Arka planda çalışan izinsiz bir process yok, eğer joomla dosyalarına gömmüş olsalar bu seferde ilgili sayfayı çalıştırmaları gerekecek fakat apache access loglarında da bir gariplik yok. Saldırı zamanlarında sadace search engine botları erişim yapmış.
On Wednesday, October 9, 2013, Mustafa Kahraman <[email protected]> wrote: > Joomla sitelerin iceriklerini kontrol edin muhtemel bi joomla acigi ile shell code atmislardir... > > Mustafa > > 9 Eki 2013 12:47 tarihinde "Alper Egitmen" <[email protected]> yazdı: > > Selamlar, bir firmada bulunan bana ait bir vps üzerinden çeşitli adreslere brute force saldırısı denenmiş. Logları incelediğimde izinsiz bir giriş tespit edemedim(Çokça saldırıya uğramış olsada). Ayrıca rootkitte bulamadım. Bunun üzerine bu saldırının ip spoofing kullanılarak yapılıp yapılmadığı üzerinde yoğunlaştım. > Saldırı yapıldığı sıralarda loglarda postfix üzerinden şu şekilde girdilere rastladım: > Oct 8 23:14:54 tassadar postfix/qmgr[1314]: F035C63AFC1B: from=<[email protected]>, size=772, nrcpt=1 (queue active) > Oct 8 23:14:54 tassadar postfix/qmgr[1314]: D7E0B63AFAA6: from=<[email protected]>, size=685, nrcpt=1 (queue active) > ve bu ilgili fake hesaplarla ilgili: > Oct 8 23:14:56 tassadar postfix/pickup[1315]: 8699663AFA7B: uid=33 from=<[email protected]> > Oct 8 23:14:56 tassadar postfix/cleanup[1346]: 8699663AFA7B: message-id=< [email protected]> > Oct 8 23:14:56 tassadar postfix/pickup[1315]: warning: A935963AFB10: message has been queued for 107 days > > Oct 8 23:18:26 tassadar postfix/cleanup[1696]: E5D9F286856D: message-id=< [email protected]> > Oct 8 23:18:26 tassadar postfix/qmgr[1705]: E5D9F286856D: from=<[email protected]>, size=745, nrcpt=1 (queue active) > Oct 8 23:18:26 tassadar postfix/pickup[1315]: warning: EBABF286856E: message has been queued for 156 days > şeklinde girdiler mevcut. > Bu işlem aynı zamanda vps'teki memory'nin şişmesine ve benim bir başka process çalıştırmamada engel oluyor. > > Karşı tarafa giden saldırıda izleride şu şekilde: > > > MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:03 +0400] "POST /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" > MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:04 +0400] "POST /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" > MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:05 +0400] "POST /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" >
