¿Solicitudes GET extrañas a mi servidor web Apache?

5

Hace unos días, mi servidor web Apache fue golpeado con solicitudes de obtención, muchas de las cuales tenían secuencias de escape extrañas. ¿Puede alguien leer las siguientes entradas del registro de muestra y explicar qué intentó hacer la persona y qué medidas se pueden tomar para protegerse contra esto? Aún no se ha pirateado nada, pero aún me gustaría saber el propósito de esto.

Tenga en cuenta que la dirección IP de origen y las marcas de tiempo se ocultaron intencionalmente.

1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /signin.php\vZ\xae\t\xc1\xc8\xb9\x8d\xbd\xb4\xbd\xa9\x85\xd9\x85\xcd\x8d\xc9\xa5\xc1\xd0\xbd\x91\x91}\xb5\x95\xb9\xd4\xb9\xa9\xcc HTTP/1.1" 200 16174 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"    
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /sig\xb2,\xde HTTP/1.1" 404 10139 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"    
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /images/q2.gie\xa7\xb1\xb7\xf7, HTTP/1.1" 404 10175 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /images/q2.gie\xa2vices-search HTTP/1.1" 404 10175 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /m\xae\xe7 HTTP/1.1" 404 9145 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /images/z.gif0\x89\xdba\xeb\xbe HTTP/1.1" 404 9199 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"

Gracias.

    
pregunta Joan Hopkins 21.06.2013 - 16:32
fuente

3 respuestas

8

Esto se parece a las exploraciones de huellas dactilares típicas. Algunas herramientas envían solicitudes impares para determinar el tipo de servidor y cortafuegos que pueda tener implementados.

Intente reproducir esas solicitudes para ver cómo responde su sitio y determine si hay cambios que deba hacer en su entorno para que falle correctamente y de forma coherente, si es posible.

Es 'solo' una sonda, pero pondría esa IP en una lista de vigilancia para una mayor actividad.

    
respondido por el schroeder 25.06.2013 - 23:35
fuente
2

Esto es definitivamente interesante. Puedo pensar en algunas posibilidades:

  1. Esto no tiene sentido y solo están tratando de ver cómo responderá el servidor web a la basura.
  2. Algunos servidores web pueden reaccionar mal a las codificaciones de caracteres como este \ vZ, \ xc1, etc. y están viendo cómo responderá el tuyo.
  3. Están intentando detectar si hay un firewall de aplicación web o IPS al frente de su aplicación web. Un sistema como ese podría limpiar las solicitudes o rechazarlas por completo, lo que les daría pistas.

También tengo curiosidad por saber por qué la primera línea es 200 y el resto vuelve como 404. Pensaría que /signin.php\vZ ... fallaría. Debes hacer algunas pruebas con esa página para ver por qué \ vZ no está fallando.

En general, si le preocupa la seguridad de su servidor web, puede asegurarse de que esté actualizado con las últimas versiones o parches y asegurarse de que no se ejecuta con privilegios de raíz.

    
respondido por el u2702 21.06.2013 - 18:24
fuente
0

Puede configurar Apache HTTPD e implementar mod_security para filtrar tales intentos. Aquí hay una buena publicación sobre cómo hacerlo y una regla mod_security de ejemplo escrita que ejecuta algún código / script para tomar medidas adicionales en una IP ( source ):

SecRule  REQUEST_URI_RAW "(/mail/bin/msgimport|/nonexisten****|/bin/msgimport|/rc/bin/msgimport|/webmail/bin/msgimport|w00tw00t.at.ISC.SANS.DFind|proxytest.pr.****.de)" " phase:2,t:none,t:lowercase,t:normalisePath,deny,log,status:404,exec:/usr/bin/shared/imr.sh,msg:'RoundCube Webmail scan from %{REMOTE_ADDR}.  Blocked.  More on RoundCube Webmail found at http://roundcube.net.  See site for possible further news on this.',id:99999"

Sin embargo, la seguridad mod viene con su propio conjunto de reglas ya configuradas, por lo que es posible que no tenga que hacer mucho después de la instalación.

    
respondido por el user178150 13.08.2013 - 06:18
fuente

Lea otras preguntas en las etiquetas