Hola a todos,
Introducción:
spoilerTengo un pequeño servidor web montado en una raspberry desde hace unas semanas, hoy quería montar un servidor de correo y ya que estaba he repasado un poco los logs de Apache..
Al parecer mi mierder servidor, es el patio de juegos de media china...Por desgracia no tengo unos conocimientos avanzados sobre Apache o Linux, por lo tanto no sé si el servidor está comprometido o no.
Aunque para lo que tengo dentro tampoco es que me vaya a quitar el sueño, una cutre web unas BBDD para hacer pruebas de conexiones a BBDD desde C# y un programa que se llama NextCloud, aunque lo tengo apenas vacio.
Me he puesto manos a la obra y he instalado Fail2Ban y para rematarlo quería meter una lista enorme de IP's de china en IPTABLES que he bajado desde Block Visitors by Country Using Firewall
Aquí viene lo que quería comentar, he creado un script que dice esto:
while read line;
do echo -e "$line\n";
done < list.txt
El contenido de list (una pequeña parte):
iptables -A INPUT -s 1.1.4.0/22 -j DROP
iptables -A INPUT -s 1.1.8.0/21 -j DROP
iptables -A INPUT -s 1.1.16.0/20 -j DROP
iptables -A INPUT -s 1.1.32.0/19 -j DROP
iptables -A INPUT -s 1.2.0.0/23 -j DROP
No tengo claro si está ejecutando el código o simplemente lo está mostrando..
Tras instalar Fail2Ban y hacer unos cuantos cambios más, parece que la cosa se ha calmado....
spoiler139.199.170.242 - - [03/Feb/2019:20:38:58 +0100] "GET /phpmyadmin/index.php?pma_username=root&pma_password=pa$$word&server=1 HTTP/1.1" 200 11712 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"
139.199.170.242 - - [03/Feb/2019:20:38:58 +0100] "GET /phpmyadmin/index.php?pma_username=root&pma_password=pa$$word1&server=1 HTTP/1.1" 403 527 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"
139.199.170.242 - - [03/Feb/2019:20:38:59 +0100] "GET /phpmyadmin/index.php?pma_username=root&pma_password=pa$$word123&server=1 HTTP/1.1" 403 527 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"
139.199.170.242 - - [03/Feb/2019:20:38:59 +0100] "GET /phpmyadmin/index.php?pma_username=root&pma_password=P@$$w0rd&server=1 HTTP/1.1" 403 527 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"
139.199.170.242 - - [03/Feb/2019:20:38:59 +0100] "GET /manager/html HTTP/1.1" 403 519 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"
139.162.119.197 - - [03/Feb/2019:21:39:24 +0100] "GET / HTTP/1.1" 200 1100 "-" "HTTP Banner Detection (https://security.ipip.net)"
91.186.195.170 - - [03/Feb/2019:21:41:17 +0100] "GET / HTTP/1.1" 200 1081 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36"
194.147.32.109 - - [03/Feb/2019:21:44:16 +0100] "GET //a2billing/customer/templates/default/footer.tpl HTTP/1.1" 404 3813 "-" "python-requests/2.6.0 CPython/2.7.5 Linux/3.10.0-957.1.3.el7.x86_64"
He pasado de varios intentos por segundo a nada o casi nada x hora...
