Strane richieste GET al mio server Web Apache?

5

Qualche giorno fa, il mio server web Apache è stato colpito da richieste get, molte delle quali avevano strane sequenze di escape. Qualcuno può leggere le seguenti voci del registro di esempio e spiegare cosa ha tentato di fare la persona, e quali misure possono essere prese per proteggersi da questo? Niente è stato ancora compromesso, ma mi piacerebbe comunque conoscere lo scopo di questo.

Si noti che l'indirizzo IP di origine e i timestamp sono stati intenzionalmente oscurati.

1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /signin.php\vZ\xae\t\xc1\xc8\xb9\x8d\xbd\xb4\xbd\xa9\x85\xd9\x85\xcd\x8d\xc9\xa5\xc1\xd0\xbd\x91\x91}\xb5\x95\xb9\xd4\xb9\xa9\xcc HTTP/1.1" 200 16174 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"    
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /sig\xb2,\xde HTTP/1.1" 404 10139 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"    
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /images/q2.gie\xa7\xb1\xb7\xf7, HTTP/1.1" 404 10175 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /images/q2.gie\xa2vices-search HTTP/1.1" 404 10175 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /m\xae\xe7 HTTP/1.1" 404 9145 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /images/z.gif0\x89\xdba\xeb\xbe HTTP/1.1" 404 9199 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"

Grazie.

    
posta Joan Hopkins 21.06.2013 - 16:32
fonte

3 risposte

8

Si tratta delle tipiche scansioni di impronte digitali. Alcuni strumenti inviano richieste dispari per determinare il tipo di server e firewall che potresti avere sul posto.

Prova a riprodurre queste richieste per vedere come il tuo sito risponde e determinare se ci sono cambiamenti che devi apportare al tuo ambiente per farlo fallire in modo elegante e coerente, se possibile.

È "solo" una sonda, ma inserisco quell'IP in un elenco di controllo per ulteriori attività.

    
risposta data 25.06.2013 - 23:35
fonte
2

Questo è decisamente interessante. Posso pensare ad alcune possibilità:

  1. Questa è una sciocchezza e stanno solo cercando di vedere come il webserver risponderà alla spazzatura.
  2. Alcuni web server potrebbero reagire male alle codifiche dei caratteri come questo \ vZ, \ xc1 ecc e stanno vedendo come risponderanno i tuoi.
  3. Stanno cercando di rilevare se c'è un firewall per app Web o IPS che sta visualizzando la tua app web. Un sistema come questo potrebbe ripulire le richieste o respingerle a priori che potrebbero dare loro indizi.

Sono anche curioso di sapere perché la prima riga è una 200 e il resto ritorna come 404. Penserei che /signin.php\vZ ... fallirebbe. Dovresti fare dei test con quella pagina per capire perché \ vZ non sta fallendo.

In generale, se sei preoccupato per la sicurezza del tuo server web, puoi assicurarti che sia aggiornato con le versioni o le patch più recenti e assicurarti che non sia in esecuzione con i privilegi di root.

    
risposta data 21.06.2013 - 18:24
fonte
0

È possibile configurare Apache HTTPD e implementare mod_security per filtrare tali tentativi. Ecco un bel post su come farlo e una regola mod_security di esempio scritta che esegue codice / script per agire ulteriormente su un IP ( fonte ):

SecRule  REQUEST_URI_RAW "(/mail/bin/msgimport|/nonexisten****|/bin/msgimport|/rc/bin/msgimport|/webmail/bin/msgimport|w00tw00t.at.ISC.SANS.DFind|proxytest.pr.****.de)" " phase:2,t:none,t:lowercase,t:normalisePath,deny,log,status:404,exec:/usr/bin/shared/imr.sh,msg:'RoundCube Webmail scan from %{REMOTE_ADDR}.  Blocked.  More on RoundCube Webmail found at http://roundcube.net.  See site for possible further news on this.',id:99999"

Tuttavia, la sicurezza di mod viene fornita con il proprio set di regole già configurato in modo da non dover fare molto dopo un'installazione.

    
risposta data 13.08.2013 - 06:18
fonte

Leggi altre domande sui tag