Всем привет! Прежде всего, хочу поблагодарить всех, кто участвовал в обсуждении моей первой статьи: «Кто сканирует Интернет и существует ли Австралия».
Публиковал статью без всякого умысла, просто поднял тему, которая так или иначе касается всех. Не только тех кто связан с ИТ, но и любого, чей сервер или ПК сидит на «реальных»(«белых») адресах Интернет.
Как я и предполагал, после публикации статьи, резко вырос «интерес» к IP-адресу на котором висит сборщик статистики. Многие, ради шутки, вставляли в URL сообщения, различные наборы символов и т.д. Так обнаружилось, что существуют и Австралия и Новая Зеландия. Да и много кто еще.
Если после публикации первой статьи я собирался завершить отлов сканеров на том адресе, где он сейчас, то увидев статистику решил повременить с переездом. Более того, в силу собственной лени немного доработал интерфейс чтобы не копать файлы руками.
В статистику попадают сканеры, проверяющие боле 3 таргетов, а в список таргетов включаются только те, которые сканировались более 10 раз. Пока так.
На текущий момент самыми популярными являются следующие таргеты:
1. /var/www/html/phpMyAdmin (и очень много производных от phpMyAdmin — перебор регистра, сокращения).
Здесь все понятно — это web-админка My SQL.
2. /var/www/html/HNAP1
Home Network Administration Protocol. На Хабре было здесь: Взламываем D-Link DSP-W215 Smart Plug.
3. /var/www/html/wp-login.php
Файл входа CMS Word Press. Тема защиты хорошо раскрыта в Сети. Но видимо не все обращают внимание на такие мелочи.
4. /var/www/html/wls-wsat, /var/www/html/wls-wsat/CoordinatorPortType
The Oracle WebLogic WLS WSAT Component. Уязвимость в Oracle WebLogic позволяет выполнять произвольные команды на целевой системе любому атакующему без какой-либо авторизации.
5. /var/www/html/claroline
Система управления обучением Claroline. Уязвимости хорошо описаны. Например здесь.
6. /var/www/html/typo3
CMS Typo3. Уязвимости Typo3.
7. /var/www/html/xampp
Готовый комплект веб-сервера. Уязвимости XAMPP.
8. /var/www/html/w00tw00t.at.blackhats.romanian.anti-sec:)
Известный бот-сканер Zmeu. Вариант защиты здесь.
9. /var/www/html/CFIDE
ColdFusion CFIDE Scripts. Как защитить.
10. /var/www/html/muieblackcat
Сканер поиска уязвимостей.
11. /var/www/html/GponForm
А это уже посвежее. Взлом роутеров GPON
Уязвимость GPON.
12. /var/www/html/login.cgi
Уязвимость в Community Link Pro.
Уязвимость Community Link Pro.
13. /var/www/html/stssys.htm
Уязвимость в TRENDnet Print Server.
Уязвимость TRENDnet Print Server.
Сборщик статистики будет работать в автоматическом режиме. Возможно в скором времени у него появятся агенты. Список таргетов и адресов сканеров будет обновляться. Большая просьба: не мусорить в логи. Кто знает где забанят.
Список источников: статистика сканирования.
P.S. На текущий момент статистика очищена от лишнего хлама.
Спрашивают код размещения маркеров на карте. Вот он(комментарии по стилю не интересны):
На входе текстовый файл в формате: IP адрес, страна, город, координата1, координата2
А так я прорисовываю маркеры для полной карты или для одного дня:
Публиковал статью без всякого умысла, просто поднял тему, которая так или иначе касается всех. Не только тех кто связан с ИТ, но и любого, чей сервер или ПК сидит на «реальных»(«белых») адресах Интернет.
Как я и предполагал, после публикации статьи, резко вырос «интерес» к IP-адресу на котором висит сборщик статистики. Многие, ради шутки, вставляли в URL сообщения, различные наборы символов и т.д. Так обнаружилось, что существуют и Австралия и Новая Зеландия. Да и много кто еще.
Если после публикации первой статьи я собирался завершить отлов сканеров на том адресе, где он сейчас, то увидев статистику решил повременить с переездом. Более того, в силу собственной лени немного доработал интерфейс чтобы не копать файлы руками.
В статистику попадают сканеры, проверяющие боле 3 таргетов, а в список таргетов включаются только те, которые сканировались более 10 раз. Пока так.
На текущий момент самыми популярными являются следующие таргеты:
1. /var/www/html/phpMyAdmin (и очень много производных от phpMyAdmin — перебор регистра, сокращения).
Здесь все понятно — это web-админка My SQL.
