Cosa posso fare dopo un attacco al nostro sistema che ha colpito la nostra rotta di accesso?

12

Questa mattina ho controllato i nostri log di nginx.

46.x.x.90 - - [17/Jul/2017:05:51:31 +0000]  "HEAD http://x.x.71.1:80/PMA2011/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:31 +0000]  "HEAD http://x.x.71.1:80/PMA2012/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:31 +0000]  "HEAD http://x.x.71.1:80/PMA2013/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2014/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2015/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2016/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2017/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2018/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/pma2011/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/pma2012/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2013/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2014/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2015/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2016/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2017/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2018/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2011/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2012/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2013/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2014/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2015/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2016/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2017/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2018/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmanager/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
139.x.x.135 - - [17/Jul/2017:06:33:53 +0000]  "GET / HTTP/1.1"302 219 "-" "Mozilla/5.0 (Windows NT 10.0; W0W64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" "-"
91.x.x.3 - - [17/Jul/2017:06:49:13 +0000] "GET / HTTP/1.0" 301 185 "-" "-" "-"
38.x.x.164 - - [17/Jul/2017:06:54:55 +0000] "GET / HTTP/1.1" 301 185 "-" "Mozilla/5.0 zgrab/0.x" "-"
91.x.x.3 - - [17/Jul/2017:07:48:04 +0000] "GET / HTTP/1.0" 301 185 "-" "-" "-"
139.x.x.204 - - [17/Jul/2017:08:19:50 +0000] "GET / HTTP/1.1" 302 219 "-" "Mozilla/5.0 (Windows NT 10.0; W0W64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36" "-"
139.x.x.204 - - [17/Jul/2017:08:19:50 +0000] "GET /login HTTP/1.1" 301 185 "-" "Go-http-client/1.1" "-"
139.x.x.204 - - [17/Jul/2017:08:19:51 +0000] "GET /login HTTP/1.1" 200 2222 "http://x.x.71.1/login" "Go-http-client/1.1" "-"

Screenshot

Sospettavo un attacco dal momento che non abbiamo nessuno di questi percorsi.

Tuttavia, l'ultimo dice /login . Ora sono paranoico e mi chiedo cosa potrei fare.

  1. Ci sono movimenti post-attacco che stai attraversando?
  2. Come potrei vedere se il perpetratore ha eseguito correttamente l'accesso?
  3. Chi è Jorgee?
posta Andrew Graham-Yooll 17.07.2017 - 10:57
fonte

3 risposte

23

Dato che hai i log ti suggerisco di cercare l'utilizzo del modulo di login. Hai provato a effettuare il login?

Molto spesso questa è solo una scansione che cerca siti interessanti e li memorizza per un uso successivo. Questo comportamento è estremamente comune ed è comune in quasi tutti i registri http con un servizio Web di Internet.

  1. Prima di tutto dovresti guardare i blog e vedere se hanno effettivamente provato a utilizzare il modulo di accesso. Se lo facessero, immagino ci sia qualche logging fatto nell'applicazione web di quel modulo di login?
  2. Nel log che hai pubblicato ci sono solo richieste GET. Cerca le richieste POST.
  3. Jorgee fa parte del campo del programma utente ed è facilmente personalizzabile dal client web.
risposta data 17.07.2017 - 11:06
fonte
9

Questo mi sembra un proxy HTTP aperto scansionato. La HEAD o GET richiesta non è normalmente seguita da http:// , ma solo dal percorso locale.

Se il tuo server agisce come un proxy HTTP aperto, l'autore dell'attacco sta cercando di nascondersi dietro di esso e dovresti chiuderlo. Questo renderà il tuo server nella lista nera molto presto.

Assicurati che il tuo server non agisca come un proxy aperto, quindi ignoralo. Qualsiasi server pubblico viene sottoposto a scansione per tutto il tempo.

  1. Verifica se il tuo server funziona come un proxy aperto. Puoi utilizzare http-open-proxy da nmap :

    sudo nmap -sS -sV -p 8080 --script http-open-proxy.nse X.X.X.X
    
  2. Il modo più semplice è testare con telnet :

    telnet X.X.X.X 80
    

    Attendi qualche secondo finché non viene stabilita la connessione, quindi digita la richiesta HTTP:

    GET /login HTTP/1.1
    Host: 
    

    Hit return due volte e guarda il risultato

    Ora molto probabilmente chiunque può ottenere la tua pagina di accesso. Ciò non significa che siano in: per quello hanno bisogno di fare una richiesta di POST con i giusti parametri username / password. Cerca quella richiesta o le richieste riuscite sulle risorse che si trovano dietro il tuo muro di accesso.

  3. Jorgee è uno scanner di vulnerabilità. Puoi vedere l'avviso su CheckPoint . Fondamentalmente, analizza l'intero Internet per le vulnerabilità. Anche il tuo server viene scansionato, ma se non sei vulnerabile non c'è nulla di cui preoccuparsi.

risposta data 17.07.2017 - 17:22
fonte
4

Quello che vedo sono due diversi utenti, uno (rete 139.xxx) presumibilmente uno script kiddie che esegue uno scanner di exploit e l'altro (rete 46.xxx) un utente presumibilmente legittimo .

Questo e hai dimenticato di rendere anonimo l'indirizzo del tuo server (rete 45.x.x.x) nell'ultima riga.

Bottom line: dati nessun altro segno di intrusione, nessun motivo per farsi prendere dal panico.

    
risposta data 17.07.2017 - 17:38
fonte

Leggi altre domande sui tag