Hoy revisé el archivo user.log de mi servidor y está lleno de los siguientes mensajes de Suhoshin.
suhosin[6842]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'page' (attacker '.....
suhosin[29033]: ALERT - configured GET variable value length limit exceeded - dropped variable...
etc.
Veo mensajes similares en el archivo user.log casi todos los días, pero nunca tantos.
Mi pregunta:¿Tiene alguna idea de cuál es el objetivo del atacante de enviar publicaciones idénticas y recibir solicitudes de muchas direcciones IP diferentes si Suhoshin bloquea todas esas solicitudes?
Las solicitudes provienen de ~50 direcciones IP (Maxmind dice que todas las IP son servidores proxy anónimos):
/file.php?fid=%60cat%20/etc/passwd%60
/file.php?fid=................windowswin.ini
/file.php?fid=../../../../../../../../../../boot.ini
Respuesta1
Parece ser un ataque de botnet genérico, que busca un archivo.php y espera obtener contenido de su sistema de archivos local. Mira la cadena fid.
Mientras no tengas un guión tan espeluznante, estás a salvo. Créalo, hay algunos scripts en la red que no validan la cadena ni entregan el archivo desde el sistema de archivos del servidor.
Este ataque es el mismo que el resto de solicitudes de bots para encontrar instalaciones no seguras de phpmyadmin y demás.
Especialmente a los mensajes de suhosin: suhosin está fortaleciendo su instalación de php para ataques comunes como elAtaque de bytes nulos venenosos(primer mensaje). PHP no utiliza cadenas terminadas en NULL, pero las funciones C subyacentes sí. El segundo mensaje indica un parámetro de consulta largo, que se descarta. Aquí depende si se trata de un atacante aleatorio con una cadena de consulta larga o si es su aplicación con una cadena de consulta larga y suhosin.get.max_name_length
es demasiado pequeña.
Respuesta2
es una llamadaFuzzing. Normalmente son parte de un ataque mayor, que algunos podrían llamar unAPTO(aunque no me gusta esa terminología ni la gravedad que implica). Es muy posible que sea simplemente una botnet que busca objetivos en una página en particular y prueba sistemáticamente sus debilidades.
¿Qué deberías hacer?
- Asegúrese de que todo su software esté actualizado.
- Asegúrese de tener copias de seguridad actualizadas.
- Si alguno de los programas está escrito de forma personalizada, asegúrese de que la seguridad esté a la altura.OWASPtiene excelentes recursos de seguridad para desarrolladores de aplicaciones web.