Acesso indevido - scripts maliciosos [RESOLVIDO]

XangBR
(usa Fedora)

Enviado em 09/01/2019 - 08:26h

Bom dia

Possuo o logwatch em meus servidores e diariamente recebo os logs. Em meus últimos logs de um servidor especifico notei algo muito estranho, parece que tentativa de execução de scripts maliciosos, alguém sabe me dizer o que é e como resolver/impedir?

Segue a parte do LOG mencionada:

##################################################################

--------------------- httpd Begin ------------------------

Requests with error response codes
404 Not Found
/12.php: 1 Time(s)
/1hou.php: 1 Time(s)
/3.php: 1 Time(s)
/56.php: 1 Time(s)
/9510.php: 1 Time(s)
/9678.php: 1 Time(s)
/MyAdmin/index.php: 1 Time(s)
/PMA2/index.php: 1 Time(s)
/admin/PMA/index.php: 1 Time(s)
/admin/mysql/index.php: 1 Time(s)
/admin/phpMyAdmin/index.php: 1 Time(s)
/admin/phpmyadmin/index.php: 1 Time(s)
/ak.php: 1 Time(s)
/ak47.php: 1 Time(s)
/ak48.php: 1 Time(s)
/aotu.php: 1 Time(s)
/aotu7.php: 1 Time(s)
/app.php: 1 Time(s)
/appserv.php: 1 Time(s)
/aw.php: 1 Time(s)
/bak.php: 1 Time(s)
/boots.php: 1 Time(s)
/cacti/plugins/weathermap/editor.php: 1 Time(s)
/cainiao.php: 1 Time(s)
/ceshi.php: 1 Time(s)
/claroline/phpMyAdmin/index.php: 1 Time(s)
/cmd.php: 2 Time(s)
/cmv.php: 1 Time(s)
/conflg.php: 2 Time(s)
/db.init.php: 1 Time(s)
/db/index.php: 1 Time(s)
/db__.init.php: 1 Time(s)
/db_cts.php: 1 Time(s)
/db_dataml.php: 1 Time(s)
/db_desql.php: 1 Time(s)
/db_pma.php: 1 Time(s)
/db_session.init.php: 1 Time(s)
/dbadmin/index.php: 1 Time(s)
/default.php: 1 Time(s)
/defect.php: 1 Time(s)
/desktop.ini.php: 1 Time(s)
/feixiang.php: 1 Time(s)
/h1.php: 1 Time(s)
/help-e.php: 1 Time(s)
/help.php: 2 Time(s)
/hh.php: 1 Time(s)
/hm.php: 1 Time(s)
/htdocs.php: 1 Time(s)
/infoo.php: 1 Time(s)
/java.php: 1 Time(s)
/knal.php: 1 Time(s)
/l7.php: 1 Time(s)
/l8.php: 1 Time(s)
/lala-dpr.php: 1 Time(s)
/lala.php: 1 Time(s)
/license.php: 1 Time(s)
/lindex.php: 1 Time(s)
/linuxse.php: 1 Time(s)
/log.php: 1 Time(s)
/logon.php: 1 Time(s)
/lol.php: 1 Time(s)
/m.php?pbid=open: 1 Time(s)
/miao.php: 1 Time(s)
/min.php: 1 Time(s)
/muhstik.php: 1 Time(s)
/muhstiks.php: 1 Time(s)
/mx.php: 1 Time(s)
/myadmin/index.php: 1 Time(s)
/myadmin2/index.php: 1 Time(s)
/mysql-admin/index.php: 1 Time(s)
/mysql/admin/index.php: 1 Time(s)
/mysql/index.php: 1 Time(s)
/mysql/sqlmanager/index.php: 1 Time(s)
/mysqladmin/index.php: 1 Time(s)
/mz.php: 1 Time(s)
/ou2.php: 1 Time(s)
/pe.php: 1 Time(s)
/phpAdmin/index.php: 1 Time(s)
/phpMyAbmin/index.php: 1 Time(s)
/phpMyAdm1n/index.php: 1 Time(s)
/phpMyAdmin+++---/index.php: 1 Time(s)
/phpMyAdmin/index.php: 1 Time(s)
/phpMyAdmin/phpMyAdmin/index.php: 1 Time(s)
/phpMyAdmin/scripts/db___.init.php: 1 Time(s)
/phpMyAdmin/scripts/setup.php: 1 Time(s)
/phpMyAdmin1/index.php: 1 Time(s)
/phpMyAdmin123/index.php: 1 Time(s)
/phpMyAdmin__/index.php: 1 Time(s)
/phpMyAdmina/index.php: 1 Time(s)
/phpMyAdminold/index.php: 1 Time(s)
/phpMyAdmion/index.php: 1 Time(s)
/phpMyadmi/index.php: 1 Time(s)
/phpMyadmin_bak/index.php: 1 Time(s)
/phpMydmin/index.php: 1 Time(s)
/phpStudy.php: 1 Time(s)
/phpadmin/index.php: 1 Time(s)
/phpma/index.php: 1 Time(s)
/phpmy/index.php: 1 Time(s)
/phpmyadm1n/index.php: 1 Time(s)
/phpmyadmin-old/index.php: 1 Time(s)
/phpmyadmin/index.php: 1 Time(s)
/phpmyadmin/phpmyadmin/index.php: 1 Time(s)
/phpmyadmin/scripts/db___.init.php: 1 Time(s)
/phpmyadmin/scripts/setup.php: 1 Time(s)
/phpmyadmin1/index.php: 1 Time(s)
/phpmyadmin2/index.php: 1 Time(s)
/phppma/index.php: 1 Time(s)
/phpstudy.php: 1 Time(s)
/plugins/weathermap/editor.php: 1 Time(s)
/pma-old/index.php: 1 Time(s)
/pma/index.php: 1 Time(s)
/pmamy/index.php: 1 Time(s)
/pmd/index.php: 1 Time(s)
/pmd_online.php: 1 Time(s)
/post.php: 1 Time(s)
/program/index.php: 1 Time(s)
/pwd/index.php: 1 Time(s)
/python.php: 1 Time(s)
/q.php: 1 Time(s)
/qaq.php: 1 Time(s)
/qq.php: 2 Time(s)
/qwe.php: 1 Time(s)
/s.php: 1 Time(s)
/shaAdmin/index.php: 1 Time(s)
/sheep.php: 1 Time(s)
/shell.php: 2 Time(s)
/shopdb/index.php: 1 Time(s)
/ssaa.php: 1 Time(s)
/system.php: 1 Time(s)
/text.php: 1 Time(s)
/tiandi.php: 1 Time(s)
/tomcat.php: 1 Time(s)
/typo3/phpmyadmin/index.php: 1 Time(s)
/v/index.php: 1 Time(s)
/w.php: 1 Time(s)
/wan.php: 1 Time(s)
/wanan.php: 1 Time(s)
/wc.php: 1 Time(s)
/web/phpMyAdmin/index.php: 1 Time(s)
/webdav/: 1 Time(s)
/webslee.php: 1 Time(s)
/weixiao.php: 1 Time(s)
/wp-admins.php: 1 Time(s)
/wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php: 1 Time(s)
/wpc.php: 1 Time(s)
/wpo.php: 1 Time(s)
/wshell.php: 1 Time(s)
/wuwu11.php: 1 Time(s)
/www/phpMyAdmin/index.php: 1 Time(s)
/x.php: 1 Time(s)
/xiao.php: 1 Time(s)
/xshell.php: 1 Time(s)
/xw.php: 1 Time(s)
/xw1.php: 1 Time(s)
/xx.php: 2 Time(s)
/xz.php: 1 Time(s)
/yao.php: 1 Time(s)
/yumo.php: 1 Time(s)
/z.php: 1 Time(s)
/zshmindex.php: 1 Time(s)
/zuo.php: 1 Time(s)
/zuoindex.php: 1 Time(s)
/zuos.php: 1 Time(s)
/zuoshou.php: 1 Time(s)
/zuoshss.php: 1 Time(s)
/zuoss.php: 1 Time(s)
500 Internal Server Error
/test.php: 1 Time(s)

