Relatórios recentes [1] [2] revelam que vários servidores ssh estão sendo vitimas de ataques de força bruta pelo bot dd_ssh.
A porta de entrada destes ataques é uma vulnerabilidade encontrada na ferramenta phpMyadmin, está vulnerabilidade afeta as versões 2.11.x anteriores a 2.11.9.5 e 3.x anteriores à 3.1.3.1.
Aparentemente o botnet injeta um script malicioso através do phpMyAdmin. A máquina comprometida servirá de zumbi para ataques a outros servidores.
Para os usuários desta ferramenta recomendo 2 soluções:
1 – Remova ela totalmente do seu servidor, a utilização de ferramentas como Webmin, phpMyAdmin e etc não são recomendadas.
2 – Se você não quer seguir a 1a recomendação então atualize o phpMyAdmin para a versão mais atual
Para evitar ataques de SSH Brute Force recomendo:
1 – Utilização de senhas fortes e se possível uso de chaves DSA
2 – Alterar a porta padrão do ssh
3 – Uso do Port Knocking ( knockd ou SPA )
4 – Uso do Ossec HIDS
= = Atualização = =
Recebi o alerta de 02 servidores sobre a tentativa de ataque do bot dd_ssh
82.145.xx.xx – – [13/Aug/2010:07:19:36 -0300] “GET /phpadmin/scripts/setup.php HTTP/1.1” 404 192 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:35 -0300] “GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1” 404 198 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:35 -0300] “GET /mysqladmin/scripts/setup.php HTTP/1.1” 404 194 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:34 -0300] “GET /myadmin/scripts/setup.php HTTP/1.1” 404 192 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:33 -0300] “GET /dbadmin/scripts/setup.php HTTP/1.1” 404 191 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:33 -0300] “GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1” 404 196 “-” “ZmEu”
O IP zumbi é da Turquia
IP Information – 82.145.xx.xx
IP address: 82.145.xx.xx
Reverse DNS: www.world-education-center.org.
Reverse DNS authenticity: [Verified]
ASN: 29179
ASN Name: KIBRISONLINE-AS (Kibrisonline Ltd.)
IP range connectivity: 6
Registrar (per ASN): RIPE
Country (per IP registrar): TR [Turkey]
Country Currency: TRL [Turkey Liras]
Country IP Range: 82.145.224.0 to 82.145.255.255
Country fraud profile: High
City (per outside source): Mersin, Icel
Country (per outside source): TR [Turkey]
Private (internal) IP? No
IP address registrar: whois.ripe.net
Known Proxy? No
Link for WHOIS: 82.145.xx.xx
Ao acessá-lo dou de cara com um phpMyAdmin
Como sigo as recomendações acima este IP foi bloqueado automaticamente:
active-responses.log:Fri Aug 13 07:19:38 BRT 2010 /var/ossec/active-response/bin/host-deny.sh add – 82.145.xx.xx 1281694778.24427 31151
active-responses.log:Fri Aug 13 07:19:38 BRT 2010 /var/ossec/active-response/bin/firewall-drop.sh add – 82.145.xx.xx 1281694778.24427 31151
Solução drástica essa primeira hein? rs
Prefiro dar o suporte ao usuário com algumas restrições no background. Bloqueie algumas funções no PHP e seja feliz. Adicione a linha abaixo no seu php.ini:
disable_functions = show_source, system, shell_exec, backtick operator, passthru, exec, phpinfo, popen, proc_open, highlight_file, escapeshellarg, escapeshe
llcmd, proc_close, dl, chown, chgrp, putenv, proc_close, proc_terminate, posix_ctermid, posix_getegid, posix_geteuid, posix_getgid, posix_getgrnam, posix_ge
tgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_get
uid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_strerror, posix_ti
mes, posix_ttyname, posix_uname, exec_shell, readfile, mail, realpath, passthru, apache_child_terminate, apache_get_modules, apache_get_version, apache_gete
nv, apache_lookup_uri, apache_note, apache_request_headers, apache_reset_timeout, apache_response_headers, apache_setenv, virtual
Agradeço ao Zucco por essa lista que ele me passou.
Não sei se o PHPMyAdmin funciona com Safe mode on, caso positivo. Seria uma boa colocar também.