2013/6/6 fusys <[email protected]>:
> On 06/06/13 11:30, Dario Corno wrote:
>
>> Stamattina, guardando i log del mio server ho trovato un po' di tentativi
>> maldestri di accedere a pagine inesistenti sul mio server : i classici
>> wp-login.php varie forme di admin.php login.php administrator.php e via
>> dicendo...ed altri grandi classici dei CMS pi? diffusi.
>
> d'accordo.
>
>> Gli IP da cui provengono le richieste appartengono ad una societ? Messicana
>> che si occupa di sicurezza informatica.
>
> il che, tra tutte le *altre* ipotesi, suggerisce anche quella di una
> scansione a fini statistici i cui risultati potrebbero finire in un
> whitepaper della suddetta societą.
>
>> Per ora, vista la suddetta ignoranza, ho semplicemente aggiunto una regola
>> al firewall per bloccare tutto il traffico proveniente da quel range di IP.
>> Chiedo a voi, devo prendere qualche altro tipo di accorgimento ?
>
> innanzitutto grazie per la parola accorgimento al posto della parola
> provvedimento, che ha costituito il 99% delle domande di questo tipo
> negli ultimi 10 anni :-) : prendere provvedimenti per una scansione di
> questo tipo č da ossessivi-compulsivi ovvero da paranoici.
>
> Vorrei utilizzare l'odioso sistema delle similitudini fuorvianti per
> rispondere alla tua domanda.
>
> Sei mai stato in un ufficio postale in periferia o in un piccolo centro
> urbano nel giorno di pagamento delle pensioni? Chi sa quanti ti hanno
> fotografato, osservato, studiato per includerti o meno in un bersaglio
> di uno scippo.
>
> Vivi in una villetta o in una casa semi-indipendente un po' fuori mano?
> Chi sa quanto hanno osservato le cancellate, i sensori di allarme,
> quanto hanno segnato gli orari di ingresso e uscita dall'abitazione, per
> includerti o meno in una ipotesi di furto con scasso.
>
> Eppure, non hai preso alcun accorgimento.
>
> Vediamo il caso contrario.
>
> Un conoscente ha chiesto in una ML tempo fa come valutare quei sistemi
> di allarme fai da te con combinatore telefonico. Nel giro di tre Reply
> si č arrivati al cuore del problema: cosa fare se tagliano la linea
> telefonica e fanno jamming sul segnale GSM?
>
> Due modi differenti di valutare il problema. Il *troppo prima* e il
> *troppo dopo* :-).
>
> Hardening, aggiornamenti, awareness e formazione continua. Il
> monitoraggio deve aiutare a capire cosa sia successo, non cosa potrebbe
> succedere se i bravi arrivassero dopo aver visto le sonde degli innocui.
> In casi fortunati, il monitoraggio mostra cosa *stia* succedendo, in
> tempo reale, ma di sicuro non dovrebbe occupare il tuo tempo,
> soprattutto con wp-login.php.
>
> Il motto della mentadent la fa spesso da padrona anche nella sicurezza
> informatica. Poi un po' di incident handling non fa mai male.
sacrosanto!
@Dario: mi permetto di aggiungere che potresti voler prendere qualche
"accorgimento" (1) nel caso in cui iniziassi a notare una certa
recidività da parte dei medesimi IP e/o (2) nel caso in cui
iniziassero a fare tentativi di bruteforce sulle credenziali di altri
servizi (e.g., se hai necessità di avere SSH impostato con password
authentication). In tal caso possono tornarti utili degli strumenti
come sshguard (che, nonostante il nome, non serve solo per SSH) per
automatizzare in modo abbastanza flessibile delle policy sul fw.
-F
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
