anche quando non c'entra :-\). Ricordi il buco del PHF (in Perl) con il quale craccarono cia.gov negli anni 90?

-- Anonymous coward

Davide Bianchi

@ Anonymous coward Di Davide Bianchi postato il 06/09/2010 13:08

Non prendertela col PHP anche quando non c'entra :-\).

Perche' il fatto che cerchino un programma bacato fatto in php non ha alcuna relazione eh?

-- Davide Bianchi

Massy

@ Davide Bianchi Di Massy postato il 06/09/2010 13:57

Non prendertela col PHP anche quando non c'entra :-\).

Perche' il fatto che cerchino un programma bacato fatto in php non ha alcuna relazione eh?

Sì, la stessa che ha se te la pigli con l'anima del dottor Diesel se il tuo benzinaio ha messo il gasolio nella tua moto :\)

-- Massy

Adriano

@ Davide Bianchi Di Adriano postato il 06/09/2010 14:09

> Perche' il fatto che cerchino un programma bacato fatto in php non ha alcuna relazione eh?

Il fatto che sia popolarissimo sicuramente non ha a che fare, vero?

Questo messaggio è arrivato a voi grazie alle lettere A, S ed S.

-- Saludos
Adriano

Anonymous coward

@ Davide Bianchi Di Anonymous coward postato il 06/09/2010 14:33

> Perche' il fatto che cerchino un programma bacato fatto in php non ha alcuna relazione eh?

Quello con la testa bacata sarebbe il tipo che secondo loro avrebbe lasciato il file di setup sul sistema anche dopo averlo installato, non il programma. Se non ci fosse stato il php questo programma l'avrebbero fatto in perl o in altro linguaggio. , e invece di cercare setup.php avrebbero cercato setup.pl

-- Anonymous coward

Davide Bianchi

@ Anonymous coward Di Davide Bianchi postato il 06/09/2010 14:42

Quello con la testa bacata sarebbe il tipo che secondo loro avrebbe lasciato il file di setup sul sistema anche dopo averlo installato,

Cosa che, ovviamente, non succede mai  eh?

-- Davide Bianchi

tcd

@ Davide Bianchi Di tcd postato il 06/09/2010 17:25

> Perche' il fatto che cerchino un programma bacato fatto in php non ha alcuna relazione eh?

Beh, e tu lasciali cercare: tanto avrai inserito apposite regolette di deny_from_everyone_else/allow_only_from_nonluser_ipaddresses in .htaccess o httpd.conf, no? :\)

cioé, di scriptkiddiez e lamerz è piena internet, mi pare normale che cerchino i bachi nei programmi più conosciuti come php, phpmyadmin, mysql, phpbb ediosolosacos'artro... proprio come mi pare normale che i virus ci siano principalmente per le varie versioni di winskif, mica per linux amigaos os/2 macosx...

o no? :\)

-- The CyberDeaf.

Adriano

@ tcd Di Adriano postato il 06/09/2010 19:38

cioé, di scriptkiddiez e lamerz è piena internet, mi pare normale che cerchino i bachi nei programmi più conosciuti come php, phpmyadmin, mysql, phpbb ediosolosacos'artro... proprio come mi pare normale che i virus ci siano principalmente per le varie versioni di winskif, mica per linux amigaos os/2 macosx...

o no? :\)



Non sempre. Apache è ancora oggi il server più popolare per http. Non è però il server più bucato, nè il server con maggiori tentativi di exploit, a quanto ricordo.

Questo è un caso di 'low hanging fruit': IIS è tanto più facile da attaccare, e comunque popolare, quindi i tentativi si concentrano lì

-- Saludos
Adriano

Adriano

Di Adriano postato il 06/09/2010 15:48

Mi sembra di ricordare che phpmyadmin ti avverte se hai lasciato il file / directory di installazione dopo l'installazione. Se è un problema di permessi per cui molte volte il server non può cancellare quel dannato file, prendersela con lo script mi pare un pò comodo.

O potremmo anche suggerire che phpmyadmin potrebbe eseguirsi con SUID root, quello non dovrebbe dare problemi, vero?

-- Saludos
Adriano

sky

Di sky postato il 06/09/2010 18:30

Per questo genere di cose, sulla porta 22 però, uso fail2ban che, al 6° tentativo errato chiude l'accesso via iptables. L'ho installato dopo che uno script, nel tentativo di fare il furbastro, mi ha prodotto qualche mega di log.

Mi pare d'aver letto che può funzionare anche su altre porte (con regole, quindi magari in base ad un 404 ripetuto del webserver) ma non ho mai approfondito, non essendo famoso quanto te. ;\)

Rispetto al piaccapì... nei miei log vedo tentativi di ogni genere, non solo per cose scritte in PHP. ;\)

-- sky

Gabriele Corrieri

Di Gabriele Corrieri postato il 06/09/2010 22:10

Ciao D.

tanto per renderci partecipi  hai fatto qualche script di ban come ha ipotizzato Barbara o ti lasci invadere il logfile?

-- Gabriele

Davide Bianchi

@ Gabriele Corrieri Di Davide Bianchi postato il 07/09/2010 08:21

tanto per renderci partecipi  hai fatto qualche script di ban come ha ipotizzato Barbara o ti lasci invadere il logfile?

 

Lo script c'era gia', solo che devo rivederlo. Ed il logfile e' il minore dei miei problemi.

-- Davide Bianchi

Anonymous coward

Di Anonymous coward postato il 08/09/2010 12:56

ottimo articolo! e anche utile!

...attacchi del genere sono frequentissimi....e non c'e' solo php nel mirino anche i cosi'detti javascript e flash embedded sono portatori di sventura...

 

-- Anonymous coward

15 messaggi this document does not accept new posts

Precedente Successivo


Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.


Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.

Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".

Web Interoperability Pleadge Support This Project
Powered By Gojira