ataque

Intento de ataque

/ arrodas / Leave a comment

Ayer, recibí un post de lo más raro:

Autor : Bill Gates','billy@msn.com','','63.23.12.12','2008-03-07 18:07:08','2008-03-07 18:07:08','','0','Mozilla/4.0(compatible; MSIE 5.0; Windows 98; DigExt)','comment','0','0'),('0', '', '', '', '', '2008-03-08 18:07:08', '2008-03-08 18:07:08', '', 'spam', '', (IP: 64.191.63.181 , titania.hostingmadeeasy.com)
E-mail :
URL : http://None
Comentario:
<strong>None...</strong>

Tiene toda la pinta de tratar de reventarme alguna vulnerabilidad de la web, sin éxito obviamente.

El pollo que lo ha hecho, lo intentó desde la IP 64.191.63.181 , que al principio parecía un broma, pues tiene sede en Scranton, como The Office (serie muy recomendable). Aquí vemos las trazas de Apache:

64.191.63.181 – – [08/Mar/2008:00:07:12 +0100] “POST /wp-trackback.php HTTP/1.1” 200 135 “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”

Acaba de hacer un post, pero no le sirve de nada…

64.191.63.181 – – [08/Mar/2008:00:07:13 +0100] “GET /wp-trackback.php?p=162 HTTP/1.1” 302 – “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:13 +0100] “GET /wp-trackback.php?p=162 HTTP/1.1” 302 – “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:13 +0100] “GET /wp-trackback.php?p=162 HTTP/1.1” 302 – “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:14 +0100] “GET /wp-trackback.php?p=162 HTTP/1.1” 302 – “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:14 +0100] “GET /wp-trackback.php?p=1 HTTP/1.1” 200 135 “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:14 +0100] “GET /wp-trackback.php?p=2 HTTP/1.1” 200 135 “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:15 +0100] “GET /wp-trackback.php?p=3 HTTP/1.1” 302 – “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:15 +0100] “GET /wp-login.php?action=logout HTTP/1.1” 302 – “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”

Aquí se lo ha pasado pasado pipa buscando una URL, además de tratar de hacer un logout… ¿de qué usuario?

64.191.63.181 – – [08/Mar/2008:00:07:16 +0100] “POST /wp-trackback.php?p=3 HTTP/1.1” 200 78 “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:16 +0100] “POST /wp-trackback.php?p=3 HTTP/1.1” 500 656 “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”

Ahí está el método POST con el que ha hecho el comentario. Como tengo moderación, no le ha servido de nada, pues hasta que no lo apruebo, no aparece… Si la cosa persiste, veré si poner unos capchas o similar.

Por cierto, si probáis la web titania.hostingmadeeasy.com, aparece un CPanel mal configurado...

¿Intento de Ataque?

/ arrodas / Leave a comment

Antes de ayer, observé a través de los applets que tengo en la pantalla que la velocidad de descarga era la práctica totalidad de mi ancho de banda.

Network Applet

Al principio, noté que la navegación iba lenta, pero el mlDonkey no mostraba grandes estadísticas, lo que me extrañó un poco, así que, casualmente, vi el total de tráfico de entrada (bajada) al pc.

Al ver aquello, comencé a parar servicios, comenzando por el servidor web, sin mucho éxito. Una vez que no tengo ni un sólo puerto escuchando, con una captura de tráfico no dejo de ver paquetes UDP al puerto de Kadmelia provenientes de un ISP chino.

Por fortuna, debido a que tengo IP dinámica (que también es una lata por otro lado), la solución fue apagar y encender el router (de otro modo habría tenido que crear una regla de drop para dicha IP).

No me ha quedado claro que sea un ataque DoS (que no tiene mucho sentido al venir de una única IP) o un mal funcionamiento del otro cliente (del chino). El caso es que esa IP ha vuelto a aparecer en la lista de “peers” de Kadmelia con el que posiblemente quizás haya vuelto a intercambiar algún paquete UDP sin mayor problema.

Por cierto, ya sólo uso kadmelia y bittorrent (y éste como me da mucha pereza, casi nunca) y desde entonces, al no usar servidores de eDonkey, los resultados de las búsquedas son más fiables (menos fakes).