J'ai récemment eu besoin de chercher dans les logs les appels provenant d'un serveur zombi qui faisait des appels http suspects.
Pour mesurer l'étendue des dégâts et compter le nombre d'appels j'ai du décompresser les logs et ensuite les concaténer avec la commande suivante :
Concaténation de fichier log
pcr@home:/var/log/lighttpd/$ cat access.log* >> all.log
Comportement des serveurs zombis
Pour informations j'ai trouver plus de 20000 appels en 2 mois sur des fichiers basiques du type :
/mantis/login_page.php
/smsbugs/login_page.php
/tracking/login_page.php
/bugs/login_page.php
/bugtracker/login_page.php
/bugsforge/login_page.php
/phpmyadmin/main.php
Tous ces appels ont pour User-Agent Toata dragostea mea pentru diavola ce qui signifie Tout mon amour pour la fille du diable en roumain. Si ça sent pas le serveur piraté ça ;).
Le but de ces attaques est de trouver des scripts (phpmyadmin par exemple) qui sont couramment installés sur les serveurs.
Une fois que ces scripts sont identifiés, le serveur zombi va alors lancer des attaques sur des failles connues (corrigés dans les dernières version en général) et si la porte est ouverte c'est parti pour du vol de données, l'envoi de spam, la zombification du serveur et j'en passe.
Se protéger contre les attaques zombies
Il existe des moyens simples à mettre en place pour lutter contre ce type d'attaque. Je ne suis pas un expert en sécurité mais voici quelques petites idées :
Lire ses logs, la lecture des logs permet d'identifier les types et la provenance des attaques. Ce n'est pas trés marrant mais essentiel, et pour rendre la tache un peu plus fun vous pouvez toujours ajouter de la couleur dans les logs.
Changer les répertoires d'installation, installer vos scripts dans des répertoires bizarres en utilisant du leet. En installant phpmyadmin dans le répertoire /m0nphpmy4dm1n/ vous aurez beaucoup plus de chance d'échapper aux zombis.
Avoir des scripts à jour, la plupart des attaques utilisées par ces "pirates" sont des attaques basées sur des failles corrigées dans les dernières versions des scripts. En mettant à jour régulièrement vos scripts vous vous protégez et bénéficiez en plus des dernières fonctionnalités.
Bannir les serveurs zombis, personnellement je ne pratique pas, mais il est tout à fait envisageable de bannir ces serveurs en utilisant iptable.
Prévenir le webmaster et les hébergeurs, avec des outils comme Reverse dns lookup ou encore un bon vieux traceroute il est possible d'avoir des informations sur le serveur. Ensuite il ne reste plus qu'à faire un whois ou visiter le site pour trouver l'adresse du webmaster. Si pas le webmaster ne répond pas et que les attaques continue je tappe plus haut dans l'échelle et je previens les hébergeurs (Ovh, 1and1 ...).
Image : peasap
