Cenário
O novo site, foi criado usando o WordPress e a empresa gostaria de receber isso em uma máquina virtual Linux em sua infra-estrutura existente. Com esses requisitos em mente vamos ao vídeo e a leitura técnica.
Fonte e Artigo técnico completo
leia também: Ferramentas de monitoramento de redes
Neste post vamos nos concentrar no servidor Web Apache Tomcat e como podemos descobrir as credenciais do administrador, a fim de ter acesso ao sistema remotamente. Estamos realizando o nosso teste de penetração interna e descobrimos o Tomcat Apache rodando em um sistema remoto na porta 8180.
Nosso próximo passo vamos abrir Metasploit Framework e procurar por módulos específicos sobre o Apache Tomcat usando o comando de pesquisa Tomcat.
Avaliando modulo Apache Tomcat
Vamos encontrar um scanner auxiliar que será a ferramenta para a nossa tentativa de entrar no Gerenciamento da aplicação do Tomcat. Estamos selecionando o scanner utilizando o uso de comando auxiliary/scanner/http/tomcat_mgr_login e então estamos configurando-o corretamente como aparece na imagem.
Distro: CentOS 4.6
Apache: httpd 2.0.52
Módulo usado mod_proxy
Visitando o blog do Marcos Abadi segue um post interessante :
Analisando os logs do cluster de servidores web foi visto um tipo de conexão “CONNECT login.icq.com:443 HTTP/1.0” que estaria logado nos servidores web? Então pesquisando na internet foi visto que era uma vulnerabilidade.
Alguém estava explorando uma vulnerabilidade dos servidores web, mais especificamente no módulo mod_proxy usado para habilitar um recurso de proxy reverso que permite que conecte-se a outros servidores internos da rede usando um único endereço.
Abaixo como evitar e alguns exemplos (Antes e Depois)
Testar se as conexões estão sendo aceitas pelo proxy-reverso
[root@vmware01 scripts]# nc http://www.meuserverweb.com.br 80
CONNECT login.icq.com:443 HTTP/1.0
Host:login.icq.com:443
HTTP/1.0 200 Connection Established
Proxy-agent: Apache/2.0.52 (CentOS)
*}E
[root@vmware01 scripts]#
Se der a mensagem acima você está vulnerável, podem estar usando seu servidor web como servidor proxy para navegar em outros sites, enviar spams, etc…
Configuração do apache antes
ProxyRequests On
ProxyPass /site1 http://10.1.2.1/site1
ProxyPass /site2 http://10.1.2.1/site2
ProxyPassReverse /site1 http://10.1.2.1/site1
ProxyPassReverse /site2 http://10.1.2.1/site2
ProxyVia On
Logs do apache antes
96.229.41.9 – – [28/Oct/2008:13:44:22 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
96.229.41.9 – – [28/Oct/2008:13:44:22 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
96.229.41.9 – – [28/Oct/2008:13:44:43 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
96.229.41.9 – – [28/Oct/2008:13:44:43 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
96.229.41.9 – – [28/Oct/2008:13:44:50 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
96.229.41.9 – – [28/Oct/2008:13:45:03 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
96.229.41.9 – – [28/Oct/2008:13:45:17 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
Configuração do apache depois
Altere o parametro ProxyRequests para Off evitando o uso pelos spammers
ProxyRequests Off
ProxyPass /site1 http://10.1.2.1/site1
ProxyPass /site2 http://10.1.2.1/site2
ProxyPassReverse /site1 http://10.1.2.1/site1
ProxyPassReverse /site2 http://10.1.2.1/site2
ProxyVia Off
Logs do Apache depois
96.229.41.9 – – [30/Oct/2008:06:20:22 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 302 – “-” “-“
96.229.41.9 – – [30/Oct/2008:06:20:22 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 302 – “-” “-“
96.229.41.9 – – [30/Oct/2008:06:20:28 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 302 – “-” “-“
96.229.41.9 – – [30/Oct/2008:06:20:28 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 302 – “-” “-“
Teste do acesso depois
[root@vmware01 scripts]# nc http://www.meuserverweb.com.br 80
CONNECT login.icq.com:443 HTTP/1.1
Host:login.icq.com:443
HTTP/1.1 302 Found
Date: Thu, 30 Oct 2008 07:53:30 GMT
Server: Apache/2.0.52 (CentOS)
X-Powered-By: PHP/4.4.7
Set-Cookie: PHPSESSID=
Comandos usados para filtrar e obter estatísticas top 10
>>Top Ten Attacker IP Addresses
# cat access_log | awk ‘{print $7}’ | sort | uniq -c | sort -rn | head –10
# cat access_log | awk ‘{print $1}’ | sort | uniq -c | sort -rn | head –10
Extraindo os ips
# for f in `cat access_log | awk ‘{print $1}’ | sort | uniq -c | sort -rn | head -10 | awk ‘{print $2}’`; do grep $f access_log | head –1 ; done
Serviços para checagem de proxy
http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=proxy+check
http://www.checker.freeproxy.ru/checker/ http://www.ip-adress.com/Proxy_Checker/
fonte : http://marcosabadi.blogspot.com
Leia Também : killapache: DDOS tool that freezes Apache Web Server!
