Chi ha un server dedicato e non è mai stato esaminato a fondo dagli hacker Russi, Cinesi e Ukraini, è fortunato. Finora pensavo che non sarebbe mai successo, e invece ...
Dunque questo capitolo nasce fresco dall'esperienza appena vissuta e vinta in via definitiva. Ve la racconto brevemente, mentre mi dedico soprattutto alla descrizione dei numerosi interventi tecnici, che sono richiesti. Ovviamente, un totale principiante non può farci nulla.
Prima di tutto, non è possibile salvarsi preventivamente dagli attacchi, ma si può fare qualcosina a livello di Apache, tipo inserire tanti Deny From 1.2.3.0/24 nei diritti di accesso.
Ad esempio, una tipica configurazione potrebbe trovarsi nel file .htaccess, dove si cerca prima di arginare l'arrivo degli invasori:
Order allow,deny
Allow From All
Deny From 1.2.3.4
Deny From 5.6.7.0/24
L'ordine definito da Order allow,deny è vitale. Ovviamente nel manuale ufficiale l'hanno sbagliato e invertita (Order deny,allow), e quindi non va. Prima si permette tutto e poi si nega l'accesso a determinati IP.
Un po' meno intuitivo è la sintassi implicita dei CIDR che richiede che i byte mascherati siano zeri, altrimenti non va nemmeno quella, anche se non dovrebbe fare nessuna differenza. Ergo 5.6.7.0/24 funziona, 5.6.7.8/24 non funziona. Da tenere presente, quando il tempo stringe
Come già detto qui, è un ottimo mezzo per contenere le iniziali fasi dell'attacco. Bisogna tenere presenti due cose importanti dei nostri avversari:
Sono pigri e di regola non sanno cosa fanno.
Questi due fattori ci permettono di vincere la battaglia in tempi ragionevoli. L'efficienza dipende anche dalla nostra voglia di imparare cose nuove. Se ci manca, è meglio terminare qui e affidare il caso a un esperto.
L'impostazione corretta è:
C'è un unico problema: Apache emette per ogni richiesta respinta una pagina di errore, che alla fine satura il sistema, e comunque bisogna andare a combattere altrove, nella giungla dell'IPSec.Codice:<IfModule dosevasive22_module> DOSHashTableSize 3097 DOSPageCount 3 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 10 </IfModule>
Le utilità di supporto possono essere scaricate qui da Microsoft per XP. Non si installa, ma gira anche su Windows 2003.
Il problema è, come ca**o installare questi mezzi indispensabili sul nostro PC con Windows Vista, Windows 7 o Windows 2003. Eccoci quindi con la cura: metto i file a disposizione.
Questi file vanno messo in una cartella a vostra scelta, ma non sul desktop.
Per la manutenzione facile, vi consiglio di utilizzare esclusivamente il blocco dinamico degli IP, e creare quindi alcuni file Batch per facilitare la gestione.
I seguenti file si mettono tutti in una cartella e si correggono i percorsi a ipseccmd.exe. Altrimenti non succede proprio nulla
ipban.bat
_ipban.batCodice:@ECHO OFF REM MAI FARE: ipseccmd -f [mio_ip=*] REM Altrimenti bisogna rimuovere la regola da un'altra macchina o riavviare, REM salvo che il firewall di Windows "ripara" questo problema, ma non credo. REM PROVE: REM QUI: ipseccmd -f [altro_ip=*] REM Su altro_ip: telnet mio_ip 25 "D:\Program Files\Support Tools\ipseccmd.exe" -u > nul REM 2010-06-05 CALL _ipban.bat 58.61.164.* CALL _ipban.bat 66.90.104.159 CALL _ipban.bat 67.159.44.* CALL _ipban.bat 74.118.192.* CALL _ipban.bat 76.73.*.*
add_ipban.batCodice:@ECHO OFF IF %1X == X GOTO :END SET ipseccmd="D:\Program Files\Support Tools\ipseccmd.exe" ECHO %1 %ipseccmd% -f [%1=*] > nul :END SET ipseccmd=
_ipallow.batCodice:@ECHO OFF IF %1X == X GOTO :END REM Harden system CALL _ipban.bat %1 ECHO CALL _ipban.bat %1>>ipban.bat :END
Codice:@ECHO OFF IF %1X == X GOTO :END ECHO %1 "D:\Program Files\Support Tools\ipseccmd.exe" -f (%1=*) > nul :END
Siamo arrivati fin qui, e il lavoro maggiore ci attende ancora. Prima di tutto dobbiamo togliere i divieti dal file .htaccess, visto che ora abbiamo lo scettro pronto per colpire.
