11 votos

"allrequestsallowed.com"... el intento de Hack?

Tengo muchos intentos en mi (pequeña, personal y absolutamente sin importancia) servidor web, apache y fail2ban suele hacer bien su trabajo. Pero hay una entrada de registro que me preocupa:

xx.yy.www.zzz - - [9/Jul/2011:12:42:15 +0100] "GET http://allrequestsallowed.com/?PHPSESSID=5gh6ncjh00043YVMWTW_B%5CFAP HTTP/1.1" 200 432 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12"

El problema es que la respuesta no era un 404 del código, pero en lugar de 200. Es que está bien? Parece extraño para mí, pero mi conocimiento en este campo (y muchos otros) es, para decirlo suavemente, es limitada.

12voto

ICodeForCoffee Puntos 653

En primer lugar, hasta el frente, no sé lo que el presunto atacante está tratando de lograr. Tal vez hay un script PHP o PHP versión no vulnerable a algún extraño ID de sesión de ataque, no lo sé. Usted probablemente no tiene nada de que preocuparse, sin embargo.

Su servidor se comportó exactamente como se esperaba. 200 es el esperado el código en esa situación en particular debido a la forma de Apache interpreta la dirección URL que se pasa.

En primer lugar, http://allrequestsallowed.com es tratado como el más usual 'Host:' encabezado (tenga en cuenta que no creo que esto se especifica en el RFC y otros servidores no pueden interpretar de esta manera me fue mal, esto se especifica en el RFC 2616 en la sección 5.1.2, aunque los clientes rara vez parecen utilizar dicho formulario. Me disculpan, tengo que ir a arreglar un servidor HTTP implementación escribí hace un tiempo...).

Ahora, es de suponer que usted no tiene un sitio denominado "allrequestsallowed.com'. Entonces, ¿qué sucede cuando Apache consigue un Host: de encabezado (o equivalente) para un nombre de host que no reconoce? Toma la primera host virtual como el valor predeterminado. Esto está bien definido y documentado el comportamiento de Apache. Así que sea cual sea su primer host virtual es (o simplemente la configuración del servidor principal si no hay ningún vhosts) se hace cargo, no importa lo que se nombra.

Ahora, el resto de la URL se compone de dos partes: la ruta de acceso, /, y un parámetro GET ( ?PHPSESSID... bits).

Ahora, el camino de / debe estar presente en prácticamente todos los servidores web por ahí. En la mayoría de los casos, se asigna a algo como index.html o quizás un index.php script, aunque puede reemplazar cualquiera de este curso.

Si se asigna a un archivo HTML estático, absolutamente nada inusual sucede -- el contenido del archivo se devuelven, y es que, el parámetro es simplemente ignorado. (Suponiendo que no tenga ciertos avanzadas de configuración de directivas, y casi seguramente que no.)

Por otro lado, si se trata de un guión de algún tipo, que PHPSESSID variable será aprobado a la secuencia de comandos. Si el script utiliza esa variable (en este caso en particular, sólo los scripts PHP usando PHP integrado de gestión de sesiones son propensos a), su comportamiento dependerá de los contenidos.

Con toda probabilidad, sin embargo, incluso si su / pasa a asignar a un script PHP el uso de sesiones, nada destacable que va a suceder. El IDENTIFICADOR de sesión, probablemente, no existe de todos modos, y va a ser ignorados, o la secuencia de comandos mostrará un error.

En el improbable caso de que el IDENTIFICADOR de sesión no existe, así, el atacante podría secuestrar a alguien de la sesión. Eso sería malo, pero no es realmente un agujero de seguridad en sí mismo-el agujero sería donde el atacante consiguió el IDENTIFICADOR de sesión información de (sniffing en una red inalámbrica es un buen candidato, si no estás usando HTTPS). Que realidad no iba a ser capaz de hacer cualquier cosa que el usuario cuya sesión originalmente se podía hacer.

Edit: Además, el '%5C' dentro de la SESSIONID se asigna a un carácter de barra diagonal inversa. Esta parece ser una prueba para los ataques de recorrido de directorios en los hosts de windows.

4voto

blabla999 Puntos 2316

Tengo este allrequestsallowed registra en una ip que se utiliza como Un registro de todas nuestras parking de dominios de.

Mi tiro es que este nombre de host se utiliza en combinación con el "atacante" local hostfile apuntando hacia el host de destino.

El real webserver en 31.44.184.250 es solo para atender a las solicitudes externas.

Mi opinión: total inofensivo. No ve ningún valor añadido, el uso de la excepción de cosa que usted puede hacer con cualquier otro falso nombre de dominio en su hostfile.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: