Posible ataque cron.php?

schlabs · #1

Hola a todos,
Espero que tengan un lindo dia.

Hoy note una actividad inusual, un mayor trafico saliente que entrante y me puse a ver la actividad de mi apache. Con la funcionalidad "server-status".
Pude ver mas de 135 conexiones de UNA MISMA IP hacia el archivo cron.php, pero invocando distintas sesiones php (como si la misma IP fueran varios usuarios logueados.

Despues de buscar en google y no encontrar nada me decidi a preguntarle a los que saben. No sea que estén tratando de hackear el sitio usando el cron.php como puerta de entrada.

Para ello actualice el server-status y encontré que la actividad continuaba, pero esta vez proveniente desde varias IP distintas.

Código: Seleccionar todo

151-0	-	0/0/10	. 	0.27	2644	171	0.0	0.00	0.00 	82.80.234.134	www.gnc2.com.ar	GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=60d1bf248
154-0	-	0/0/12	. 	2.06	2647	99	0.0	0.00	0.01 	82.80.244.52	www.gnc2.com.ar	GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=22add8098
158-0	-	0/0/9	. 	0.68	2870	144	0.0	0.00	0.00 	82.80.234.138	www.gnc2.com.ar	GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=0a9ffbcbd
162-0	-	0/0/9	. 	0.53	2842	206	0.0	0.00	0.01 	82.80.244.58	www.gnc2.com.ar	GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=7064bdf8a
163-0	-	0/0/10	. 	0.37	2637	122	0.0	0.00	0.00 	82.80.234.142	www.gnc2.com.ar	GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=6fe76c2af
166-0	-	0/0/13	. 	0.85	2579	149	0.0	0.00	0.00 	82.80.234.138	www.gnc2.com.ar	GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=8b9eaa7e4
171-0	-	0/0/11	. 	0.85	2650	103	0.0	0.00	0.00 	82.80.244.56	www.gnc2.com.ar	GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=5f8cbb466
172-0	-	0/0/11	. 	0.78	2648	230	0.0	0.00	0.01 	82.80.234.141	www.gnc2.com.ar	GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=feffeaef0
174-0	-	0/0/11	. 	0.71	2677	100	0.0	0.00	0.00 	82.80.244.55	www.gnc2.com.ar	GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=80b822dc7
176-0	-	0/0/13	. 	1.14	2576	107	0.0	0.00	0.00 	82.80.234.140	www.gnc2.com.ar	GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=ced58e3f6
198-0	-	0/0/12	. 	2.08	2629	424	0.0	0.00	0.01 	82.80.244.55	www.gnc2.com.ar	GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=c0ba762fa
199-0	-	0/0/11	. 	0.79	2686	106	0.0	0.00	0.02 	82.80.234.141	www.gnc2.com.ar	GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=a49814b52
200-0	-	0/0/12	. 	2.13	2616	2909	0.0	0.00	0.01 	82.80.244.54	www.gnc2.com.ar	GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=2585b04a9

El sitio es de bajo trafico y creo que en su historia no ha llegado a mas de 5 internautas navegando en forma concurrente.

No es la primera vez que me sucede ni en el unico foro. En uno de los foros que manejo lo resolví directamente renombrando el archivo CRON.PHP (como eliminandolo)

En este foro (gnc2) necesito que corra el cron.php para ser avisado de nuevos post por parte de clientes. Pero el tema es que me da mucho temor a resultar que me usen el sitio para el envio de spam o para escalar acceso al servidor.

Ademas de mandarme el email cuando alguien responde algun post, ¿que otras tareas hace el cron.php?

Otra actividad sospechosa que he registrado con muchas apariciones, aunque no llega al 1% de las del cron.php.

