Пытаются ломать...

Автор PbI6A, 11 февраля 2016, 08:13:29

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

PbI6A

Обнаружил в журнале много записей типа:
/cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E

Декодировал, пишут что:
/cgi-bin/php?-d+allow url include=on+-d+safe mode=off+-d+suhosin.simulation=on+-d+disable functions=""+-d+open basedir=none+-d+auto prepend file=php://input+-d+cgi.force redirect=0+-d+cgi.redirect status env=0+-n

Сервак, вроде бы, не падает и не ломается, однако сам факт неприятен :( Как сделать, чтобы подонки банились на попытку подобных запросов? Или как-то ещё прикрыться можно?

А можно вообще cgi-bin жахнуть? У меня нет ничего кроме wordpress и owncloud. Им же cgi-bin не надо?

Cообщение объединено 11 февраля 2016, 08:31:00

Закомментировал строчки cgi-bin в конфигах апача, получил:
Not Found

The requested URL /cgi-bin/php was not found on this server.
Apache/2.2.22 (Debian) Server at

Как-то бы сделать ещё чтобы банило по ip типа как fail2ban делает...
LINUX means: Linux Is Not a UniX
Вернулся на Devuan. Счастлив!

dzhoser

По умолчанию Fail2ban блокирует IP-адреса, которые попадают под условия бана, на время, заданное в файле jail.conf. По истечение данного времени IP-адрес разблокируется, и с него вновь могут начать поступать запросы.

Однако можно добиться того, чтобы блокируемый адрес заносился в «черный список», и всегда блокировался.

Для этого создадим файл «черного списка», куда впоследствии будут заносится IP-адреса:

touch /etc/fail2ban/ip.blacklist

Затем в файле
Цитировать/etc/fail2ban/action.d/iptables-multiport.conf
обновим директивы actionban и actionstart:

actionban = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
            echo <ip> >> /etc/fail2ban/ip.blacklist
actionstart = iptables -N fail2ban-<name>
              iptables -A fail2ban-<name> -j RETURN
              iptables -I INPUT -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
              cat /etc/fail2ban/ip.blacklist | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j DROP; done

Перезапустим сервис:

service fail2ban restart
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

dzhoser

Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

endru

Ну нифига вы отрыли тему 2016 года

PbI6A

endru, хорошая тема! Или в интернетах пытаться ломать перестали?
LINUX means: Linux Is Not a UniX
Вернулся на Devuan. Счастлив!

ogost

Боты до сих пор ломятся ко мне на 22-ой порт.  А там больше наружу ничего и не торчит. fail2ban отсекает всех неугодных. К слову, 95% запросов из китайских айпишников. Сказывается географическая близость к китаю, или у вас так же?

endru

Цитата: ogost от 20 июня 2020, 15:16:40К слову, 95% запросов из китайских айпишников.
там тру хацкеры тренеруются.