Nuestro servidor aloja más de mil sitios y algunos de ellos parecen haber sido secuestrados por scripts maliciosos. Estos scripts ejecutan acciones que normalmente realiza un usuario legítimo en masa, lo que provoca graves tensiones en nuestro servidor y, a menudo, requiere que reiniciemos para limpiar la carga. No tenemos forma de saber cuáles son. Recientemente estos ataques han comenzado a afectar nuestras operaciones diarias. Nuestro archivo de registro de errores tiene un tamaño de 70 MB y contiene mensajes similares a los siguientes:
[timstamp] [error] [client xx.xxx.xx.xxx] File does not exist: /path/favicon.ico (File exists. This is the majority of all log entries)
[timstamp] [error] [client xxx.xxx.xx.xxx] client denied by server configuration: /path/to/cron.php (This is my TOP concern)
[timstamp] [error] [client xxx.xx.xx.xx] Directory index forbidden by Options directive: /another/path
[timstamp] [error] [client xx.xx.xxx.xxx] ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')
[timstamp] [error] [client xx.xx.xxx.xx] Directory index forbidden by Options directive: /path/to/another/file_or_folder/
[timstamp] [error] [client xxx.xx.x.xx] Invalid URI in request GET /../../ HTTP/1.1
[timstamp] [error] [client xx.xxx.xx.xx] client denied by server configuration: /path/to/another/web/file/
Invalid URI in request GET mydomain.com HTTP/1.0
Nuestro archivo de registro de base de datos tiene un tamaño superior a 5 GB.
Mi pregunta es, ¿qué podemos hacer para contrarrestar estas amenazas? ¿Existe alguna forma de prohibir las IP en función de cierto comportamiento? Todavía estamos revisando nuestros registros y tratando de determinar un curso de acción. Cualquier guía, referencia o tutorial que pueda proporcionarse será muy apreciada.
Respuesta1
- Actualice su sistema. Ubuntu 9.04 no ha recibido una actualización de seguridad en dos años.
client denied by server configuration: /path/to/cron.php- No te preocupes por este. La solicitud fue bloqueada por la configuración de Apache y el atacante obtuvo una403 Forbiddenrespuesta.ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')- Esto puede ser potencialmente un problema importante: una vulnerabilidad de desbordamiento del búfer puede permitir que un atacante tome el control total de su sistema. Por otro lado, podría ser que los intentos del atacante de apoderarse de su sistema simplemente desencadenaran un error en PHP.
Es posible que el sistema ya esté comprometido; en caso de duda, restaure desde la copia de seguridad. Luego, actualice este sistema a versiones compatibles y actuales del sistema operativo, que también actualizarán sus paquetes de aplicaciones. Vea si todavía tiene problemas y, de ser así, trabaje para contrarrestar el desbordamiento del búfer validando exhaustivamente los datos de entrada del cliente.