Entrada extraña en ports.conf de Apache

1

No estoy seguro de si esto puede indicar un servidor comprometido o si simplemente estoy siendo paranoico.

Mientras jugueteaba con Apache y Webmin en un nuevo servidor virtual Ubuntu 14.04 (así como los registros de DNS para su nuevo nombre de dominio), Apache se negó repentinamente a reiniciarse, con el siguiente mensaje:

(99)Cannot assign requested address: AH00072: make_sock: could not bind to address 54.201.82.69:80
no listening sockets available, shutting down
AH00015: Unable to open logs
Action 'start' failed.
The Apache error log may have more information.

Lo y he aquí, los ports.conf de Apache contenían lo siguiente:

Listen 8080
Listen 54.201.82.69:80

El puerto 8080 se puso allí deliberadamente para realizar pruebas, no mucho antes. La dirección IP seguida por el puerto 80 apareció de la nada. Tras la investigación, * .com.com se resuelve con esta IP, que parece ser un host de malware.

Por otra parte, parece al menos concebible que algún tipo de script o proceso automatizado (¿tal vez Webmin?) resolviera incorrectamente un nombre de host con un ".com" extra al final y, por alguna extraña razón, lo introdujera ports.conf. Además, si un intruso hubiera insertado maliciosamente esto, no tengo idea de lo que lograría.

El único otro programa que debería haberse metido con la configuración de Apache fue el webmail de roundcube, desde un repositorio oficial. No hay nadie más con acceso a este servidor. El registro de autenticación muestra una serie de intentos fallidos de inicio de sesión de SSH desde varias direcciones IP, en las varias horas que el servidor ha estado activo, pero ningún inicio de sesión exitoso que no sea el mío.

No sé si debo atribuir esto a algún error de configuración extraño o cambiar todas las contraseñas y comenzar a limpiar con un firewall restrictivo.

    
pregunta Greg 02.10.2015 - 11:34
fuente

1 respuesta

1

Buscando la dirección en la base de datos ARIN, se proporcionan los siguientes resultados:

NetRange:       54.192.0.0 - 54.207.255.255
CIDR:           54.192.0.0/12
NetName:        AMAZON-2011L
NetHandle:      NET-54-192-0-0-1
Parent:         NET54 (NET-54-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS16509
Organization:   Amazon Technologies Inc. (AT-88-Z)
RegDate:        2013-06-19
Updated:        2013-06-19
Ref:            http://whois.arin.net/rest/net/NET-54-192-0-0-1

OrgName:        Amazon Technologies Inc.
OrgId:          AT-88-Z
Address:        410 Terry Ave N.
City:           Seattle
StateProv:      WA
PostalCode:     98109
Country:        US
RegDate:        2011-12-08
Updated:        2014-10-20
Comment:        All abuse reports MUST include:
Comment:        * src IP
Comment:        * dest IP (your IP)
Comment:        * dest port
Comment:        * Accurate date/timestamp and timezone of activity
Comment:        * Intensity/frequency (short log extracts)
Comment:        * Your contact details (phone and email) Without these we will be unable to 
identify the correct owner of the IP address at that point in time.
Ref:            http://whois.arin.net/rest/org/AT-88-Z

OrgAbuseHandle: AEA8-ARIN
OrgAbuseName:   Amazon EC2 Abuse
OrgAbusePhone:  +1-206-266-4064 
OrgAbuseEmail:  
OrgAbuseRef:    http://whois.arin.net/rest/poc/AEA8-ARIN

OrgNOCHandle: AANO1-ARIN
OrgNOCName:   Amazon AWS Network Operations
OrgNOCPhone:  +1-206-266-2187 
OrgNOCEmail:  
OrgNOCRef:    http://whois.arin.net/rest/poc/AANO1-ARIN

OrgTechHandle: ANO24-ARIN
OrgTechName:   Amazon EC2 Network Operations
OrgTechPhone:  +1-206-266-4064 
OrgTechEmail:  
OrgTechRef:    http://whois.arin.net/rest/poc/ANO24-ARIN

NetRange:       54.200.0.0 - 54.203.255.255
CIDR:           54.200.0.0/14
NetName:        AMAZO-ZPDX6
NetHandle:      NET-54-200-0-0-1
Parent:         AMAZON-2011L (NET-54-192-0-0-1)
NetType:        Reallocated
OriginAS:       AS16509
Organization:   Amazon.com, Inc. (AMAZO-47)
RegDate:        2013-07-17
Updated:        2013-07-17
Ref:            http://whois.arin.net/rest/net/NET-54-200-0-0-1

OrgName:        Amazon.com, Inc.
OrgId:          AMAZO-47
Address:        EC2, EC2 1200 12th Ave South
City:           Seattle
StateProv:      WA
PostalCode:     98144
Country:        US
RegDate:        2011-05-10
Updated:        2014-10-17
Ref:            http://whois.arin.net/rest/org/AMAZO-47

OrgAbuseHandle: AEA8-ARIN
OrgAbuseName:   Amazon EC2 Abuse
OrgAbusePhone:  +1-206-266-4064 
OrgAbuseEmail:  
OrgAbuseRef:    http://whois.arin.net/rest/poc/AEA8-ARIN

OrgTechHandle: ANO24-ARIN
OrgTechName:   Amazon EC2 Network Operations
OrgTechPhone:  +1-206-266-4064 
OrgTechEmail:  
OrgTechRef:    http://whois.arin.net/rest/poc/ANO24-ARIN

OrgNOCHandle: AANO1-ARIN
OrgNOCName:   Amazon AWS Network Operations
OrgNOCPhone:  +1-206-266-2187 
OrgNOCEmail:  
OrgNOCRef:    http://whois.arin.net/rest/poc/AANO1-ARIN

Es un servicio de alojamiento de Amazon con 287 dominios (en este momento) alojados en esa dirección. Leyendo la instalación de webmin page you debe

  

Ingrese las mismas credenciales de inicio de sesión que utilizó para iniciar sesión en su   servidor a través de SSH. Este usuario debe tener privilegios de root a través de sudo.

Webmin escucha de forma predeterminada en el puerto 10000:

https://server_IP_address:10000

Es posible que su instalación haya sido descubierta por un rastreador y que la autenticación haya sido anulada (ya que la dirección es la dirección pública de la estación de trabajo). Curiosamente, alterar esas configuraciones no beneficia a ningún atacante potencial. Sin embargo, como la dirección dada no está relacionada con ninguna de las utilidades que ha usado, se recomienda que vuelva a instalarla y comience a limpiar. Opcionalmente, puede escribir un correo electrónico a la dirección de abuso anterior y solicitar detalles sobre el tráfico desde esa casilla a su cuenta si es posible.

    
respondido por el Sebi 02.10.2015 - 15:17
fuente

Lea otras preguntas en las etiquetas