Vi consiglio caldamente di non bloccare il vostro IP a titolo di prova, insomma a nessun titolo. Vi potreste trovare nella situazione di non sapere come riavviare o altrimenti accedere al server. Ve l'ho detto ...
Ora lanciate il programma Apache Monitor, che troverete nella cartella bin di Apache (2.2.x), se non avete fatto strage. Si mette bravo nella Tray. Poi andate a copiare il nutrito file log con gli errori sul desktop, dopo aver spento un attimo Apache. Avviatelo dopo. Se il file log non vi serve per le statistiche, potete anche spostarlo, tanto gli hacker vi fanno subito un altro ancora più pieno.
Andate a cercare errori del genere:
Quello che vi attacca, ha una lunga lista di questi errori, solitamente sempre con lo stesso file. Ecco perché spiegato perché sono pigri. Usano il programma ab (Apache Benchmark) di Linux pe farci la visita. Prendiamo il suo IP e lo depositiamo con add_ipban.bat:Codice:[Sat Jun 05 23:44:41 2010] [error] [client 217.23.13.66] client denied by server configuration: D:/vhosts/xxx.it/httpdocs/forum/yyy.php (Possible DOS Attack)
Questo piccolo programma inserisce l'IP nella tabella degli IP da scartare, e lo aggiunge anche alla nostra lista generale. Se l'inserimento fallisce, è probabile che c'è già nella policy, ad esempio da un aggiornamento di Windows. Tuttavia potrebbe essere disattivato per qualche motivo, ma prima dobbiamo calmare le acque. Le rifiniture facciamo dopoCodice:add_ipban 217.23.13.66
Se siete abili ricercatori, entro breve il livello della CPU torna al normale, ma forse anche di più. Perché? Qualche hacker è sempre attivo, ora beccate tutti!
E' però importante di non bloccare eventuali legittimi utenti che in preda al panico rinfrescano le pagine a raffica.
Quando blocchiamo gli hacker, ci si rende subito conto di alcune tipiche tattiche: cambiano IP e rientrano con ancora più violenza. E' chiaro che si rendono conto del nostro operato, e devono ora batterci anche sul tempo. Se sapessero cosa fanno, smetterebbero subito e andrebbero a riprovare magari domani. Ma non ci arrivano a queste finezze. Invece a lasciarci a bocca asciutta, ce la riempiono.
Meno male che gli IP costano (gli attacchi professionali sono diretti da server grossi), e si fa presto a trovare lo schema base.
Nel nostro file ipban.bat troveremo tutta una serie di IP da bloccare, che spesso appartengono allo stesso gruppo di IP. E' essenziale di ridurre il numero di IP al massimo e quindi usare i wildcard per bloccare un po' tutti, anche quelli che eventualmente non sono mai apparsi. Generalmente si possono bloccare tranquillamente tutti Cinesi e Russi. Fin quando non abbiamo loro come clienti, è difficile che ci vengono a trovare per la cortesia. Abbiate però cura della scelta. Ogni IP bloccato non entra da nessunissima parte, server email compreso. Potrebbe essere un problema. Ecco spiegato perché è bene avere il server di posta su un server separato.
Se abbiamo degli IP tipo:
1.2.3.1
1.2.3.2
1.2.3.3
1.2.3.4
1.2.3.5
1.2.3.6
1.2.3.7
1.2.3.8
1.2.3.9
possiamo dire:
1.2.3.*
Se c'è un gruppo tipo:
CALL _ipban.bat 94.142.129.*
CALL _ipban.bat 94.142.130.*
CALL _ipban.bat 94.142.131.*
CALL _ipban.bat 94.142.132.*
CALL _ipban.bat 94.142.133.*
CALL _ipban.bat 94.142.134.*
è abbastanza intuitivo di trasformare tutto in
CALL _ipban.bat 94.142.*
Occhio però ai conflitti. Bisogna andare su Internet e indagare di chi sono questi IP e dove si trovano. Nel dubbio è meglio lasciarli separati.
