¿Qué puedo hacer después de un ataque a nuestro sistema que afectó nuestra ruta de inicio de sesión?

Navega tus respuestas
12

Esta mañana he comprobado nuestros registros de nginx. 

46.x.x.90 - - [17/Jul/2017:05:51:31 +0000]  "HEAD http://x.x.71.1:80/PMA2011/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:31 +0000]  "HEAD http://x.x.71.1:80/PMA2012/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:31 +0000]  "HEAD http://x.x.71.1:80/PMA2013/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2014/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2015/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2016/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2017/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2018/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/pma2011/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/pma2012/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2013/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2014/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2015/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2016/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2017/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2018/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2011/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2012/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2013/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2014/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2015/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2016/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2017/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2018/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmanager/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
139.x.x.135 - - [17/Jul/2017:06:33:53 +0000]  "GET / HTTP/1.1"302 219 "-" "Mozilla/5.0 (Windows NT 10.0; W0W64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" "-"
91.x.x.3 - - [17/Jul/2017:06:49:13 +0000] "GET / HTTP/1.0" 301 185 "-" "-" "-"
38.x.x.164 - - [17/Jul/2017:06:54:55 +0000] "GET / HTTP/1.1" 301 185 "-" "Mozilla/5.0 zgrab/0.x" "-"
91.x.x.3 - - [17/Jul/2017:07:48:04 +0000] "GET / HTTP/1.0" 301 185 "-" "-" "-"
139.x.x.204 - - [17/Jul/2017:08:19:50 +0000] "GET / HTTP/1.1" 302 219 "-" "Mozilla/5.0 (Windows NT 10.0; W0W64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36" "-"
139.x.x.204 - - [17/Jul/2017:08:19:50 +0000] "GET /login HTTP/1.1" 301 185 "-" "Go-http-client/1.1" "-"
139.x.x.204 - - [17/Jul/2017:08:19:51 +0000] "GET /login HTTP/1.1" 200 2222 "http://x.x.71.1/login" "Go-http-client/1.1" "-"

Captura de pantalla

Sospeché un ataque ya que no tenemos ninguna de estas rutas.

Sin embargo, el último dice /login . Ahora, estoy paranoico y me pregunto qué podría hacer.

  1. ¿Hay algún movimiento posterior al ataque por el que pasas?
  2. ¿Cómo puedo ver si el perpetrador ha iniciado sesión correctamente?
  3. ¿Quién es Jorgee?
pregunta Andrew Graham-Yooll 17.07.2017 - 10:57
fuente

3 respuestas

23

Ya que tiene los registros, le sugiero que busque el uso del formulario de inicio de sesión. ¿Intenté iniciar sesión?

En la mayoría de los casos, esto es solo un escaneo que busca sitios interesantes y los almacena para su uso posterior. Este comportamiento es extremadamente común y es un lugar común en casi todos los registros http con un servicio web orientado a Internet.

  1. Primero que todo, debes mirar los weblogs y ver si realmente intentaron usar el formulario de inicio de sesión. Si lo hicieron, supongo que se realiza algún registro en la aplicación web de ese formulario de inicio de sesión.
  2. En el registro que publicaste solo hay solicitudes GET. Busque las solicitudes POST.
  3. Jorgee es parte del campo de agente de usuario y es fácilmente personalizable por el cliente web.
respondido por el Peter 17.07.2017 - 11:06
fuente
9

Esto parece un proxy HTTP abierto para mí. La solicitud HEAD o GET normalmente no es seguida por http:// , sino solo por la ruta local.

Si su servidor actúa como un proxy HTTP abierto, el atacante está tratando de esconderse detrás de él y debe cerrarlo. Esto hará que su servidor esté en la lista negra muy pronto.

Asegúrese de que su servidor no esté actuando como un proxy abierto, luego ignórelo. Cualquier servidor público se escanea todo el tiempo.

  1. Pruebe si su servidor está actuando como un proxy abierto. Puede utilizar el http-open-proxy from nmap : 

    sudo nmap -sS -sV -p 8080 --script http-open-proxy.nse X.X.X.X

  2. La forma más fácil es probar con telnet : 

    telnet X.X.X.X 80

    Espere unos segundos hasta que se establezca la conexión y luego ingrese su solicitud HTTP: 

    GET /login HTTP/1.1
Host:

    Presiona regresar dos veces y mira el resultado

    Ahora lo más probable es que cualquiera pueda obtener su página de inicio de sesión. Eso no significa que estén en: para eso necesitan hacer una solicitud POST con los parámetros correctos de nombre de usuario / contraseña. Esté atento a esa solicitud, o solicitudes exitosas en recursos que están detrás de su muro de inicio de sesión.

  3. Jorgee es un explorador de vulnerabilidades. Puede ver el aviso en CheckPoint . Básicamente, escanea todo el internet en busca de vulnerabilidades. Su servidor también se escanea, pero a menos que sea vulnerable, no hay nada de qué preocuparse.

respondido por el Calimo 17.07.2017 - 17:22
fuente
4

Lo que veo es que hay dos usuarios diferentes, uno (139.xxx network) presumiblemente siendo un script para niños que ejecuta un escáner de vulnerabilidades, y el otro (46.xxx network) es un usuario presuntamente legítimo .

Eso, y olvidó anonimizar la dirección de su servidor (red 45.x.x.x) en la última línea.

Línea inferior: si no hay otros signos de intrusión, no hay razón para entrar en pánico.

    
respondido por el Damon 17.07.2017 - 17:38
fuente

Lea otras preguntas en las etiquetas

Almacenar el historial de shell en la cadena de bloques ¿Es este un ataque de ViewState?