muchos ataques csh http shellshock

3

Administro un servidor público que recibe aproximadamente una descarga de shell HTTP de 100 csh por día desde diferentes fuentes. Es un método HTTP GET que solicita el URI /cgi-bin/authLogin.cgi.

Sabiendo que el URI solicitado no existe en mi servidor, ¿es normal recibir muchos intentos de ataque desde Internet? ¿Eso significa que mi servidor está comprometido?

Editar

¿Puede alguien con experiencia en auditoría de redes decirme si es normal o no recibir tantos ataques desde Internet?

    
pregunta Snake Hernandez 31.12.2014 - 10:15
fuente

2 respuestas

3

Según la URL solicitada, parece que estos son intentos de explotar una vulnerabilidad de shellshock en dispositivos de almacenamiento conectado a red (NAS) de QNAP . Si este no es un NAS de QNAP y sabe que sus servidores tienen la vulnerabilidad de shell shock parcheada, entonces probablemente no deba preocuparse.

El hecho de que recibas repetidamente solicitudes de una URL que no existe sugiere que estos ataques no están dirigidos específicamente a ti, sino que provienen de robots automatizados que analizan toneladas de servidores en línea en busca de servidores que tienen una específica vulnerabilidad. Desafortunadamente, estos robots son extremadamente comunes, por lo que 100 solicitudes por día no son tan inusuales para un sitio web de tamaño pequeño o mediano. Todo es solo una parte de la ejecución de un servidor en Internet. Siempre y cuando no seas vulnerable a las cosas específicas que están buscando, no deberían causar un problema.

    
respondido por el tlng05 07.01.2015 - 00:47
fuente
0

Recibir muchos intentos de ataque no significa necesariamente que esté comprometido, pero podría ser una indicación de que los atacantes están explotando activamente la vulnerabilidad. Definitivamente, desea asegurarse de que la vulnerabilidad de Shellshock esté parchada en todos sus activos o, de lo contrario, probablemente esté comprometido ya que está recibiendo estos intentos. Si la vulnerabilidad está parchada en todos sus activos, entonces debería estar bien con respecto a estos intentos. Podría ser que si tiene activos no parcheados, los atacantes están explotando activamente la vulnerabilidad de shellshock.

No sé si "es normal" recibir tantos intentos de Internet, y dejo esta parte de la pregunta para que otra persona la conteste.

    
respondido por el Jonathan 31.12.2014 - 18:26
fuente

Lea otras preguntas en las etiquetas