Doppio occhio agli IP che iniziano come il nostro. Non è la prima volta che un server nelle nostre vicinanze viene utilizzato come veicolo da hacker. Se succede questo, dovete assolutamente segnalare il problema al provider. Così avete anche la doppia soddisfazione: un server costa un sacco di soldi, e quello mancherà moltissimo al hacker. Se c'è qualcosa che fa male anche a loro, è la perdita di soldi. Teniamolo sempre in mente
... eccovi l lista di ieri:
CALL _ipban.bat 58.61.164.*
CALL _ipban.bat 66.90.104.159
CALL _ipban.bat 67.159.44.*
CALL _ipban.bat 74.118.192.*
CALL _ipban.bat 76.73.*.*
CALL _ipban.bat 87.250.253.243
CALL _ipban.bat 91.214.44.*
CALL _ipban.bat 94.142.129.*
CALL _ipban.bat 94.142.130.*
CALL _ipban.bat 94.142.131.*
CALL _ipban.bat 94.142.132.*
CALL _ipban.bat 94.142.133.*
CALL _ipban.bat 94.142.134.*
CALL _ipban.bat 95.108.*.*
CALL _ipban.bat 109.123.80.*
CALL _ipban.bat 112.111.175.*
CALL _ipban.bat 114.80.*.*
CALL _ipban.bat 124.115.1.*
CALL _ipban.bat 174.141.231.153
CALL _ipban.bat 187.210.137.*
CALL _ipban.bat 193.200.150.*
CALL _ipban.bat 206.*.*.*
CALL _ipban.bat 212.48.8.140
CALL _ipban.bat 217.23.13.66
CALL _ipban.bat 218.96.96.*
CALL _ipban.bat 218.96.112.*
CALL _ipban.bat 218.96.120.*
CALL _ipban.bat 218.96.124.*
CALL _ipban.bat 218.96.126.*
CALL _ipban.bat 218.96.127.*
CALL _ipban.bat 173.208.127.178
CALL _ipban.bat 174.141.231.153
CALL _ipban.bat 206.51.226.198
CALL _ipban.bat 206.217.211.118
CALL _ipban.bat 58.60.0.0/255.252.0.0
CALL _ipban.bat 61.*
CALL _ipban.bat 67.*
CALL _ipban.bat 74.*
CALL _ipban.bat 76.*
CALL _ipban.bat 87.250.253.*
CALL _ipban.bat 91.214.44.*
CALL _ipban.bat 94.142.128.0/255.255.248.0
CALL _ipban.bat 95.108.0.0/255.255.128.0
CALL _ipban.bat 109.123.80.*
CALL _ipban.bat 112.111.*
CALL _ipban.bat 114.80.0.0/255.240.0.0
CALL _ipban.bat 123.112.0.0/255.240.0.0
CALL _ipban.bat 124.114.0.0/255.254.0.0
CALL _ipban.bat 187.210.*
CALL _ipban.bat 193.*
CALL _ipban.bat 212.95.54.*
CALL _ipban.bat 217.23.13.*
CALL _ipban.bat 218.96.0.0/255.255.0.0
CALL _ipban.bat 218.97.0.0/255.255.128.0
CALL _ipban.bat 174.36.228.154
CALL _ipallow.bat 66.249.64.0/255.255.224.0
CALL _ipallow.bat 72.14.192.0/255.255.192.0
CALL _ipallow.bat 74.125.*
CALL _ipban.bat 41.145.14.163
CALL _ipban.bat 173.208.127.178
CALL _ipban.bat 174.36.228.154
CALL _ipban.bat 174.141.231.153
CALL _ipban.bat 206.51.226.198
CALL _ipban.bat 206.217.211.118
CALL _ipban.bat 2.80.0.0/255.252.0.0
CALL _ipban.bat 24.*
