Joomla sitelerin iceriklerini kontrol edin muhtemel bi joomla acigi ile shell code atmislardir...
Mustafa 9 Eki 2013 12:47 tarihinde "Alper Egitmen" <[email protected]> yazdı: > > Selamlar, bir firmada bulunan bana ait bir vps üzerinden çeşitli adreslere > brute force saldırısı denenmiş. Logları incelediğimde izinsiz bir giriş > tespit edemedim(Çokça saldırıya uğramış olsada). Ayrıca rootkitte > bulamadım. Bunun üzerine bu saldırının ip spoofing kullanılarak yapılıp > yapılmadığı üzerinde yoğunlaştım. > > Saldırı yapıldığı sıralarda loglarda postfix üzerinden şu şekilde > girdilere rastladım: > > Oct 8 23:14:54 tassadar postfix/qmgr[1314]: F035C63AFC1B: > from=<[email protected]>, size=772, nrcpt=1 (queue active) > > Oct 8 23:14:54 tassadar postfix/qmgr[1314]: D7E0B63AFAA6: > from=<[email protected]>, size=685, nrcpt=1 (queue active) > > ve bu ilgili fake hesaplarla ilgili: > > Oct 8 23:14:56 tassadar postfix/pickup[1315]: 8699663AFA7B: uid=33 > from=<[email protected]> > > Oct 8 23:14:56 tassadar postfix/cleanup[1346]: 8699663AFA7B: message-id=< > [email protected]> > > Oct 8 23:14:56 tassadar postfix/pickup[1315]: warning: A935963AFB10: > message has been queued for 107 days > > Oct 8 23:18:26 tassadar postfix/cleanup[1696]: E5D9F286856D: message-id=< > [email protected]> > > Oct 8 23:18:26 tassadar postfix/qmgr[1705]: E5D9F286856D: > from=<[email protected]>, size=745, nrcpt=1 (queue active) > > Oct 8 23:18:26 tassadar postfix/pickup[1315]: warning: EBABF286856E: > message has been queued for 156 days > > şeklinde girdiler mevcut. > > Bu işlem aynı zamanda vps'teki memory'nin şişmesine ve benim bir başka > process çalıştırmamada engel oluyor. > > > Karşı tarafa giden saldırıda izleride şu şekilde: > > > MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:03 +0400] "POST > /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; > +http://www.bing.com/bingbot.htm)" > MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:04 +0400] "POST > /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; > +http://www.bing.com/bingbot.htm)" > MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:05 +0400] "POST > /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; > +http://www.bing.com/bingbot.htm)" > MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:06 +0400] "POST > /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; > +http://www.bing.com/bingbot.htm)" > MYIPADRESS 247.116 mosvizitka24.ru - [07/Oct/2013:15:59:07 +0400] "POST > /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; > +http://www.bing.com/bingbot.htm)" > > > Sizce acaba doğru noktaya mı bakıyorum. Başka nasıl benim vps'im üzerinden > bu tarz bir saldırı yapılabilir ? > > Vps'te sadece ssh, apache ve teamspeak çalışıyor. Apache üzerinden 3-4 > tane joomla site var. > > Yorumlarınızı bekliyorum. > > Teşekkürler. > > NOT:Mydomain yazan yerde benim domain adreslerimden biri, myip yazan yerde > de ip adresim bulunuyor. > > >