Código: Seleccionar todo

91.236.74.158 - - [26/Mar/2013:04:57:24 -0300] "GET /foro/phpBB3/index.php+++++++++++++++++++++++++++++++++++++Result:+chosen+nickname+%22KneereSuh%22;+captcha+recognized;+registered;+login+failed; HTTP/1.0" 404 1490

Gracias a todos, un cordial saludo
Christian

URL: http://http://www.gnc2.com.ar/foro/phpBB3
Versión phpBB: 3.0.5
MODs Instalados: automod
Plantilla(s) usada(s): Prosilver
Servidor: linux suse 10.0
Actualización desde otra versión: No
Conversión desde otro sistema de foros: No
AutoMOD: Si

migue_coco · #2

A la espera de que los que entienden de esto te contesten y encuentres explicacion y solucion; si te sientes mas seguro, bloquea las IPs desde el ACP.

schlabs · #3

De momento renombre el archivo cron.php y viendo los registros del servidor se detuvo el ataque.

Tal vez debi haber puesto una imagen gif renombrada para el el bot siga jugando

.

----------------------------------------------
Editado:
Encontre una solucion temporaria un poco mejor, consiste en prohibir el acceso a dicho archivo a IPs foraneas mediante el .htaccess
Fuente: http://drupal.org/node/41049

.htaccess

Código: Seleccionar todo

<Files "cron.php">
  Order deny,allow
  Allow from name.of.this.machine
  Allow from another.authorized.name.net
  Allow from 127.0.0.1
  Deny from all
</Files>

Funciona, y solo permití mi IP pero ..... claro no seré avisado de nuevos post a menos que yo visite el foro. Y no es lo deseado ( ya que si yo visito no necesito que me avise).
Pense en agregarle algo al crontab un llamado :
wget http://www.gnc2.com.ar/cron.php
Funcionará?

Puede que sea mi paranoia, pero pienso que si un hacker pierde horas haciendo intentos de acceso, es porque "sabe que algo se puede encontrar".

leviatan21 · #4

schlabs escribió:www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=60d1bf248

Que veas esa tarea cron es absolutamente normal, el cron.php cumple muchas funciones al mismo, en el caso que se le pase el parámetro tidy_sessions es el encargado de realizar tareas relacionadas con las sesiones
Ese mantenimiento se ejecuta cada 3600 segundos ( o mejor dicho 1 cada 60 minutos que es lo mismo a 1 vez por hora ) y no tiene configuración desde el ACP
Lo que hace es comprobar las sesiones activas y las que están vencidas las elimina de la base.

schlabs · #5

Gracias por tu respuesta, Relacionando imagino que esto es disparado automaticamente cuando algun internauta genera una visita. Soy pregunton por naturaleza y espero que no te molesten mis consultas: ¿Cual puede ser el objetivo buscado desde una unica ip en disparar 130 tidi_sessions? ¿Eso fue solito cuando alguien visito el sitio?

Todo esto fue disparado por un uso intensivo del server, y un alto nivel de trafico saliente. de un promedio de 5 a 10 KB/s se fue a 25 - 30 KB/s hasta que quité el cron.php.

Saludos y gracias

leviatan21 · #6

schlabs escribió: Relacionando imagino que esto es disparado automaticamente cuando algun internauta genera una visita.

todo lo relacionado con las tareas cron son tareas programadas y se ejecutan automáticamente ante cualquier movimiento de cualquier parte del foro, ya sea un usuario, un visitante o un bot

schlabs escribió:Todo esto fue disparado por un uso intensivo del server, y un alto nivel de trafico saliente. de un promedio de 5 a 10 KB/s se fue a 25 - 30 KB/s hasta que quité el cron.php.

Ese tipo de visitas cuando son muy demandantes suelen ser los bots de los search engines ( buscadores como Google ) que suelen indexar el foro entero en poco tiempo.
aqui mismo que estamos en un dedicado, nos paso con una indexación simulando 300 visitas simultaneas a cada enlace posible, literalmente matando al servidor

schlabs · #7

mil gracias, entonces todo esta normal.

Saludos y que tengan un buen dia

phpBB España Oficial

Posible ataque cron.php?Tema Solucionado

Posible ataque cron.php?

Re: Posible ataque cron.php?

Re: Posible ataque cron.php?

Re: Posible ataque cron.php? Tema Solucionado

Re: Posible ataque cron.php?

Re: Posible ataque cron.php?

Re: Posible ataque cron.php?