Que vienen los rusos !!!
Hacia ya algún tiempo que el Snort no tiraba alertas importantes en mi servidor. Esta vez se trata de un ruso, que en la madrugada del dia 19 ha estado intentando hackearme a través de la inyección de código en php. Estas son las alertas que han casacado:
WEB-PHP xmlrpc.php post attempt
WEB-PHP remote include path
El "hacker" en cuestión usan un SO CentOS. Un rapido escaneo de puertos muestra que se trata de un sistema interesante:
21/tcp open ftp
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
631/tcp open ipp
2000/tcp open callbook
Parece que la maquina en cuestión tiene ftp, ssh, cups y servicios VoIP, además de http y servicios de portmapper, en fin un sistema interesante para ensayar test de penetración ;)
PD: La IP 212.107.194.186 es rusa segun la autoridad Centralops:
inetnum: 212.107.194.176 - 212.107.194.191
netname: SEST-1-VSTN-NET
descr: Self Employed Starinets
descr: Vladivostok, Russia
country: RU
admin-c: DS1083-RIPE
tech-c: DS1083-RIPE
status: ASSIGNED PA
notify: dima@vstn.marine.su
mnt-by: PRIMORYE-NCC-MNT
changed: gav@vmts.ru 20030617
source: RIPE
person: Dmitry Simonchik
address: 36, pr. Komarova str.
address: Vladivostok, 690950
address: Russia
phone: +7 423 242 0576
fax-no: +7 423 240 6029
e-mail: sdv@prim.dsv.ru
nic-hdl: DS1083-RIPE
notify: sdv@prim.dsv.ru
changed: gav@prim.dsv.ru 20040213
mnt-by: PRIMORYE-NCC-MNT
source: RIPE
route: 212.107.192.0/20
descr: VSTN-001
origin: AS12332
mnt-by: PRIMORYE-NCC-MNT
changed: gav@vmts.ru 20030529
source: RIPE
Evidentemente que la Ip puede ser spoofeada, pero hay conexión de ida y retorno, con lo cual esta posibilidad queda bastante descartada. Evidentemente puede tratarse de un sistema pasarela, sistema muy interesante por cierto, si bien según mis conocimientos no pertenece a ninguna red tipo Tor.
Aviso a navegantes:
Si no te gusta lo que lees lo tienes facil, no lo leas, si eres muy listo hazte profesor, pero si eres un ignorante entonces dedicate a descalificar.
Por higiene borro todos los comentarios producto de la incontinencia verbal, así como las boludeces y el spam variado...
WEB-PHP xmlrpc.php post attempt
WEB-PHP remote include path
El "hacker" en cuestión usan un SO CentOS. Un rapido escaneo de puertos muestra que se trata de un sistema interesante:
21/tcp open ftp
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
631/tcp open ipp
2000/tcp open callbook
Parece que la maquina en cuestión tiene ftp, ssh, cups y servicios VoIP, además de http y servicios de portmapper, en fin un sistema interesante para ensayar test de penetración ;)
PD: La IP 212.107.194.186 es rusa segun la autoridad Centralops:
inetnum: 212.107.194.176 - 212.107.194.191
netname: SEST-1-VSTN-NET
descr: Self Employed Starinets
descr: Vladivostok, Russia
country: RU
admin-c: DS1083-RIPE
tech-c: DS1083-RIPE
status: ASSIGNED PA
notify: dima@vstn.marine.su
mnt-by: PRIMORYE-NCC-MNT
changed: gav@vmts.ru 20030617
source: RIPE
person: Dmitry Simonchik
address: 36, pr. Komarova str.
address: Vladivostok, 690950
address: Russia
phone: +7 423 242 0576
fax-no: +7 423 240 6029
e-mail: sdv@prim.dsv.ru
nic-hdl: DS1083-RIPE
notify: sdv@prim.dsv.ru
changed: gav@prim.dsv.ru 20040213
mnt-by: PRIMORYE-NCC-MNT
source: RIPE
route: 212.107.192.0/20
descr: VSTN-001
origin: AS12332
mnt-by: PRIMORYE-NCC-MNT
changed: gav@vmts.ru 20030529
source: RIPE
Evidentemente que la Ip puede ser spoofeada, pero hay conexión de ida y retorno, con lo cual esta posibilidad queda bastante descartada. Evidentemente puede tratarse de un sistema pasarela, sistema muy interesante por cierto, si bien según mis conocimientos no pertenece a ninguna red tipo Tor.
Aviso a navegantes:
Si no te gusta lo que lees lo tienes facil, no lo leas, si eres muy listo hazte profesor, pero si eres un ignorante entonces dedicate a descalificar.
Por higiene borro todos los comentarios producto de la incontinencia verbal, así como las boludeces y el spam variado...