---------------------- httpd End -------------------------

rleutz
(usa Arch Linux)

Enviado em 09/01/2019 - 08:51h

ta parecendo tipo de um nikto
que tenta acessar esses arquivos para ver vulnerabilidades no servidor

------------------------------------------------------------------------
https://www.uware.com.br
Arch

XangBR
(usa Fedora)

Enviado em 09/01/2019 - 09:46h

Alguma ideia de como resolver isso / impedir a tentativa de acesso?

rleutz
(usa Arch Linux)

Enviado em 09/01/2019 - 09:49h

na verdade se vc não tiver esse tipo de soft instalado no server ele vai da como 404 url não encontrada qndo o cara tenta acessar
ele tenta pesquisar vulnerabilidades, esses são softs pra dev, geralmente pra quem não sabe mexer em modo texto
não se deve instalar esse tipo de coisa em um server aberto, tipo não é aconselhavel

todo caso veja no /var/log/http/error.log
la vai te o ip do cara q tento, todo caso bloqueia
------------------------------------------------------------------------
https://www.uware.com.br
Arch

renato_pacheco
(usa Debian)

Enviado em 09/01/2019 - 11:19h

Uma coisa q vc pode fazer pra minimizar os acessos é instalando o fail2ban no servidor e, pra impedir q o cara tenha sucesso, um WAF seria interessante tb (modsecurity, por exemplo). Por se tratar de discovery, o impacto não é tão grande, mas se o cara tenta fazer injection, o WAF segura melhor isso.
Tente não disponibilizar serviços web de gerenciamento na internet (interface de administrador), assim diminui as chances de sucesso do atacante.

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

XangBR
(usa Fedora)

Enviado em 09/01/2019 - 11:23h

Peguei o IP e já criei a regra no FW, depois posto aqui se deu certo. Valeu denver!!!

renato_pacheco
(usa Debian)

Enviado em 09/01/2019 - 11:31h

O fail2ban faz isso de forma automática pra vc...

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

XangBR
(usa Fedora)

Enviado em 09/01/2019 - 11:40h

Vou dar uma estudada nas ferramentas, vou querer implementar sim, valeu pelas dicas renato.

rleutz
(usa Arch Linux)

Enviado em 09/01/2019 - 12:24h

eu uso fail2ban aq tbm, é uma boa ferramenta
principalmente com sshd que fica os chines tentando acessa
dai poe o ban em -1 pra ser eterno, mais é bom aprender a fazer na mão antes
entender como funciona o sistema de log de cada serviço
de uma estudada em journalctl tbm é bom saber

------------------------------------------------------------------------
https://www.uware.com.br
Arch

XangBR
(usa Fedora)

Enviado em 10/01/2019 - 08:03h

Resolvido galera!!

Renato e Denver, muito obrigado, ajudaram demais!!!!

Abraço!