Я нашел много похожих журналов в журналах облачных наблюдений, где потоковая передача журналов из моего приложения ebs.
Я использую платформу: 64-разрядная версия Amazon Linux 2017.03 v2.5.0 под управлением Java 8
Вот журналы, которые повторяются:
Caused by: java.net.URISyntaxException: Illegal character in authority at index 7: http://target(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}bash${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}rce}} null)/wp/wp-login.php?action=lostpassword
at java.net.URI$Parser.fail(URI.java:2848) ~[na:1.8.0_131]
at java.net.URI$Parser.parseAuthority(URI.java:3186) ~[na:1.8.0_131]
at java.net.URI$Parser.parseHierarchical(URI.java:3097) ~[na:1.8.0_131]
at java.net.URI$Parser.parse(URI.java:3053) ~[na:1.8.0_131]
at java.net.URI.<init>(URI.java:588) ~[na:1.8.0_131]
at org.springframework.http.server.ServletServerHttpRequest.getURI(ServletServerHttpRequest.java:97) ~[spring-web-4.3.8.RELEASE.jar!/:4.3.8.RELEASE]
... 35 common frames omitted
Это какая-то атака? Если да, как я могу защитить свое приложение?
Ваше приложение получает недопустимый запрос и вызывает исключение. Для меня это означает, что вы на самом деле не уязвимы для данной атаки.
Атака, похоже, ищет CVE-2016-10033 уязвимость PHPMailer, которая, кажется, связана с тем, что PHPMailer полагался на плохая документация и ваш злоумышленник специально пытается использовать его с помощью слабость в Wordpress.
Похоже, что у вас нет ничего из этого, поэтому ничто из этого не может быть применимо к вашей системе.
В сети довольно распространены попытки использовать слабые места, которые должен уметь определить даже случайный наблюдатель, на самом деле неприменимые к вашей системе.
Я все время вижу записи в журнале, где люди пытаются использовать уязвимости, связанные с php, даже несмотря на то, что вся моя сеть имеет политику нулевой терпимости для PHP - это так раздражает, что мои балансировщики нагрузки периметра обычно задерживают любой запрос с помощью .php в URI.
Может оказаться целесообразным собирать записи журнала с точными отметками времени и отправлять отчеты о злоупотреблениях субъекту, контролирующему пространство IP-адресов, из которого поступают запросы. Будьте вежливы, когда вы делаете это, поскольку человек, читающий вашу почту, почти наверняка не причастен к плохому поведению и, скорее всего, не потворствует этому.
¹ битумная яма - обработчик асинхронных запросов прекращает обслуживание соединения и устанавливает таймер, чтобы вернуться назад через произвольное количество секунд и вернуть смоделированный 500 Internal Server Error response, тем временем оставляя вызывающего «застрявшим в яме с смолой», игнорируя и не потребляя значимых ресурсов, пока я в конечном итоге не принудительно закрываю их соединение. Долгая задержка до того, как я отвечу, замедляет их, но в остальном имеет сомнительное практическое влияние, так что это в основном из соображений злорадства. Это делается на сервере перед фактическим сервером приложений, который никогда не должен видеть входящее соединение.