Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not remember your credentials, you should contact your web host.

Connection Type

Kdo na mě útočí a využívá chybu v OpenSSL Heartbleed?

Kdo na mě útočí a využívá chybu v OpenSSL známou jako Heartbleed?

Způsobů detekce útoku na OpenSSL je k dispozici, samozřejmě, daleko více. Heartbleed openssl bug vector shapeTento je ale velice jednoduše realizovatelný i na běžném serveru s operačním systémem Linux. Nepotřebujete žádné IPS/IDS. Jestli se tedy chcete trochu morbidně pobavit, čtěte dále. 🙂

Nastavení Iptables

Nastavíme v Iptables logovací filtr a následně tento útočný požadavek zahodíme:

# iptables -I INPUT -p tcp -m tcp --dport 443 -m u32 --u32 \
 0x34=0x18030000:0x1803ffff -j LOG --log-prefix "BLOKUJI HEARTBLEED: "
# iptables -I INPUT -p tcp -m tcp --dport 443 -m u32 --u32 \
 0x34=0x18030000:0x1803ffff -j DROP

Druhé pravidlo nám m.j. zajistí provizorní ochranu v případě, že z nějakého důvodu není možná aktualizace zranitelné verze OpenSSL.

Zjištění IP adres útočníků

Vyčkejte alespoň několik hodin. Ze syslogu si zjistíte utočníky následovně:

# cat /var/log/messages* |grep HEART |awk -F " " '{print $11}' \ 
|awk -F "=" '{print $2}' |sort -u
101.226.14.146
101.226.14.149
101.226.17.51
103.10.197.50
130.149.221.188
182.118.55.178
182.118.60.14
54.72.69.113
#

Vida je, darebáky … Pokud vám stačí jen jejich počet:

# cat /var/log/messages* |grep HEART |awk -F " " '{print $11}' \ 
|awk -F "=" '{print $2}' |sort -u |wc -l
8
#

To je pro dnešek vše. 🙂

 

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.