Apache log... - megfejte: fúrják a cgi-t

Web, mail, IRC, IM, hálózatok

Sziasztok,

felfigyeltem az apache access logomban egy érdees sorra:

176.31.235.18 - - [22/Nov/2013:05:44:35 +0100] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 404 461 "-" "-"

Mi ez?

  • 5895 megtekintés

Hogy a rák egye meg...

Akkor indul a roller. Kösz a segitséget. Esetleg valami ötlet?

php5 -v
PHP 5.3.10-1ubuntu3.8 with Suhosin-Patch (cli) (built: Sep 4 2013 20:00:51)
Copyright (c) 1997-2012 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2012 Zend Technologies
with Suhosin v0.9.33, Copyright (c) 2007-2012, by SektionEins GmbH

-------------------------
neut @ présház

Azt írják:

"This update addresses the issue when the PHP CGI interpreter
is configured using mod_cgi and mod_actions as described in
/usr/share/doc/php5-cgi/README.Debian.gz; however, if an alternate
configuration is used to enable PHP CGI processing, it should be
reviewed to ensure that command line arguments cannot be passed to
the PHP interpreter."

Tehát vagy igen, vagy nem :D

Nálam:

$ php5 -v
PHP 5.3.3-7+squeeze17 with Suhosin-Patch (cli) (built: Aug 26 2013 07:26:12)
Copyright (c) 1997-2009 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2010 Zend Technologies
with Suhosin v0.9.32.1, Copyright (c) 2007-2010, by SektionEins GmbH

A https://security-tracker.debian.org/tracker/CVE-2012-2311 oldal szerint a "PHP 5.3.3-7+squeeze17" már nem érintett!?
Jól értelmezem - a "Status: fixed" azt jelenti, hogy javítva?!
Mert, akkor megyek ebédelni.

https://security-tracker.debian.org/tracker/source-package/php5

Azt hittem, hogy védett, de lehet, hogy mégsem, de hogy a következő oldalon szereplő: "package php5 is vulnerable; however, the security impact is unimportant" mit is takar pontosan az rejtély.

Tervbe volt a frissítés, most felgyorsítom.

( uid_395 v | 2013. 11. 22., p – 19:29 )

úristen mindenkit feltörnek!!!!!444111 :p troll on.

ps.: talán egy kicsit ismerni kellene azokat a rendszereket amiket üzemeltetünk, követni pár sec-listet... de hát ez már "+10ezer" kategóriás elvárás lenne.... :)

( Proci85 v | 2013. 11. 29., p – 07:22 )

És a cgi-bin-ben van php5-cgi vagy wrapper hozzá? Általában ezt publikum elől elzárt mappában szokták tárolni, így a fenti hülyeség kivédve. + apache mod_security ezek nagy részét ügyesen megfogja.