Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

Atak na Roundcube w domenie?


Krystek

Rekomendowane odpowiedzi

Hej. Jest sobie pewien hosting a na nim kilka dni temu została dodana pewna domena .pl. Domena z długim stażem, ale nigdy nie było do niej utworzonego konta e-mail, bo strona pod domeną działała jedynie jako wizytówka. Pech chciał, że jakiś czas temu na innym, poprzednim hostingu było włamanie przez stronę tej domeny - atakujący wgrał skrypty, które wysyłały phishingowe maile i domena  była przez Google Safe Browsing oznaczona jako atakująca / wykradająca dane (malware / phishing). Wszytko zostało posprzątane, zawartość folderów WWW / public_html skasowana a sama domena odpięta na pewien czas ze starego hostingu. Teraz już jest OK. Na nowym hostingu na razie jest wgrana do folderu public_html strona index.html bez zawartości.

 

Ale do rzeczy. Po dodaniu domeny na hostingu pod adresem https://mail.domena_pl (celowo nie wstawiam działającego adresu, by nie generować ruchu) został automatycznie utworzone na  serwerze przekierowanie na bramkę Roundcube dla poczty e-mail w domenach na tym serwerze, sam mail.domena_pl służy także za adres dla serwerów IMAP oraz SMTP. Na nowym hostingu przeglądam sobie logi serwera WWW i widzę takie coś:

 

205.169.39.171 - - [27/Nov/2023:15:49:10 +0100] "GET / HTTP/1.1" 302 978 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:11 +0100] "GET / HTTP/1.1" 200 4597 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:12 +0100] "GET /program/js/jquery.min.js?s=1667881790 HTTP/1.1" 200 37561 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:12 +0100] "GET /program/js/common.min.js?s=1695112960 HTTP/1.1" 200 5918 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:12 +0100] "GET /program/js/app.min.js?s=1695112960 HTTP/1.1" 200 60138 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:13 +0100] "GET /program/js/jstz.min.js?s=1609105346 HTTP/1.1" 200 6186 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:13 +0100] "GET /plugins/twofactor_gauthenticator/twofactor_gauthenticator.js?s=1694442362 HTTP/1.1" 200 3120 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:13 +0100] "GET /plugins/twofactor_gauthenticator/qrcode.min.js?s=1690291595 HTTP/1.1" 200 8535 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:13 +0100] "GET /plugins/jqueryui/js/jquery-ui.min.js?s=1609105338 HTTP/1.1" 200 86487 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:15 +0100] "GET /skins/elastic/deps/bootstrap.bundle.min.js?s=1667881790 HTTP/1.1" 200 27972 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:16 +0100] "GET /skins/elastic/ui.min.js?s=1695112960 HTTP/1.1" 200 23789 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET / HTTP/1.1" 302 978 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET / HTTP/2" 200 3596 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /skins/elastic/deps/bootstrap.min.css?s=1667881790 HTTP/2" 200 31876 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /program/js/jstz.min.js?s=1609105346 HTTP/2" 200 5538 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /skins/elastic/styles/styles.min.css?s=1667881790 HTTP/2" 200 28816 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /plugins/jqueryui/themes/elastic/jquery-ui.min.css?s=1695112960 HTTP/2" 200 8515 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /program/js/common.min.js?s=1695112960 HTTP/2" 200 5270 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /plugins/twofactor_gauthenticator/qrcode.min.js?s=1690291595 HTTP/2" 200 7887 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /plugins/twofactor_gauthenticator/twofactor_gauthenticator.js?s=1694442362 HTTP/2" 200 2473 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /program/js/jquery.min.js?s=1667881790 HTTP/2" 200 36880 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /program/js/app.min.js?s=1695112960 HTTP/2" 200 59457 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:34 +0100] "GET /plugins/jqueryui/js/jquery-ui.min.js?s=1609105338 HTTP/2" 200 85767 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:35 +0100] "GET /skins/elastic/deps/bootstrap.bundle.min.js?s=1667881790 HTTP/2" 200 27137 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:35 +0100] "GET /skins/elastic/ui.min.js?s=1695112960 HTTP/2" 200 23126 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:35 +0100] "GET /skins/elastic/images/logo.svg?s=1609105339 HTTP/2" 200 386 "https://mail.domena_pl/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:35 +0100] "GET /skins/elastic/fonts/roboto-v19-regular.woff2 HTTP/2" 200 51116 "https://mail.domena_pl/skins/elastic/styles/styles.min.css?s=1667881790" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"
205.169.39.171 - - [27/Nov/2023:15:49:35 +0100] "GET /skins/elastic/fonts/fa-solid-900.woff2 HTTP/2" 200 75440 "https://mail.domena_pl/skins/elastic/styles/styles.min.css?s=1667881790" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36"

 

IP gagatka to dobrze znany adres, występujący w bazie - https://www.abuseipdb.com/check/205.169.39.171 Inne adresy w logach też były - wiadomo, ale nie aż tyle jeden po drugim, które wywoływały konkretnie adres mail.domena_pl Jest się czego bać, czy ktoś mógł zalogować się na Roundcube (webmailer pod adresem mail.domena_pl prawdopodobnie - a raczej na pewno - obsługuje też inne domeny tego serwera)? Jeśli dobrze widzę to ktoś próbował wywoływać skrypt do logowania się przez OAuth? Traktuję to jako ciekawostkę bardziej, bo jak wspomniałem - na serwerze pusta strona - jeden plik index.html o rozmiarze 0 bajtów w folderze public_html i żadnych skrzynek mailowych.

 

Edytowane przez Krystek
Odnośnik do komentarza
Udostępnij na innych stronach

Tyle to ja wiem. Zastanawiałem się jedynie, czy nie ma jakiejś dziury w samym Roundcube (cholera wie, w obecnych czasach niczego nie można być pewnym), skoro wywoływany jest GAuthenticator. Ale zajrzałem w kod strony logowania Roundcube i faktycznie, są tam linki do wtyczek Roundcube'a i innych dodatków szablonu. Wolę zapytać i rozwiać swoje wątpliwości, niż się kiedyś niepotrzebnie zdziwić 🧐

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.