- 17 mei 2010, 12:49
#21869
Beste weer liefhebbers,
n.a.v. een topic hier op HWA (Tjabine/Ron) en mijn confrontatie met mijn eigen logfiles wil ik graag een draadje beginnen over security van webpagina's. Ik heb vandaag niet veel tijd want het is papa dag, en ik moet er dus voornamelijk voor de kleine zijn
Veel van jullie vinden het leuk om de gegevens van het weerstation te publiceren op internet. Ik vermoed ook dat de meesten daarom een servertje thuis hebben staan met daarop de webpagina. De webpagina starten is tegenwoordig zo moeilijk niet meer, alleen standaard instellingen laten vaak te veel toe waardoor er te veel onveilige websites zijn.
Naast het feit dat deze pagina wordt bezocht door allemaal webcrawlers (robot's die proberen jouw webpagina de indexeren zodat ze gevonden kunnen worden op bijvoorbeeld google) en gewone bezoekers zitten er ook vele miljoenen scriptkiddies op het internet die gewoon voor de lol jouw pagina plat proberen te leggen of bezoekers te pijnigen door trojan horses te verstoppen... HIEP HOI!
In dit topic wil ik gaan bespreken hoe we deze klootzakjes buiten de deur gaan houden door allereerst te beginnen met een vraag en een oefening... de vraag: Ik wil van jullie weten of jullie wel eens je connectie en error logs bekijken van jullie webserver... de oefening: zoek de beide logs eens op en kijk eens of je daar iets ziet zoals
Morfeus fucking scanner, w00tw00t... Dfind, of een bot die bijvoorbeeld opzoek is naar jouw phpMyAdmin pagina.
uitleg: in jouw connectie log zie je alle connecties die zijn gemaakt door jouw webserver, in de error log alle connecties die zijn fout gelopen. Hier kan je zien of jouw server wordt "gepolst" op scripts die geëxploit kunnen worden door onze klootzakjes. De bovenste 3 vond ik voornamelijk in mijn logs terug... maar wat doen ze?
Morfeus fucking scanner: zoekt naar php scripts die lekken vertonen en zo openingen naar het systeem kunnen bieden.
Dfind: ook een exploit scanner, deze checkt het systeem op aanwezige (bekende) security lekken
Bots die zoeken naar bepaalde pagina's: Ik vond ook een bot die was opzoek naar admin pagina's en mijn phpMyAdmin pagina. Doel is duidelijk: vind een inlog scherm om te kijken of je d.m.v. "brute force" kan inbreken op de pagina of als iemand de mogelijkheid heeft om jouw lijn af te luisteren een "man in the middle attack" kan uitvoeren...
Voor nu even genoeg tekst. Ik hoop op leerzame reacties en posts uit jullie logs zodat we er een blik op kunnen werpen en de klootzakjes de pas af te snijden... ik ga een poepluier verschonen!
Groetjes!
n.a.v. een topic hier op HWA (Tjabine/Ron) en mijn confrontatie met mijn eigen logfiles wil ik graag een draadje beginnen over security van webpagina's. Ik heb vandaag niet veel tijd want het is papa dag, en ik moet er dus voornamelijk voor de kleine zijn
Veel van jullie vinden het leuk om de gegevens van het weerstation te publiceren op internet. Ik vermoed ook dat de meesten daarom een servertje thuis hebben staan met daarop de webpagina. De webpagina starten is tegenwoordig zo moeilijk niet meer, alleen standaard instellingen laten vaak te veel toe waardoor er te veel onveilige websites zijn.
Naast het feit dat deze pagina wordt bezocht door allemaal webcrawlers (robot's die proberen jouw webpagina de indexeren zodat ze gevonden kunnen worden op bijvoorbeeld google) en gewone bezoekers zitten er ook vele miljoenen scriptkiddies op het internet die gewoon voor de lol jouw pagina plat proberen te leggen of bezoekers te pijnigen door trojan horses te verstoppen... HIEP HOI!
In dit topic wil ik gaan bespreken hoe we deze klootzakjes buiten de deur gaan houden door allereerst te beginnen met een vraag en een oefening... de vraag: Ik wil van jullie weten of jullie wel eens je connectie en error logs bekijken van jullie webserver... de oefening: zoek de beide logs eens op en kijk eens of je daar iets ziet zoals
Morfeus fucking scanner, w00tw00t... Dfind, of een bot die bijvoorbeeld opzoek is naar jouw phpMyAdmin pagina.
uitleg: in jouw connectie log zie je alle connecties die zijn gemaakt door jouw webserver, in de error log alle connecties die zijn fout gelopen. Hier kan je zien of jouw server wordt "gepolst" op scripts die geëxploit kunnen worden door onze klootzakjes. De bovenste 3 vond ik voornamelijk in mijn logs terug... maar wat doen ze?
Morfeus fucking scanner: zoekt naar php scripts die lekken vertonen en zo openingen naar het systeem kunnen bieden.
Dfind: ook een exploit scanner, deze checkt het systeem op aanwezige (bekende) security lekken
Bots die zoeken naar bepaalde pagina's: Ik vond ook een bot die was opzoek naar admin pagina's en mijn phpMyAdmin pagina. Doel is duidelijk: vind een inlog scherm om te kijken of je d.m.v. "brute force" kan inbreken op de pagina of als iemand de mogelijkheid heeft om jouw lijn af te luisteren een "man in the middle attack" kan uitvoeren...
Voor nu even genoeg tekst. Ik hoop op leerzame reacties en posts uit jullie logs zodat we er een blik op kunnen werpen en de klootzakjes de pas af te snijden... ik ga een poepluier verschonen!
Groetjes!
