Kdo na mě útočí a využívá chybu v OpenSSL známou jako Heartbleed?

Způsobů detekce útoku na OpenSSL je k dispozici, samozřejmě, daleko více. Heartbleed openssl bug vector shapeTento je ale velice jednoduše realizovatelný i na běžném serveru s operačním systémem Linux. Nepotřebujete žádné IPS/IDS. Jestli se tedy chcete trochu morbidně pobavit, čtěte dále. 🙂

Nastavení Iptables

Nastavíme v Iptables logovací filtr a následně tento útočný požadavek zahodíme:

# iptables -I INPUT -p tcp -m tcp --dport 443 -m u32 --u32 \
 0x34=0x18030000:0x1803ffff -j LOG --log-prefix "BLOKUJI HEARTBLEED: "
# iptables -I INPUT -p tcp -m tcp --dport 443 -m u32 --u32 \
 0x34=0x18030000:0x1803ffff -j DROP

Druhé pravidlo nám m.j. zajistí provizorní ochranu v případě, že z nějakého důvodu není možná aktualizace zranitelné verze OpenSSL.

Zjištění IP adres útočníků

Vyčkejte alespoň několik hodin. Ze syslogu si zjistíte utočníky následovně:

# cat /var/log/messages* |grep HEART |awk -F " " '{print $11}' \ 
|awk -F "=" '{print $2}' |sort -u
101.226.14.146
101.226.14.149
101.226.17.51
103.10.197.50
130.149.221.188
182.118.55.178
182.118.60.14
54.72.69.113
#

Vida je, darebáky … Pokud vám stačí jen jejich počet:

# cat /var/log/messages* |grep HEART |awk -F " " '{print $11}' \ 
|awk -F "=" '{print $2}' |sort -u |wc -l
8
#

To je pro dnešek vše. 🙂

 

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.