Ataque estranho (arquivo de log cheio de mensagens Suhoshin)

Ataque estranho (arquivo de log cheio de mensagens Suhoshin)

Hoje verifiquei o arquivo user.log do meu servidor e ele está cheio das seguintes mensagens do Suhoshin

suhosin[6842]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'page' (attacker '.....    
suhosin[29033]: ALERT - configured GET variable value length limit exceeded - dropped variable... 

etc.

Vejo mensagens semelhantes no arquivo user.log quase todos os dias, mas nunca tantas.

Minha pergunta:Você tem alguma ideia de qual é o objetivo do invasor de enviar mensagens idênticas e obter solicitações de muitos endereços IP diferentes se todas essas solicitações estiverem sendo bloqueadas pelo Suhoshin?

As solicitações vêm de aproximadamente 50 endereços IP (Maxmind diz que todos os IPs são proxies anônimos):

/file.php?fid=%60cat%20/etc/passwd%60 
/file.php?fid=................windowswin.ini
/file.php?fid=../../../../../../../../../../boot.ini

Responder1

Parece ser um ataque genérico de botnet, que procura um arquivo.php e espera obter conteúdo do seu sistema de arquivos local. Veja a string fid.

Contanto que você não tenha um script tão assustador, você está seguro. Acredite, existem alguns scripts na rede que não validam a string e servem o arquivo do sistema de arquivos do servidor.

Este ataque é o mesmo que um monte de outras solicitações de bot para encontrar instalações inseguras do phpmyadmin e outras coisas.

Especialmente para as mensagens do suhosin: o suhosin está protegendo sua instalação do php para ataques comuns como oAtaque de byte NULL venenoso(Primeira Mensagem). PHP não usa strings terminadas em NULL, mas as funções C subjacentes usam. A segunda mensagem indica um parâmetro de consulta longo, que foi eliminado. Aqui depende se é um invasor aleatório com uma string de consulta longa ou se é seu aplicativo com uma string de consulta longa e suhosin.get.max_name_lengthmuito pequeno.

Responder2

É chamadaConfuso. Normalmente fazem parte de um ataque maior, que alguns podem chamar de ataqueAPTO(embora eu não goste dessa terminologia ou da gravidade que ela implica). É perfeitamente possível que seja apenas um botnet procurando alvos em uma página específica e testando sistematicamente os pontos fracos.

O que você deveria fazer:

  • Certifique-se de que todo o seu software esteja atualizado.
  • Certifique-se de ter backups atuais.
  • Se algum software for escrito de forma personalizada, certifique-se de que a segurança esteja em dia.OWASPpossui excelentes recursos de segurança para desenvolvedores de aplicativos web.

informação relacionada