Selamlar, bir firmada bulunan bana ait bir vps üzerinden çeşitli adreslere brute force saldırısı denenmiş. Logları incelediğimde izinsiz bir giriş tespit edemedim(Çokça saldırıya uğramış olsada). Ayrıca rootkitte bulamadım. Bunun üzerine bu saldırının ip spoofing kullanılarak yapılıp yapılmadığı üzerinde yoğunlaştım.
Saldırı yapıldığı sıralarda loglarda postfix üzerinden şu şekilde girdilere rastladım: Oct 8 23:14:54 tassadar postfix/qmgr[1314]: F035C63AFC1B: from=<[email protected]>, size=772, nrcpt=1 (queue active) Oct 8 23:14:54 tassadar postfix/qmgr[1314]: D7E0B63AFAA6: from=<[email protected]>, size=685, nrcpt=1 (queue active) ve bu ilgili fake hesaplarla ilgili: Oct 8 23:14:56 tassadar postfix/pickup[1315]: 8699663AFA7B: uid=33 from=<[email protected]> Oct 8 23:14:56 tassadar postfix/cleanup[1346]: 8699663AFA7B: message-id=< [email protected]> Oct 8 23:14:56 tassadar postfix/pickup[1315]: warning: A935963AFB10: message has been queued for 107 days Oct 8 23:18:26 tassadar postfix/cleanup[1696]: E5D9F286856D: message-id=< [email protected]> Oct 8 23:18:26 tassadar postfix/qmgr[1705]: E5D9F286856D: from=<[email protected]>, size=745, nrcpt=1 (queue active) Oct 8 23:18:26 tassadar postfix/pickup[1315]: warning: EBABF286856E: message has been queued for 156 days şeklinde girdiler mevcut. Bu işlem aynı zamanda vps'teki memory'nin şişmesine ve benim bir başka process çalıştırmamada engel oluyor. Karşı tarafa giden saldırıda izleride şu şekilde: MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:03 +0400] "POST /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:04 +0400] "POST /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:05 +0400] "POST /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:06 +0400] "POST /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" MYIPADRESS 247.116 mosvizitka24.ru - [07/Oct/2013:15:59:07 +0400] "POST /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" Sizce acaba doğru noktaya mı bakıyorum. Başka nasıl benim vps'im üzerinden bu tarz bir saldırı yapılabilir ? Vps'te sadece ssh, apache ve teamspeak çalışıyor. Apache üzerinden 3-4 tane joomla site var. Yorumlarınızı bekliyorum. Teşekkürler. NOT:Mydomain yazan yerde benim domain adreslerimden biri, myip yazan yerde de ip adresim bulunuyor.
