Ataque estranho (arquivo de log cheio de mensagens Suhoshin)

Navegue suas respostas
1

Hoje verifiquei o arquivo user.log do meu servidor e ele está cheio das seguintes mensagens do Suhoshin 

suhosin[6842]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'page' (attacker '.....    
suhosin[29033]: ALERT - configured GET variable value length limit exceeded - dropped variable...

etc.

Eu vejo mensagens semelhantes no arquivo user.log quase todos os dias, mas nunca tantas.

Minha pergunta: Você tem alguma idéia de qual é o objetivo do atacante enviar postes idênticos e obter solicitações de muitos endereços IP diferentes se todos esses pedidos estiverem sendo bloqueados pelo Suhoshin?

As solicitações são provenientes de ~ 50 endereços IP (a Maxmind diz que todos os IPs são proxies Anônimos): 

/file.php?fid=%60cat%20/etc/passwd%60 
/file.php?fid=................windowswin.ini
/file.php?fid=../../../../../../../../../../boot.ini
    
por user189078 10.09.2013 / 17:46

2 respostas

1

Parece ser um ataque botnet genérico, que procura por um file.php e espera obter conteúdo do seu sistema de arquivos local. Olhe para a corda de fid.

Desde que você não tenha um roteiro tão assustador, você está seguro. Acredite, existem alguns scripts na rede, que não validam a string e servem o arquivo do sistema de arquivos do servidor.

Esse ataque é o mesmo que o de outro pedido de bot para encontrar instalações e coisas inseguras do phpmyadmin.

Especialmente para as mensagens suhosin: suhosin está endurecendo sua instalação do php para ataques comuns como o Ataque com Bytes Poison NULL (primeira mensagem). O PHP não usa strings terminadas em NULL, mas as funções C subjacentes. A segunda mensagem indica um longo parâmetro de consulta, que é descartado. Aqui depende de um invasor aleatório com uma longa string de consulta, ou é o seu aplicativo com uma longa string de consulta e suhosin.get.max_name_length é muito pequeno.

    
por 10.09.2013 / 17:58
2

É chamado Difusão . Estes são normalmente parte de um ataque maior, que alguns podem chamar de um APT (embora eu não goste dessa terminologia ou a gravidade que isso implica). É totalmente possível que seja apenas um botnet procurando por alvos com uma determinada página e testando sistematicamente os pontos fracos.

O que você deve fazer:

  • Certifique-se de que todo o seu software esteja atualizado.
  • Verifique se você tem backups atuais.
  • Se algum software for personalizado, verifique se a segurança está correta. O OWASP possui excelentes recursos de segurança para desenvolvedores de aplicativos da Web.
por 10.09.2013 / 17:57

Tags

Login não-root na instância do EC2 Puppet notice: current_value ausente, deve estar presente