我在云监视日志中发现了很多类似的日志,其中来自我的 ebs 应用程序的日志正在流式传输。
我正在使用的平台:运行 Java 8 的 64 位 Amazon Linux 2017.03 v2.5.0
以下是重复的日志:
Caused by: java.net.URISyntaxException: Illegal character in authority at index 7: http://target(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}bash${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}rce}} null)/wp/wp-login.php?action=lostpassword
at java.net.URI$Parser.fail(URI.java:2848) ~[na:1.8.0_131]
at java.net.URI$Parser.parseAuthority(URI.java:3186) ~[na:1.8.0_131]
at java.net.URI$Parser.parseHierarchical(URI.java:3097) ~[na:1.8.0_131]
at java.net.URI$Parser.parse(URI.java:3053) ~[na:1.8.0_131]
at java.net.URI.<init>(URI.java:588) ~[na:1.8.0_131]
at org.springframework.http.server.ServletServerHttpRequest.getURI(ServletServerHttpRequest.java:97) ~[spring-web-4.3.8.RELEASE.jar!/:4.3.8.RELEASE]
... 35 common frames omitted
这是某种攻击吗?如果是,我该如何保护我的应用程序?
答案1
您的应用正在接收无效请求并抛出异常。对我来说,这表明您实际上并不容易受到这种特定攻击。
这次袭击似乎在寻找CVE-2016-10033PHPMailer 漏洞,这似乎归因于 PHPMailer 依赖于糟糕的文档而你的攻击者正试图通过Wordpress 的弱点。
您似乎没有这些东西,因此这些东西似乎都不适用于您的系统。
在网络上,试图利用弱点的行为相当常见,甚至一个偶然的观察者都应该能够判断出这些弱点实际上并不适用于您的系统。
尽管我的整个网络对 PHP 采取了零容忍政策,但我经常会看到有人试图利用与 PHP 相关的漏洞的日志条目——这太烦人了,以至于我的外围负载均衡器通常会阻拦.phpURI 中的任何请求。
收集带有准确时间戳的日志条目并向控制请求来源 IP 地址空间的实体提交滥用报告可能是值得的,也可能不值得。执行此操作时请保持礼貌,因为阅读您邮件的人几乎肯定不是不良行为的一方,并且可能不会纵容这种行为。
¹焦油坑-- 异步请求处理程序停止服务连接并设置一个计时器,在任意秒数后返回模拟500 Internal Server Error响应,同时让调用者“陷入困境”,被忽略且不消耗有意义的资源,直到我最终强制关闭他们的连接。在我响应之前的长时间延迟会减慢他们的速度,但除此之外,它的实际影响令人生疑,所以它主要是出于幸灾乐祸的目的。这是在实际应用服务器前面的服务器上完成的,该服务器根本不需要看到传入的连接。