2017-07-20 23:56:32
Mozilla/5.0 Jorgee

Po sieci krąży robactwo które infekuje maszyny i które rozprzestrzenia się przez dziury i proste hasła w phpMyAdmin oraz MySQL Manager. Ten jeden konkretny przypadek jest o tyle charakterystyczny, że pojawia się znikąd, zasypuje serwer zapytaniami i w razie braku powodzenia znika. I łatwo go ciąć.

Charakterystyczne jest to:

[..]
"HEAD http://[ip]:80/phpmyadmin/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/phpMyadmin/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/phpMyAdmin/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/phpmyAdmin/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/phpmyadmin2/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/phpmyadmin3/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/phpmyadmin4/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/phpmy/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/myadmin/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/MyAdmin/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/program/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/PMA/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/2phpmyadmin/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/phppma/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/shopdb/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/db/phpMyAdmin/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/dbadmin/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/pma/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/db/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/admin/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/mysql/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/database/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/db/phpmyadmin/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/sqlmanager/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/mysqlmanager/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/php-myadmin/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
"HEAD http://[ip]:80/phpmy-admin/ HTTP/1.1" 444 0 "-" "Mozilla/5.0 Jorgee"
[..]

User agentem jest zawsze "Mozilla/5.0 Jorgee", requesty to HEAD i zawsze wymierzone w ip sprawdzanego serwera. W normalnym przypadku to nie problem, brak phpMyAdmina i MySQL Managera wystarcza by być w miarę bezpiecznym, a nawet w innym przypadku wystarczą standardowe zabezpieczenia. Jednak to dalej stanowi obciążenie dla serwera - dziennie mam co najmniej kilka takich skanowań i wiem, że nie jest to atak wymierzony we mnie. Jak się bronię? Do konfiguracji nginxa dodałem to:

http {
[..]
    map $http_user_agent $jorgee {
         default 0;
         ~(?i)(Jorgee) 1;
    }
[..]
}

server {
[..]
        if ($jorgee = 1) {
                return 444;
        }
[..]
}         

Innymi słowy, jeśli globalnie zostanie wykryte, że user agent zawiera "Jorgee", serwer ma zwrócić 444, co w przypadku nginxa oznacza przerwanie przetwarzania i zerwanie połączenia, bez odsyłania jakiejkolwiek odpowiedzi. To wystarcza by zniwelować obciążenie generowane przez to robactwo.


Może Cię zainteresować...

Link | Skomentuj! | Linux, Tech, Techblog
Pokazuj komentarze.
Powered by:
Hellcore Mailer - polski program pocztowyOpera Web BrowserFreeBSD - The Power to Serve!Slackware
RSSy:
Sidekick:
Projekty:
O autorze:
Zobacz:
Kategorie:
Archiwum:
Szukaj: