Автор Тема: Пытаются ломать...  (Прочитано 3110 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн PbI6A

Пытаются ломать...
« : 11 Февраля 2016, 08:13:29 »
Обнаружил в журнале много записей типа:
/cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E

Декодировал, пишут что:
/cgi-bin/php?-d+allow url include=on+-d+safe mode=off+-d+suhosin.simulation=on+-d+disable functions=""+-d+open basedir=none+-d+auto prepend file=php://input+-d+cgi.force redirect=0+-d+cgi.redirect status env=0+-n

Сервак, вроде бы, не падает и не ломается, однако сам факт неприятен :( Как сделать, чтобы подонки банились на попытку подобных запросов? Или как-то ещё прикрыться можно?

А можно вообще cgi-bin жахнуть? У меня нет ничего кроме wordpress и owncloud. Им же cgi-bin не надо?

Cообщение объединено 11 Февраля 2016, 08:31:00
Закомментировал строчки cgi-bin в конфигах апача, получил:
Not Found

The requested URL /cgi-bin/php was not found on this server.
Apache/2.2.22 (Debian) Server at
Как-то бы сделать ещё чтобы банило по ip типа как fail2ban делает...
« Последнее редактирование: 11 Февраля 2016, 08:31:00 от PbI6A »
LINUX means: Linux Is Not a UniX
 

Оффлайн dzhoser

Re: Пытаются ломать...
« Ответ #1 : 17 Июня 2020, 22:30:18 »
По умолчанию Fail2ban блокирует IP-адреса, которые попадают под условия бана, на время, заданное в файле jail.conf. По истечение данного времени IP-адрес разблокируется, и с него вновь могут начать поступать запросы.

Однако можно добиться того, чтобы блокируемый адрес заносился в «черный список», и всегда блокировался.

Для этого создадим файл «черного списка», куда впоследствии будут заносится IP-адреса:

touch /etc/fail2ban/ip.blacklist
Затем в файле
Цитировать
/etc/fail2ban/action.d/iptables-multiport.conf
обновим директивы actionban и actionstart:

actionban = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
            echo <ip> >> /etc/fail2ban/ip.blacklist
actionstart = iptables -N fail2ban-<name>
              iptables -A fail2ban-<name> -j RETURN
              iptables -I INPUT -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
              cat /etc/fail2ban/ip.blacklist | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j DROP; done
Перезапустим сервис:

service fail2ban restart
 

Оффлайн dzhoser

Re: Пытаются ломать...
« Ответ #2 : 17 Июня 2020, 22:31:15 »
Подробнее об атаке https://www.cvedetails.com/cve/CVE-2012-1823
 

Оффлайн endru

Re: Пытаются ломать...
« Ответ #3 : 18 Июня 2020, 05:24:18 »
Ну нифига вы отрыли тему 2016 года
 
Пользователи, которые поблагодарили этот пост: qupl, skp300, Gamliel

Оффлайн PbI6A

Re: Пытаются ломать...
« Ответ #4 : 20 Июня 2020, 14:28:01 »
endru, хорошая тема! Или в интернетах пытаться ломать перестали?
LINUX means: Linux Is Not a UniX
 

Оффлайн ogost

Re: Пытаются ломать...
« Ответ #5 : 20 Июня 2020, 15:16:40 »
Боты до сих пор ломятся ко мне на 22-ой порт.  А там больше наружу ничего и не торчит. fail2ban отсекает всех неугодных. К слову, 95% запросов из китайских айпишников. Сказывается географическая близость к китаю, или у вас так же?

Оффлайн endru

Re: Пытаются ломать...
« Ответ #6 : 21 Июня 2020, 13:35:55 »
К слову, 95% запросов из китайских айпишников.
там тру хацкеры тренеруются.

Теги: