Hack

Nombres de usuarios que no debes de usar

24 noviembre, 2014
bjone

Este fin de semana ha tocado una maquina petada desde AWS, dos días dando caña a un pobre servidor. Esta vez centrado en intentar entrar por ssh.

Estos son los usuarios con los que estaba probando, supongo que alguna aplicación por defecto… así que ni se os ocurra usarlos.

Y ademas, no os olvidéis de configurar

AllowUsers
MaxAuthTries
PermitRootLogin (No)

No te evitan los ataques, pero los limitan bastante.

ec2-54-174-77-118.compute-1.amazonaws.com

aaron, aarav, a1c924, a, oracle, uploader, user, more, ftp, agata, mike, john, test, root, bill, asmin, adam, pi, ftpuser

Y luego otro ataque curioso.
Un buen puñado de peticiones http head hacia ficheros que no existen.

173.208.200.20 – – [22/Nov/2014:07:44:25 +0100] «HEAD /fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx HTTP/1.1» 404 374 «-» «-»
173.208.200.20 – – [22/Nov/2014:07:44:24 +0100] «HEAD /fckeditor/editor/filemanager/browser/default/connectors/php/connector.php HTTP/1.1» 404 374 «-» «-»
173.208.200.20 – – [22/Nov/2014:07:44:24 +0100] «HEAD /fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp HTTP/1.1» 404 374 «-» «-»
173.208.200.20 – – [22/Nov/2014:07:44:24 +0100] «HEAD /fckeditor/editor/filemanager/connectors/php/connector.php HTTP/1.1» 404 374 «-» «-»
173.208.200.20 – – [22/Nov/2014:07:44:24 +0100] «HEAD /fckeditor/editor/filemanager/connectors/asp/connector.asp HTTP/1.1» 404 374 «-» «-»
173.208.200.20 – – [22/Nov/2014:07:44:23 +0100] «HEAD /fckeditor/editor/filemanager/connectors/aspx/connector.aspx HTTP/1.1» 404 374 «-» «-»
173.208.200.20 – – [22/Nov/2014:07:44:22 +0100] «HEAD /fckeditor/editor/filemanager/upload/php/upload.php HTTP/1.1» 404 374 «-» «-»
173.208.200.20 – – [22/Nov/2014:07:44:22 +0100] «HEAD /fckeditor/editor/filemanager/upload/asp/upload.asp HTTP/1.1» 404 374 «-» «-»
173.208.200.20 – – [22/Nov/2014:07:44:22 +0100] «HEAD /fckeditor/editor/filemanager/upload/aspx/upload.aspx HTTP/1.1» 404 374 «-» «-»
173.208.200.20 – – [22/Nov/2014:07:44:22 +0100] «HEAD /fckeditor/editor/filemanager/connectors/php/upload.php HTTP/1.1» 404 374 «-» «-»
173.208.200.20 – – [22/Nov/2014:07:44:20 +0100] «HEAD /fckeditor/editor/filemanager/connectors/asp/upload.asp HTTP/1.1» 404 374 «-» «-»
173.208.200.20 – – [22/Nov/2014:07:44:20 +0100] «HEAD /fckeditor/editor/filemanager/connectors/aspx/upload.aspx HTTP/1.1» 404 430 «-» «-»

Voy a probar a deshabilitar el metodo en ese virtual host, parece que todo funciona.

http://jmuras.com/blog/2010/how-to-block-http-requests-for-specific-method/

Parece que todo sigue funcionando igual.