2. /var/www/html/HNAP1
Home Network Administration Protocol. На Хабре было здесь: Взламываем D-Link DSP-W215 Smart Plug.
3. /var/www/html/wp-login.php
Файл входа CMS Word Press. Тема защиты хорошо раскрыта в Сети. Но видимо не все обращают внимание на такие мелочи.
4. /var/www/html/wls-wsat, /var/www/html/wls-wsat/CoordinatorPortType
The Oracle WebLogic WLS WSAT Component. Уязвимость в Oracle WebLogic позволяет выполнять произвольные команды на целевой системе любому атакующему без какой-либо авторизации.
5. /var/www/html/claroline
Система управления обучением Claroline. Уязвимости хорошо описаны. Например здесь.
6. /var/www/html/typo3
CMS Typo3. Уязвимости Typo3.
7. /var/www/html/xampp
Готовый комплект веб-сервера. Уязвимости XAMPP.
8. /var/www/html/w00tw00t.at.blackhats.romanian.anti-sec:)
Известный бот-сканер Zmeu. Вариант защиты здесь.
9. /var/www/html/CFIDE
ColdFusion CFIDE Scripts. Как защитить.
10. /var/www/html/muieblackcat
Сканер поиска уязвимостей.
11. /var/www/html/GponForm
А это уже посвежее. Взлом роутеров GPON
Уязвимость GPON.
12. /var/www/html/login.cgi
Уязвимость в Community Link Pro.
Уязвимость Community Link Pro.
13. /var/www/html/stssys.htm
Уязвимость в TRENDnet Print Server.
Уязвимость TRENDnet Print Server.
Сборщик статистики будет работать в автоматическом режиме. Возможно в скором времени у него появятся агенты. Список таргетов и адресов сканеров будет обновляться. Большая просьба: не мусорить в логи. Кто знает где забанят.
Список источников: статистика сканирования.
P.S. На текущий момент статистика очищена от лишнего хлама.
Спрашивают код размещения маркеров на карте. Вот он(комментарии по стилю не интересны):
// Это создание самой карты:
<script src="https://maps.api.2gis.ru/2.0/loader.js?pkg=full"></script>
<script type='text/javascript'>
var map;
DG.then(function () {
markers = DG.featureGroup();
map = DG.map('map', { // 'map' это div id
center: [44.98, 10.89],
zoom: 2,
minZoom: 2,
fullscreenControl: false,
zoomControl: false,
inertia: false,
doubleClickZoom: false
});
getdaystat(0); // функция прорисовки маркеров
});
</script>
На входе текстовый файл в формате: IP адрес, страна, город, координата1, координата2
А так я прорисовываю маркеры для полной карты или для одного дня:
function getdaystat(st)
{
//статистика за один день или общая
if (st!=0){
var url="http://smartgekko.ru/whoscanme/core/scanbase/"+st+"/shosts?rnd=" + Math.round(Math.random() * 100000);
} else {
var url="http://smartgekko.ru/whoscanme/scaner_hosts?rnd=" + Math.round(Math.random() * 100000);
}
// Читаем файл
var xrequest=new XMLHttpRequest();
xrequest.open("GET",url,false);
xrequest.send("");
var result=xrequest.responseText;
var marker;
var citycnt=0;
//Делим строки и помещаем в массивы. Необходимо если несколько маркеров в одной точке.
var splitArray = result.split(/\r\n/);
var cityArray = new Array(splitArray.length);
var countryArray = new Array(splitArray.length);
// Очищаем текущую карту
markers.removeFrom(map);
markers.clearLayers();
//Собираем новые маркеры. если в одной точке - смещаем
for (var i = 0; i < splitArray.length; i++){
var splitString = splitArray[i].split(",");
var pip = splitString[0];
var pcountry = splitString[1];
var pcity = splitString[2];
citycnt=0;
for (var j = 0; j < cityArray.length; j++){
if((pcity==cityArray[j])&&(pcountry==countryArray[j])) citycnt++;
}
var myIcon = DG.icon({
iconUrl: '/whoscanme/images/i2.png', // иконка маркеров
iconSize: [20, 34],
iconAnchor: [10-citycnt*2, 33+citycnt*2] //смещение
});
marker = DG.marker([splitString[3],splitString[4]],{icon: myIcon,alt:pip,title:pip+"\n"+pcountry+", "+pcity})// создаем маркер и титл к нему
.on('click',function(e) {
getmarkerinfo(this.options.alt); // функция. которая будет выполняться по клику на маркере
})
.addTo(markers);
cityArray[i]=pcity;
countryArray[i]=pcountry;
markers.addTo(map);//добавляем маркеры на карту
}
}
