Atak na Roundcube w domenie?

[Krystek]

Hej. Jest sobie pewien hosting a na nim kilka dni temu została dodana pewna domena .pl. Domena z długim stażem, ale nigdy nie było do niej utworzonego konta e-mail, bo strona pod domeną działała jedynie jako wizytówka. Pech chciał, że jakiś czas temu na innym, poprzednim hostingu było włamanie przez stronę tej domeny - atakujący wgrał skrypty, które wysyłały phishingowe maile i domena  była przez Google Safe Browsing oznaczona jako atakująca / wykradająca dane (malware / phishing). Wszytko zostało posprzątane, zawartość folderów WWW / public_html skasowana a sama domena odpięta na pewien czas ze starego hostingu. Teraz już jest OK. Na nowym hostingu na razie jest wgrana do folderu public_html strona index.html bez zawartości.

 

Ale do rzeczy. Po dodaniu domeny na hostingu pod adresem https://mail.domena_pl (celowo nie wstawiam działającego adresu, by nie generować ruchu) został automatycznie utworzone na  serwerze przekierowanie na bramkę Roundcube dla poczty e-mail w domenach na tym serwerze, sam mail.domena_pl służy także za adres dla serwerów IMAP oraz SMTP. Na nowym hostingu przeglądam sobie logi serwera WWW i widzę takie coś:

 

205.169.39.171 - - [27/Nov/2023:15:49:10 +0100] "GET / HTTP/1.1" 302 978 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:11 +0100] "GET / HTTP/1.1" 200 4597 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:12 +0100] "GET /program/js/jquery.min.js?s=1667881790 HTTP/1.1" 200 37561 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:12 +0100] "GET /program/js/common.min.js?s=1695112960 HTTP/1.1" 200 5918 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:12 +0100] "GET /program/js/app.min.js?s=1695112960 HTTP/1.1" 200 60138 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:13 +0100] "GET /program/js/jstz.min.js?s=1609105346 HTTP/1.1" 200 6186 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:13 +0100] "GET /plugins/twofactor_gauthenticator/twofactor_gauthenticator.js?s=1694442362 HTTP/1.1" 200 3120 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:13 +0100] "GET /plugins/twofactor_gauthenticator/qrcode.min.js?s=1690291595 HTTP/1.1" 200 8535 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:13 +0100] "GET /plugins/jqueryui/js/jquery-ui.min.js?s=1609105338 HTTP/1.1" 200 86487 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:15 +0100] "GET /skins/elastic/deps/bootstrap.bundle.min.js?s=1667881790 HTTP/1.1" 200 27972 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:16 +0100] "GET /skins/elastic/ui.min.js?s=1695112960 HTTP/1.1" 200 23789 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET / HTTP/1.1" 302 978 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET / HTTP/2" 200 3596 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /skins/elastic/deps/bootstrap.min.css?s=1667881790 HTTP/2" 200 31876 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /program/js/jstz.min.js?s=1609105346 HTTP/2" 200 5538 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /skins/elastic/styles/styles.min.css?s=1667881790 HTTP/2" 200 28816 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /plugins/jqueryui/themes/elastic/jquery-ui.min.css?s=1695112960 HTTP/2" 200 8515 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /program/js/common.min.js?s=1695112960 HTTP/2" 200 5270 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /plugins/twofactor_gauthenticator/qrcode.min.js?s=1690291595 HTTP/2" 200 7887 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /plugins/twofactor_gauthenticator/twofactor_gauthenticator.js?s=1694442362 HTTP/2" 200 2473 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /program/js/jquery.min.js?s=1667881790 HTTP/2" 200 36880 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /program/js/app.min.js?s=1695112960 HTTP/2" 200 59457 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /plugins/jqueryui/js/jquery-ui.min.js?s=1609105338 HTTP/2" 200 85767 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:35 +0100] "GET /skins/elastic/deps/bootstrap.bundle.min.js?s=1667881790 HTTP/2" 200 27137 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:35 +0100] "GET /skins/elastic/ui.min.js?s=1695112960 HTTP/2" 200 23126 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:35 +0100] "GET /skins/elastic/images/logo.svg?s=1609105339 HTTP/2" 200 386 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:35 +0100] "GET /skins/elastic/fonts/roboto-v19-regular.woff2 HTTP/2" 200 51116 "https://mail.domena_pl/skins/elastic/styles/styles.min.css?s=1667881790" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:35 +0100] "GET /skins/elastic/fonts/fa-solid-900.woff2 HTTP/2" 200 75440 "https://mail.domena_pl/skins/elastic/styles/styles.min.css?s=1667881790" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"

 

IP gagatka to dobrze znany adres, występujący w bazie - https://www.abuseipdb.com/check/205.169.39.171 Inne adresy w logach też były - wiadomo, ale nie aż tyle jeden po drugim, które wywoływały konkretnie adres mail.domena_pl Jest się czego bać, czy ktoś mógł zalogować się na Roundcube (webmailer pod adresem mail.domena_pl prawdopodobnie - a raczej na pewno - obsługuje też inne domeny tego serwera)? Jeśli dobrze widzę to ktoś próbował wywoływać skrypt do logowania się przez OAuth? Traktuję to jako ciekawostkę bardziej, bo jak wspomniałem - na serwerze pusta strona - jeden plik index.html o rozmiarze 0 bajtów w folderze public_html i żadnych skrzynek mailowych.

 

Edytowane 30 Listopada 2023 przez Krystek

[Kapitan_Bomba]

Przecież jak otwierasz jakąś stronę to też robisz kilkadziesiąt requestów żeby pobrać grafiki, style i js-y. Poszukaj w sieci na temat konsoli przeglądarki (F12).

[Krystek]

Tyle to ja wiem. Zastanawiałem się jedynie, czy nie ma jakiejś dziury w samym Roundcube (cholera wie, w obecnych czasach niczego nie można być pewnym), skoro wywoływany jest GAuthenticator. Ale zajrzałem w kod strony logowania Roundcube i faktycznie, są tam linki do wtyczek Roundcube'a i innych dodatków szablonu. Wolę zapytać i rozwiać swoje wątpliwości, niż się kiedyś niepotrzebnie zdziwić

[psz]

To są crawlery jakich dużo. Chodzą po losowych domenach i szukają dziurawych skryptów. Były, są i będą. Traktuj to, jak szum i pilnuj, aby Roundcube był aktualny.