Nosso servidor hospeda mais de mil sites, e alguns deles parecem ter sido sequestrados por scripts maliciosos. Esses scripts executam ações normalmente executadas em massa por um usuário legítimo, causando graves sobrecargas em nosso servidor e muitas vezes exigindo que reiniciemos para limpar a carga. Não temos como descobrir o que são. Recentemente, estes ataques começaram a afectar as nossas operações diárias. Nosso arquivo de log de erros tem 70 MB com mensagens semelhantes às seguintes:
[timstamp] [error] [client xx.xxx.xx.xxx] File does not exist: /path/favicon.ico (File exists. This is the majority of all log entries)
[timstamp] [error] [client xxx.xxx.xx.xxx] client denied by server configuration: /path/to/cron.php (This is my TOP concern)
[timstamp] [error] [client xxx.xx.xx.xx] Directory index forbidden by Options directive: /another/path
[timstamp] [error] [client xx.xx.xxx.xxx] ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')
[timstamp] [error] [client xx.xx.xxx.xx] Directory index forbidden by Options directive: /path/to/another/file_or_folder/
[timstamp] [error] [client xxx.xx.x.xx] Invalid URI in request GET /../../ HTTP/1.1
[timstamp] [error] [client xx.xxx.xx.xx] client denied by server configuration: /path/to/another/web/file/
Invalid URI in request GET mydomain.com HTTP/1.0
Nosso arquivo de log do banco de dados tem tamanho superior a 5 GB.
A minha pergunta é: o que podemos fazer para combater estas ameaças? Existe uma maneira de banir IPs com base em determinado comportamento? Ainda estamos examinando nossos registros e tentando determinar um curso de ação. Quaisquer guias, referências ou tutoriais que possam ser fornecidos serão muito apreciados.
Responder1
- Atualize seu sistema. O Ubuntu 9.04 não recebe atualização de segurança há dois anos.
client denied by server configuration: /path/to/cron.php- Não se preocupe com isso. A solicitação foi bloqueada pela configuração do Apache e o invasor obteve uma403 Forbiddenresposta.ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')- Isto pode ser potencialmente um grande problema - uma vulnerabilidade de buffer overflow pode permitir que um invasor assuma o controle total do seu sistema. Por outro lado, pode ser que as tentativas do invasor de assumir o controle do seu sistema simplesmente tenham desencadeado um bug no PHP.
O sistema já pode estar comprometido; em caso de dúvida, restaure a partir do backup. Em seguida, atualize este sistema para versões atuais e suportadas do sistema operacional, o que também atualizará seus pacotes de aplicativos. Veja se você ainda está tendo problemas e, em caso afirmativo, trabalhe para neutralizar o buffer overflow validando completamente os dados de entrada do cliente.