этот malcious трафик?
Я рассматривал свои журналы сервера, когда я столкнулся с несколькими тысячами этих драгоценных камней: от нескольких IP-адреса: Мой вопрос - то, что весь этот спам? что это пытается выполнить? Я вполне уверен, что я не использую МУСОРНОЕ ВЕДРО CGI ни для чего. Я выполняю сервер Ubuntu 13.04.
это читает:
69.64.59.8 - [18/Dec/2013:16:12:43 - 0500] "POST/cgi-bin/php? %2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 493 "-" "Mozilla/5.0 (iPad; ЦП ОС 6_0 как Mac OS X) AppleWebKit/536.26 (KHTML, как Геккон) Safari/8536.25 Версии/6.0 Mobile/10A5355d"
который переводит в:
- [18/Dec/2013:16:12:44 - 0500] "POST/cgi-bin/php.cgi?-dallow_url_include=on-dsafe_mode=off-dsuhosin.simulation=on-ddisable_functions = ""-dopen_basedir=none-dauto_prepend_file=php://input-dcgi.force_redirect=0-dcgi.redirect_status_env=0-n HTTP/1.1" 404 497 "-" "Mozilla/5.0 (iPad; ЦП ОС 6_0 как Mac OS X) AppleWebKit/536.26 (KHTML, как Геккон) Safari/8536.25 Версии/6.0 Mobile/10A5355d"
1 ответ
Это вредоносный трафик, но держу пари, что он не направлен. Скорее всего, это будет автоматический скрипт или сканирование ботнета на наличие уязвимостей.
Эти виды URL-адресов представляют переполнение буфера, чтобы заставить PHP (и все остальные) выполнять произвольный код. Это попытка получить доступ к вашему серверу, чтобы злоумышленник мог контролировать его, чтобы атаковать другие серверы, размещать вредоносные программы и рассылать спам.
Хосты, атакующие ваш сервер, скорее всего, просто компьютеры и серверы других людей. Они были порабощены в ботнете, чтобы делать плохие вещи. И только потому, что он говорит, что iPad не означает, что это iPad. Пользовательский агент может быть легко подделан.
Вы ничего не можете сделать, чтобы запретить людям делать эти запросы. Там всегда будет пул компьютеров, делающих их в тот или иной момент.
Но если у вас есть время, сообщите об атакующих IP-адресах их интернет-провайдерам.
Это не тот случай, когда кто-то попадает в беду, это то, что эти провайдеры должны уведомлять своих клиентов о том, что им нужно почистить свои машины. И если что-то будет продолжаться, отключите эти машины от Интернета. Если бы больше людей делали это, Интернет был бы более безопасным.
Вы можете просто whois <ip> получить электронное письмо со злоупотреблением, но вот строка, по которой его можно перевести на , просто адрес электронной почты:
whois 69.64.59.8 | grep abuse | grep -Eo '\S+@\S+' | sort -u
И отправьте им электронное письмо, которое охватывает основную информацию о нападении.
Для обработки многих из них вы можете awk свои журналы для злоумышленников с чем-то вроде:
awk '/cgi/ {print $1}' /path/to/logs | sort -u
И затем просто проработать их. Вы даже можете связать их вместе, чтобы сделать вещи еще проще:
awk '/cgi/ {print $1}' /path/to/logs | sort -u | xargs -i% bash -c "echo %; whois % | grep abuse | grep -Eo '\S+@\S+' | sort -u; echo"
Единственная проблема - вы потеряете ссылку на запись в журнале. Это может быть, а может и не быть проблемой, в зависимости от письма, которое вы планируете написать.