На моем сервере запущены серьезные HTTP и SSH-атаки. Большинство из них - это проверка пароля методом перебора или попытки получить / etc / passwd. Но некоторые из них пытаются запустить bash через системы плагинов или выполняют странные запросы. При просмотре файлов журнала моего сервера apache у меня есть такие строки (без разрывов строк):
POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D
%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69
%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66
%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D
%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68
%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72
%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73
%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 301 1718 "-" "Mozilla/5.0 (iPad; CPU OS 6_0
like Mac OS X) AppleWebKit/636.26(KHTML, like Gecko) Version/6.0 Mobile/10B5355d
Safari/8636.25
С декодированием URL я получил следующее:
"POST /cgi-bin/php4?-d allow_url_include=on -d safe_mode=off -d
suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d
auto_prepend_file=php://input -d cgi.force_redirect=0 -d
cgi.redirect_status_env=0 -n HTTP/1.1" 301 1718 "-" "Mozilla/5.0 (iPad;
CPU OS 6_0 like Mac OS X) AppleWebKit/636.26(KHTML, like Gecko)
Version/6.0 Mobile/10B5355d Safari/8636.25"
Но что он пытается сделать? Поскольку это запрос POST, есть ли способ узнать, какие данные были отправлены с ним?
Мои действия по обеспечению безопасности заключаются в следующем: отключите все службы, которые мне не нужны, для тех, кто мне действительно нужен, защитите их с помощью fail2ban, альтернативных портов (если возможно), регулярных обновлений программного обеспечения и регулярной проверки файлов журналов. (Следующими шагами будут регулярные проверки на наличие слабых паролей и наличие какого-либо механизма обнаружения вторжений)
Это атака PHP-CGI.
-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on
-d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input
-d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n
Вышеупомянутый раздел данных будет ошибочно передан интерпретатору командной строки PHP и может позволить злоумышленнику переопределить определенные конфигурации PHP. В этом случае одной из ключевых модификаций является указание «auto_prepend_file = php: // input», которое позволит злоумышленнику отправить код PHP в теле запроса.
ССЫЛКА: http://blog.spiderlabs.com/2013/11/honeypot-alert-more-php-cgi-scanning-apache-magikac.html
Это похоже на обычную атаку, при которой они вроде бы пытаются ввести команды cgi. Получите себе IDS или HIDS. Они могут автоматически уведомлять вас или блокировать трафик при просмотре вредоносных строк.
Также убедитесь, что ваши системы максимально защищены, насколько это возможно, уменьшите свой информационный след.
Обязательно следите за преступником, если это случается эпизодически, это обычный фоновый шум в Интернете.