Şüphelendiğim gibi, postfix'i kullanarak bir şekilde ip spoofing'in gerçekleştirebilmişler.
İyi Çalışmalar. 2013/10/9 Cahit Cengizhan <[email protected]> > Selam, wp-login wordpress icin login panelidir. Sunucularinizda wp > calisiyor ise, onlarda bir kod calisoyor olabilir mi? Wp icin securty > plugin yukleyerek tarama yapabilirsiniz. Detay gerekir ise adini > hayirlamiyorum ama sitelerimden adini da bulurum. Kolay gelsin. > Cahit > 9 Eki 2013 13:02 tarihinde "Mustafa Kahraman" <[email protected]> yazdı: > > Joomla sitelerin iceriklerini kontrol edin muhtemel bi joomla acigi ile >> shell code atmislardir... >> >> Mustafa >> 9 Eki 2013 12:47 tarihinde "Alper Egitmen" <[email protected]> yazdı: >> >>> >>> Selamlar, bir firmada bulunan bana ait bir vps üzerinden çeşitli >>> adreslere brute force saldırısı denenmiş. Logları incelediğimde izinsiz bir >>> giriş tespit edemedim(Çokça saldırıya uğramış olsada). Ayrıca rootkitte >>> bulamadım. Bunun üzerine bu saldırının ip spoofing kullanılarak yapılıp >>> yapılmadığı üzerinde yoğunlaştım. >>> >>> Saldırı yapıldığı sıralarda loglarda postfix üzerinden şu şekilde >>> girdilere rastladım: >>> >>> Oct 8 23:14:54 tassadar postfix/qmgr[1314]: F035C63AFC1B: >>> from=<[email protected]>, size=772, nrcpt=1 (queue active) >>> >>> Oct 8 23:14:54 tassadar postfix/qmgr[1314]: D7E0B63AFAA6: >>> from=<[email protected]>, size=685, nrcpt=1 (queue active) >>> >>> ve bu ilgili fake hesaplarla ilgili: >>> >>> Oct 8 23:14:56 tassadar postfix/pickup[1315]: 8699663AFA7B: uid=33 >>> from=<[email protected]> >>> >>> Oct 8 23:14:56 tassadar postfix/cleanup[1346]: 8699663AFA7B: >>> message-id=<[email protected]> >>> >>> Oct 8 23:14:56 tassadar postfix/pickup[1315]: warning: A935963AFB10: >>> message has been queued for 107 days >>> >>> Oct 8 23:18:26 tassadar postfix/cleanup[1696]: E5D9F286856D: >>> message-id=<[email protected]> >>> >>> Oct 8 23:18:26 tassadar postfix/qmgr[1705]: E5D9F286856D: >>> from=<[email protected]>, size=745, nrcpt=1 (queue active) >>> >>> Oct 8 23:18:26 tassadar postfix/pickup[1315]: warning: EBABF286856E: >>> message has been queued for 156 days >>> >>> şeklinde girdiler mevcut. >>> >>> Bu işlem aynı zamanda vps'teki memory'nin şişmesine ve benim bir başka >>> process çalıştırmamada engel oluyor. >>> >>> >>> Karşı tarafa giden saldırıda izleride şu şekilde: >>> >>> >>> MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:03 +0400] "POST >>> /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; >>> +http://www.bing.com/bingbot.htm)" >>> MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:04 +0400] "POST >>> /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; >>> +http://www.bing.com/bingbot.htm)" >>> MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:05 +0400] "POST >>> /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; >>> +http://www.bing.com/bingbot.htm)" >>> MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:06 +0400] "POST >>> /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; >>> +http://www.bing.com/bingbot.htm)" >>> MYIPADRESS 247.116 mosvizitka24.ru - [07/Oct/2013:15:59:07 +0400] "POST >>> /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; >>> +http://www.bing.com/bingbot.htm)" >>> >>> >>> Sizce acaba doğru noktaya mı bakıyorum. Başka nasıl benim vps'im >>> üzerinden bu tarz bir saldırı yapılabilir ? >>> >>> Vps'te sadece ssh, apache ve teamspeak çalışıyor. Apache üzerinden 3-4 >>> tane joomla site var. >>> >>> Yorumlarınızı bekliyorum. >>> >>> Teşekkürler. >>> >>> NOT:Mydomain yazan yerde benim domain adreslerimden biri, myip yazan >>> yerde de ip adresim bulunuyor. >>> >>> >>>