CALL _ipban.bat 58.60.0.0/255.252.0.0
CALL _ipban.bat 61.*
CALL _ipban.bat 64.59.64.0/255.255.192.0
CALL _ipban.bat 64.83.0.*
CALL _ipban.bat 67.*
CALL _ipban.bat 70.84.0.0/255.252.0.0
CALL _ipban.bat 70.112.0.0/255.240.0.0
CALL _ipban.bat 71.*
CALL _ipban.bat 72.160.0.0/255.254.0.0
CALL _ipban.bat 74.*
CALL _ipban.bat 76.*
CALL _ipban.bat 77.91.196.62
CALL _ipban.bat 80.91.161.168/255.255.255.248
CALL _ipban.bat 80.133.171.242
CALL _ipban.bat 82.154.*
CALL _ipban.bat 83.252.106.89
CALL _ipban.bat 85.*
CALL _ipban.bat 87.54.44.240/255.255.255.248
CALL _ipban.bat 87.250.253.*
CALL _ipban.bat 88.212.0.0/255.255.192.0
CALL _ipban.bat 89.248.54.*
CALL _ipban.bat 91.214.44.*
CALL _ipban.bat 92.112.*
CALL _ipban.bat 92.126.254.*
CALL _ipban.bat 93.136.198.121
CALL _ipban.bat 94.21.31.*
CALL _ipban.bat 94.142.128.0/255.255.248.0
CALL _ipban.bat 94.251.64.0/255.255.240.0
CALL _ipban.bat 95.108.0.0/255.255.128.0
CALL _ipban.bat 96.224.0.0/255.224.0.0
CALL _ipban.bat 109.123.80.*
CALL _ipban.bat 109.173.*
CALL _ipban.bat 109.182.4.10
CALL _ipban.bat 112.111.*
CALL _ipban.bat 114.80.0.0/255.240.0.0
CALL _ipban.bat 123.112.0.0/255.240.0.0
CALL _ipban.bat 124.114.0.0/255.254.0.0
CALL _ipban.bat 178.137.20.132
CALL _ipban.bat 186.88.0.0/255.248.0.0
CALL _ipban.bat 187.34.*
CALL _ipban.bat 187.38.*
CALL _ipban.bat 187.210.*
CALL _ipban.bat 188.92.74.34
CALL _ipban.bat 189.84.*
CALL _ipban.bat 189.130.161.0/255.255.255.0
CALL _ipban.bat 190.25.*
CALL _ipban.bat 190.34.*
CALL _ipban.bat 190.35.*
CALL _ipban.bat 190.81.102.128/255.255.255.128
CALL _ipban.bat 190.144.0.0/255.252.0.0
CALL _ipban.bat 190.172.0.0/255.254.0.0
CALL _ipban.bat 190.198.*
CALL _ipban.bat 190.199.*
CALL _ipban.bat 190.200.0.0/255.248.0.0
CALL _ipban.bat 190.206.*
CALL _ipban.bat 194.84.61.*
CALL _ipban.bat 195.138.85.129
CALL _ipban.bat 195.225.228.0/255.255.252.0
CALL _ipban.bat 196.*
CALL _ipban.bat 198.54.202.*
CALL _ipban.bat 200.4.160.0/255.255.240.0
CALL _ipban.bat 200.42.160.0/255.255.240.0
CALL _ipban.bat 201.47.32.*
CALL _ipban.bat 212.26.141.64/255.255.255.192
CALL _ipban.bat 212.95.32.0/255.255.252.0
CALL _ipban.bat 212.95.54.*
CALL _ipban.bat 212.96.222.*
CALL _ipban.bat 212.96.223.*
CALL _ipban.bat 213.141.128.0/255.255.224.0
CALL _ipban.bat 213.147.110.*
CALL _ipban.bat 216.16.100.210
CALL _ipban.bat 216.230.128.0/255.255.224.0
CALL _ipban.bat 217.23.13.*
CALL _ipban.bat 218.96.0.0/255.255.0.0
CALL _ipban.bat 218.97.0.0/255.255.128.0
Segnalibri