Una de Hack: 4 días con un servidor apache con WordPress y ssh abierto al mundo.
La verdad que la idea se me ocurrió de un video que vi en YouTube la verdad me sorprendió lo poco que tardaban en atacarle.
Yo monte en casa una Raspberry la buena chihuahua y con raspbian pelado.
Instale:
- Apache2 solo puerto 80
- WordPress (muy vagamente con un mariadb)
- ssh y si este tenia el 2222 como puerto para ver si realmente es util o realmente la gente ve un 22 a lujo..
No he utilizado ningun nombre de dominio simplemnte mi direccion de WAN..
Mi felicidad duro 30 min y ya empezaron con el servicio web
he ejecutado un #sort /var/log/apache2/access.log | awk ‘{print $1, $4, $7}’
y coloco alguno de los sitios de mis visitantes..
como se animaba el tema deje un terminal con tail -f /var/log/apache2/access.log | awk ‘{print$1, $4, $7}’ para poder verlo en tiempo real.
y 3 dias mas tarde continua con movimiento.
Contramedida: fail2ban https://martinezmartinez.eu/fail2ban-bloquear-ips-en-apache/ aqui la configuración que realice y realmente bajo mucho mucho la presion.
para empezar me pase indicando que cada 3 fallos realizara un bloqueo de 24h pero ahora creo que esta mas afinado. con 10 fallos
y me ha bloqueado 12 IPS
La verdad que esperaba de paises mas raros…
y el SSH?
Pues este me ha sorprendido mas con 173 baneos..
En este momento 1808 intentos
Estos son los usuarios intentados
s01 root hongzhuo postgres buct_new buct-lhp buct_lly vadmin zyfwp yfmao hadoop slzhang samba ubuntu nexus jenkins gf asus dell wjy czq dev tomcat SSL ps backup odroid www-data apache2 admin monitor vagrant jinbo testuser telecoma daniel scan wyy orangepi user osmc david lius vyos media odoo openhabi pi lzl nobody scanner minecraf yinx ubnt lm logout prueba ftp yz test anonymou dhis ftpuser lr vpn test1 git szud 1 lumin debian szf user1 ljw default kang RPM username operator dietpi lx guest config supervis 1234 support wqmarldu nano miner mos minersta gns3 nginx uftp wang ec2-user amandaba www mongodb dolphins elastic airflow apache ds fil node bot bin arkserve centos ts docker sonar lsb elastics es azureuse gitlab oscar sys deepspee sol oracle gmod demo steam develope dolphin weblogic goeth lighthou bigdata app sftp nvidia satisfac mysql nft esroot data ark zookeepe worker deploy mapr jumpserv tom elsearch rancher sysadmin esadmin esuser sftpuser appuser kubernet yarn elk amanda gbase hive vnc ranger ethnode chain gpadmin plex blockcha gitlab-r awsgui jupyter zabbix gitlab-p dlxuser asds
Paises:
Hangzhou, Zhejiang, China, Asia Gyeongju, Gyeongsangbuk-do, South Korea, Asia Bengaluru, Karnataka, India, Asia Bengaluru, Karnataka, India, Asia Cheonan, Chungcheongnam-do, South Korea, Asia Geoje, Gyeongsangnam-do, South Korea, Asia North Bergen, New Jersey, United States, North America United Kingdom, Europe Mosier, Oregon, United States, North America Jincheng, Shanxi, China, Asia Frankfurt am Main, Hesse, Germany, Europe Anseong, Gyeonggi-do, South Korea, Asia Mosier, Oregon, United States, North America Dayton, Ohio, United States, North America Santa Clara, California, United States, North America Barcelona, Barcelona, Catalonia, Spain, Europe Mosier, Oregon, United States, North America Dallas, Texas, United States, North America Thilay, Ardennes, Grand Est, France, Europe Buk-gu, Gwangju, South Korea, Asia Mosier, Oregon, United States, North America Pyeongchang, Gangwon-do, South Korea, Asia Frankfurt am Main, Hesse, Germany, Europe Germany, Europe Kungsbacka, Halland County, Sweden, Europe Amsterdam, North Holland, Netherlands, Europe Qingdao, Shandong, China, Asia Mosier, Oregon, United States, North America China, Asia
Para mayor de mi sorpresa ya estoy en shodan! con cves..
ya paro por hoy un saludo!!!