לפני קצת פחות משבוע, החבר’ה מהבלוג של SpiderLabs פרסמו הודעה כי כמה מרכיבי ה-Honeypot שלהם זיהו גל של סריקות ממספר כתובות IP שונות אחר שרתים החשופים למספר חולשות Remote Command Injection במערכת לניהול ומעקב אחר נתוני גלישה - AWStats.

לפי הנתונים בדו”ח ובעזרת מספר נתונים מ-Metasploit נראה כי התוקפים חיפשו בין היתר אחר חולשות ישנות מאוד (מ-2005 ו-2006):

  • http://www.metasploit.com/modules/exploit/unix/webapp
  • http://www.exploit-db.com/exploits/1755

מדי פעם אני מוריד את הלוגים של שרת ה-HTTP של Digital Whisper ועובר עליהם, כל פעם אני לומד משהו חדש :) וגם היום, הורדתי את הלוגים של היומיים האחרונים, ותוך פחות מדקה ראיתי שגם את השרת של Digital Whisper ניסו לתקוף, ביומיים האחרונים (היום ואתמול) עברו עלינו ארבעה גלים - כל אחד מכתובת IP שונה, וכולם חיפשו אחר החולשות במערכת AWStats (וחולשת RCE נוספת ב-phpalbum):

הכתובות שמהן בוצעו הסריקות על המערכת הן:

  • 80.24.95.85
  • 220.179.64.23
  • 67.55.95.132
  • 122.255.96.164

הצלבה זריזה עם הנתונים בדו”ח של SpiderLabs מראה ששלושה מתוך ארבעת הכתובות שמהם סרקו את השרת שלנו מוכרות. הכתובת שאינה מופיעה בדו”ח של SpiderLabs היא זו:

  • 80.24.95.85

בנוסף, ארבעת כתובות ה-IP הן כתובות של שרתי HTTP, מבדיקה קצרצרה שעשיתי, על שתיים משרתי ה-HTTP קיימת לפחות אחת מהחולשות אותן הם עצמם סורקים. ככל הנראה כך הם נפרצו. (יש סיכוי שגם על השרתים הנותרים קיימות החולשות, לא התעמקתי…)

האתרים הם:

  • bbs.ahys.gov.cn - 220.179.64.23 - עדיין לא הבנתי על מה בדיוק האתר. אבל נראה שהוא אתר ממשלתי סיני.
  • www.wirelesskl.com - 122.255.96.164 - חברה המספקת שירותי Wireless בעיר הבירה של מלזיה.
  • www.anitin.com - 80.24.95.85 - אתר של רשת מסעדות אירופית.
  • 67.55.95.132 - משתמש כאחד מהשרתים של www.webair.com (חברה ל-Hosting)

עוד נקודה מעניינת- על ארבעת ה-IP פתוח הפורט 8888 או 9999 שמשמש לשירות NewsEDGE Server, שוב, לא חקרתי לעומק.

על כל פנים, אני ממליץ בחום לבדוק טוב טוב אילו תוכנות אתם מתקינים על השרת שלכם והאם הן מאובטחות מספיק :)