Anunţ

Caută printre mesajele de pe forum înainte de a scrie unul nou!
Formulează corect întrebarea sau problema pe care o ai.
Respectă regulile forumului și Codul de Conduită!

#1 26 Apr 2016 09:16:26

SkyWay
Membru
Locaţie: Sighetu Marmatiei
Înregistrat: 28 Jul 2012
Mesaje: 144

Raspberry - fail2ban

Am observat că jucăria se mișcă mai greu de ceva vreme, și am zis să dau câte un ochi în log-uri. Am găsit ceva IP-uri de china, japonia, care caută ceva.. habar n-am ce.. pentru că nu sunt un utilizator avansat. Bănuiesc că ceva exploit pentru php, mysql.. de accea am venit la voi. Am tot auzit că fail2ban ar face treabă bună împotriva lor. Așa că am instalat fail2ban, dar sunt cam încurcat la partea de configurare.
Ce m-a făcut să cred că ceva nu e în regulă e:
access.log

Cod:

150.70.173.53 - - [24/Apr/2016:19:51:32 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.188.175 - - [24/Apr/2016:21:06:27 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.173.53 - - [24/Apr/2016:21:32:44 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
141.212.122.129 - - [24/Apr/2016:23:29:17 +0300] "GET /x HTTP/1.1" 400 0 "-" "Telesphoreo"
40.68.211.62 - - [25/Apr/2016:00:08:50 +0300] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 499 "-" "ZmEu"
40.68.211.62 - - [25/Apr/2016:00:08:50 +0300] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 486 "-" "ZmEu"
40.68.211.62 - - [25/Apr/2016:00:08:51 +0300] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 486 "-" "ZmEu"
40.68.211.62 - - [25/Apr/2016:00:08:51 +0300] "GET /pma/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
40.68.211.62 - - [25/Apr/2016:00:08:51 +0300] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 483 "-" "ZmEu"
40.68.211.62 - - [25/Apr/2016:00:08:51 +0300] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 483 "-" "ZmEu"
150.70.188.165 - - [25/Apr/2016:00:32:20 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.173.5 - - [25/Apr/2016:01:54:47 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.97.86 - - [25/Apr/2016:01:56:06 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.173.45 - - [25/Apr/2016:03:43:11 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.188.171 - - [25/Apr/2016:06:34:23 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.173.41 - - [25/Apr/2016:07:10:29 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.173.6 - - [25/Apr/2016:08:48:21 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.173.9 - - [25/Apr/2016:10:10:41 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.188.181 - - [25/Apr/2016:10:12:23 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.188.181 - - [25/Apr/2016:10:30:08 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.188.179 - - [25/Apr/2016:10:58:25 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.173.10 - - [25/Apr/2016:11:10:45 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.188.168 - - [25/Apr/2016:11:20:28 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.188.166 - - [25/Apr/2016:12:30:12 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
150.70.97.86 - - [25/Apr/2016:12:55:07 +0300] "GET / HTTP/1.1" 200 986 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"

error.log

Cod:

[Tue Apr 12 14:09:07.441925 2016] [core:error] [pid 443] [client 169.229.3.91:53958] AH00135: Invalid method in request ;!>\xe5\xc4\xde\xc1\x1aB|\xcaw\t/[\xa1a\xfa\x8bm&#\xab7q\xb5gq\xd90\xd4T\xa5\xe0&\xfek\xce\xf4_5\xc8\x8d\xce\xdd\xd9\x99\xc6\xcc}\x04\x98\xdc\xe1W_
[Tue Apr 26 01:04:46.535310 2016] [:error] [pid 440] [client 89.248.174.4:55780] script '/var/www/html/xmlrpc.php' not found or unable to stat
[Wed Apr 20 08:03:55.745725 2016] [:error] [pid 436] [client 104.128.144.131:49897] script '/var/www/html/redirect.php' not found or unable to stat

Poate mă agit degeaba?

Offline

 

#2 27 Apr 2016 01:28:26

oldred
Membru
Locaţie: Oradea
Înregistrat: 13 Feb 2008
Mesaje: 92

Re: Raspberry - fail2ban

Salut! Am intalnit aceste probleme pentru o perioada destul de lunga... Cu ajutorul colegilor de aici, in special @guletz2002 (multumiri inca odata), am reusit sa ma protejez cat de cat (nici eu nu sunt un utilizator avansat, folosesc Ubuntu din placere) dar acest link te poate ajuta http://forum.ubuntu.ro/viewtopic.php?id=24379
chkrootkit, fail2ban, rkhunter si ossec pe un sistem curat, te vor ajuta!

Offline

 
Feed

Antet forum

Powered by FluxBB