Un ataque que se sale de lo normal, un tío desde la ip 69.61.19.51 que se ha tirado toda la noche intentando subir archivos para después conectarse por ssh a una de las maquinas. Ademas intentándolo de varias formas. No tiene pinta de ataque automático, el pollo lo esta haciendo a conciencia.
Lo primero que intento …
[Tue Jun 30 22:53:42.881989 2015] [authz_core:error] [pid 14447] [client 69.61.19.51:37136] AH01630: client denied by server configuration: /var/www/html/.htpasswd~Como no podía se puso a intentar colocar cosas en los /homes
69.61.19.51 – – [30/Jun/2015:22:53:40 +0200] «HEAD /.bitcoin/wallet.dat HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:40 +0200] «HEAD /.sh_history HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:40 +0200] «HEAD /.history HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:40 +0200] «HEAD /.bash_history HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:40 +0200] «HEAD /.ssh/id_dsa.bak HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_rsa.bak HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_ecdsa.old HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_ecdsa_old HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_ecdsa2 HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_dsa2 HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_rsa2 HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_ecdsa_2 HTTP/1.1» 404 218 «-» «-»
Y así durante unas cuantas horas, rastreando a ver si había algún directorio con los permisos mal puestos.
Otra de las cosas que ultimamente intentan mucho es sustituir (o añadir) un fichero falso de login …
91.200.12.29 – – [25/Jun/2015:23:57:18 +0200] «POST /wp-login.php HTTP/1.1» 404 22081 «-» «Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0»
91.200.12.29 – – [25/Jun/2015:23:57:12 +0200] «POST /wp-login.php HTTP/1.1» 404 22081 «-» «Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0»
91.200.12.29 – – [25/Jun/2015:23:57:05 +0200] «POST /wp-login.php HTTP/1.1» 404 22060 «-» «Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0»
91.200.12.29 – – [25/Jun/2015:23:56:59 +0200] «POST /wp-login.php HTTP/1.1» 404 22060 «-» «Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0»
91.200.12.29 – – [25/Jun/2015:23:56:52 +0200] «POST /wp-login.php HTTP/1.1» 404 22060 «-» «Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0»
Parece que la gente sigue con mucho tiempo libre, esto empieza a ser un sin vivir …
Y no se vayan todavía, que aun hay mas … han vuelto los escaneos en busca de servidores de correo que permiten el relay. Esto si que hacia tiempo que no pasaba.
Jun 25 21:30:14 ks38032 sm-mta[9692]: ruleset=check_relay, arg1=[193.0.200.132], arg2=193.0.200.132, relay=[193.0.200.132], reject=421 4.3.2 Connection rate limit exceeded.
Jun 25 21:30:14 ks38032 sm-mta[9691]: ruleset=check_relay, arg1=[193.0.200.132], arg2=193.0.200.132, relay=[193.0.200.132], reject=421 4.3.2 Connection rate limit exceeded.
Jun 25 21:30:14 ks38032 sm-mta[9690]: ruleset=check_relay, arg1=[193.0.200.132], arg2=193.0.200.132, relay=[193.0.200.132], reject=421 4.3.2 Connection rate limit exceeded.
Jun 25 21:30:14 ks38032 sm-mta[9689]: ruleset=check_relay, arg1=[193.0.200.132], arg2=193.0.200.132, relay=[193.0.200.132], reject=421 4.3.2 Connection rate limit exceeded.
Jun 25 21:30:13 ks38032 sm-mta[9688]: ruleset=check_relay, arg1=[193.0.200.132], arg2=193.0.200.132, relay=[193.0.200.132], reject=421 4.3.2 Connection rate limit exceeded.
Jun 25 21:30:13 ks38032 sm-mta[9687]: ruleset=check_relay, arg1=[193.0.200.132], arg2=193.0.200.132, relay=[193.0.200.132], reject=421 4.3.2 Connection rate limit exceeded.