Actividad extraña en el registro de acceso httpd de Apache [duplicado]

0

He configurado un servidor Apache / 2.2.22 (Debian) en mi Rasberry Pi. Mirando mi access.log, veo un poco de actividad extraña que consiste principalmente en GETs, lo cual es bastante desconcertante, ya que soy un novato en estos temas. Lo más extraño fue una serie de POST que consistían en signos y números porcentuales. No sé casi nada acerca de las tecnologías web, pero asumí que eran caracteres HTML escapados. Decodificando los caracteres de uno de ellos (hubo 2 variedades) de "POST php-cgi?" hacia adelante, resultó en lo siguiente:

  

"POST /cgi-bin/php-cgi?-d+allow_url_include=on+-d+safe_mode=off+-d+suhosin.simulation=on-d+disable_functions=""+-d+open_basedir=none+-d + auto_ prepend_file = php: // entrada + -d + cgi.force_redirect = 0 + -d + cgi. redirect_status_env = 0 + -n "

Y una muestra GET:

  

"GET / HNAP1 / HTTP / 1.1"

¿Qué está pasando aquí? ¿Los robots están probando al azar las direcciones IP para detectar vulnerabilidades? ¿Debería estar preocupado?

Editar: estas solicitudes devolvieron 404.

    
pregunta Atuos 20.01.2014 - 19:06
fuente

4 respuestas

0

El primero se parece a la inyección CGI.

¿Tu PHP está actualizado? ¿Está seguro de que no existe en el directorio cgi-bin? Estos dos deberían ser suficientes para protegerse contra este ataque ...

El segundo parece estar apuntando a algunas vulnerabilidades de D-Link. No me preocuparía por eso en tu servidor web.

    
respondido por el Arnon 20.01.2014 - 19:09
fuente
0

HNAP es el protocolo de administración de red doméstica.

Existen vulnerabilidades contra los enrutadores D-Link que se pueden encontrar usando solicitudes GET un poco como esto.

Puede encontrar más información en este exploit publicado: enlace

    
respondido por el Owen 20.01.2014 - 19:10
fuente
0

Para más detalles sobre la vulnerabilidad de PHP-CGI, consulte: -

respondido por el wr0k 20.01.2014 - 19:34
fuente
0

Suena como Zollard . Se dirige a las implementaciones FastCGI de PHP. Si ejecuta PHP, asegúrese de que su servidor web y PHP estén actualizados, y usted debería estar bien.

    
respondido por el cryptochronoconolite 20.01.2014 - 21:56
fuente

Lea otras preguntas en las etiquetas