Normalmente quando uma apache fica indisponível, muita gente efetua o restart antes de verificar o que aconteceu, qual o motivo da parada. vou tentar mostrar os logs neste serviço.
O servidor Apache provê dois arquivos de logs: access_log e error_log.
Através do arquivo access_log, é possível determinar os hosts e usuários que acessaram o servidor Web, os arquivos requisitados, os horários em que tais requisições foram feitas e, ainda, o estado de tais requisições.
O arquivo error_log contém informação respeito dos erros encontrados e o estado do servidor Web (inicialização e finalização).
Ambos podem ser habilitados e desabilitados a partir de diretivas no arquivo de configuração httpd.conf.
O servidor httpd permite definir onde serão armazenados estes arquivos. Normalmente, eles ficam no diretório logs. É recomendado que este diretório tenha como dono e grupo o root, e suas permissões de acesso configuradas para 755; por outro lado, que os arquivos contidos nele tenham igualmente o usuário root como dono e as suas permissões de acesso configuradas para 600.
Exemplo de uma entrada no arquivo de logs (access_log) do servidor http://www.muitolindo.cpm.es, onde o documento index.html foi acessado com sucesso a partir do server cache.dominio.cpm.es.
cache.dominio.cpm.es – – [02/Dec/2010:16:37:24 -0200] “GET /index.html
HTTP/1.0″ 200 4169
Por outro lado, num acesso mal sucedido a um outro documento (index2.html), o arquivo error_log registrou a seguinte entrada:
[Wed Dec 02 16:37:25 2010] access to /dir_raiz_doc/index2.html failed
for cache.dominio.cpm.es, reason: File does not exist
Bem qualquer serviço de rede inicializado pelo super daemon inetd (tais como: popd, imapd, ftpd, telnetd, sshd, etc) podem gerar suas mensagens de logs através da conhecida ferramenta TCP Wrappers, via syslog .
Algumas coisas você pode ignorar:
File does not exist: home/lindo/public_html/robots.txt
File does not exist: home/lindo/public_html/favicon.ico
File does not exist: home/lindo/public_html/500.shtml
Algumas coisas você pode corrigir:
File does not exist: /home/eufui/public_html/gallery/pic.jpg
O arquivo está no lugar errado ou que precisa ser reeditado. Certifique-se que todos os seus arquivos e pastas são carregados dentro do public_html.
(13)Permission denied: file permissions deny server access: /home/louca/public_html/index.html
Este é o mais comum 403 Error. Nós podemos ajudá-lo a corrigir isso.
error: file is writable by others: (/home/loucamaria/public_html/index.php)
Este é o mais comum de 500 Error. Nós podemos ajudá-lo a corrigir isso.
error: file has no execute permission: (/home/naruto/public_html/cgi-bin/img2txt.cgi)
Isso pode ser corrigido adicionando permissões executáveis [755] para o arquivo.
perhaps mis-spelled or defined by a module not included in the server configuration
Isto significa que há algo errado no arquivo .htaccess. Talvez haja uma linha php_flag precisa ser removida.
Premature end of script headers: /home/tsunade/public_html/cgi-bin/index.pl
Possivelmente este é um script Perl e precisa dizer #!/usr/bin/perl-w na primeira linha.
Site que podem ser visitados
Leia Também : Servidor de DNS no Linux
Gestão em TI 