Strana voce in ports.conf di Apache

1

Non sono sicuro che ciò possa indicare un server compromesso o se sono solo paranoico.

Mentre giocherellava con Apache e Webmin su un nuovo server virtuale Ubuntu 14.04 (così come i record DNS per il suo nuovo nome di dominio), Apache si è improvvisamente rifiutato di riavviarsi, con il seguente messaggio:

(99)Cannot assign requested address: AH00072: make_sock: could not bind to address 54.201.82.69:80
no listening sockets available, shutting down
AH00015: Unable to open logs
Action 'start' failed.
The Apache error log may have more information.

Ecco ed ecco, ports.conf di Apache conteneva i seguenti elementi:

Listen 8080
Listen 54.201.82.69:80

La porta 8080 è stata messa lì deliberatamente per i test, non molto tempo prima. L'indirizzo IP seguito dalla porta 80 è appena apparso dal nulla. All'indagine * .com.com risolve questo IP, che sembra essere un host per malware.

D'altra parte, sembra almeno concepibile che un qualche tipo di script o processo automatizzato (forse Webmin?) abbia risolto erroneamente un nome host con un ".com" in più alla fine e, per qualche strana ragione, lo abbia spinto in ports.conf. Inoltre, se fosse stato inserito maliziosamente da un intruso, non avevo idea di cosa avrebbe ottenuto.

L'unico altro programma che avrebbe dovuto incasinare la configurazione di Apache era la webmail roundcube, da un repository ufficiale. Non c'è nessun altro con accesso a questo server. Il registro di autenticazione mostra un numero di tentativi di accesso SSH non riusciti da vari IP, nelle diverse ore in cui il server è stato attivato, ma nessun registro di accesso riuscito diverso dal mio.

Non so se dovrei dare questo a qualche strano snafu di configurazione o cambiare tutte le password e iniziare a pulire con un firewall restrittivo.

    
posta Greg 02.10.2015 - 11:34
fonte

1 risposta

1

Osservando l'indirizzo nel database ARIN vengono forniti i seguenti risultati:

NetRange:       54.192.0.0 - 54.207.255.255
CIDR:           54.192.0.0/12
NetName:        AMAZON-2011L
NetHandle:      NET-54-192-0-0-1
Parent:         NET54 (NET-54-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS16509
Organization:   Amazon Technologies Inc. (AT-88-Z)
RegDate:        2013-06-19
Updated:        2013-06-19
Ref:            http://whois.arin.net/rest/net/NET-54-192-0-0-1

OrgName:        Amazon Technologies Inc.
OrgId:          AT-88-Z
Address:        410 Terry Ave N.
City:           Seattle
StateProv:      WA
PostalCode:     98109
Country:        US
RegDate:        2011-12-08
Updated:        2014-10-20
Comment:        All abuse reports MUST include:
Comment:        * src IP
Comment:        * dest IP (your IP)
Comment:        * dest port
Comment:        * Accurate date/timestamp and timezone of activity
Comment:        * Intensity/frequency (short log extracts)
Comment:        * Your contact details (phone and email) Without these we will be unable to 
identify the correct owner of the IP address at that point in time.
Ref:            http://whois.arin.net/rest/org/AT-88-Z

OrgAbuseHandle: AEA8-ARIN
OrgAbuseName:   Amazon EC2 Abuse
OrgAbusePhone:  +1-206-266-4064 
OrgAbuseEmail:  
OrgAbuseRef:    http://whois.arin.net/rest/poc/AEA8-ARIN

OrgNOCHandle: AANO1-ARIN
OrgNOCName:   Amazon AWS Network Operations
OrgNOCPhone:  +1-206-266-2187 
OrgNOCEmail:  
OrgNOCRef:    http://whois.arin.net/rest/poc/AANO1-ARIN

OrgTechHandle: ANO24-ARIN
OrgTechName:   Amazon EC2 Network Operations
OrgTechPhone:  +1-206-266-4064 
OrgTechEmail:  
OrgTechRef:    http://whois.arin.net/rest/poc/ANO24-ARIN

NetRange:       54.200.0.0 - 54.203.255.255
CIDR:           54.200.0.0/14
NetName:        AMAZO-ZPDX6
NetHandle:      NET-54-200-0-0-1
Parent:         AMAZON-2011L (NET-54-192-0-0-1)
NetType:        Reallocated
OriginAS:       AS16509
Organization:   Amazon.com, Inc. (AMAZO-47)
RegDate:        2013-07-17
Updated:        2013-07-17
Ref:            http://whois.arin.net/rest/net/NET-54-200-0-0-1

OrgName:        Amazon.com, Inc.
OrgId:          AMAZO-47
Address:        EC2, EC2 1200 12th Ave South
City:           Seattle
StateProv:      WA
PostalCode:     98144
Country:        US
RegDate:        2011-05-10
Updated:        2014-10-17
Ref:            http://whois.arin.net/rest/org/AMAZO-47

OrgAbuseHandle: AEA8-ARIN
OrgAbuseName:   Amazon EC2 Abuse
OrgAbusePhone:  +1-206-266-4064 
OrgAbuseEmail:  
OrgAbuseRef:    http://whois.arin.net/rest/poc/AEA8-ARIN

OrgTechHandle: ANO24-ARIN
OrgTechName:   Amazon EC2 Network Operations
OrgTechPhone:  +1-206-266-4064 
OrgTechEmail:  
OrgTechRef:    http://whois.arin.net/rest/poc/ANO24-ARIN

OrgNOCHandle: AANO1-ARIN
OrgNOCName:   Amazon AWS Network Operations
OrgNOCPhone:  +1-206-266-2187 
OrgNOCEmail:  
OrgNOCRef:    http://whois.arin.net/rest/poc/AANO1-ARIN

È un servizio di hosting Amazon con 287 domini (al momento) ospitati su quell'indirizzo. Leggendo l'installazione webmin pagina tu deve

Enter the same login credentials that you used to log in to your server via SSH. This user must have root privileges via sudo.

Webmin rimane in ascolto per impostazione predefinita sulla porta 10000:

https://server_IP_address:10000

È possibile che l'installazione sia stata rilevata da un crawler e l'autenticazione è stata ignorata (poiché l'indirizzo è l'indirizzo pubblico della data workstation). Stranamente, alterare queste configurazioni non giova a nessun potenziale aggressore. Tuttavia, poiché l'indirizzo fornito non è correlato a nessuna utilità che hai utilizzato, ti consigliamo di reinstallare e avviare la pulizia. Opzionalmente è possibile scrivere una e-mail all'indirizzo di abuso di cui sopra, e chiedere per i dettagli sul traffico da quella casella al proprio se possibile.

    
risposta data 02.10.2015 - 15:17
fonte

Leggi altre domande sui tag