討論群組
小惡魔市集 悅遊日本 活動報導
我要回覆
nanpan
nanpan
115分
樓主
nanpan
nanpan
個人積分:115分
文章編號:51209530

請問這是網站要被入侵的前兆嗎?

  • 2014-07-21 5:18
  • 902
最近家裡的網頁檔案伺服器的LOG檔出現這個訊息:

2014/7/21 上午 04:45:54 195.200.124.93:44818 Requested POST /?-d+allow_url_include=on+-d+safe_mode=off+-d+suhosin.simulation=on+-d+disable_functions=""+-d+open_basedir=none+-d+auto_prepend_file=php://input+-d+cgi.force_redirect=0+-d+cgi.redirect_status_env="yes"+-d+cgi.fix_pathinfo=1+-d+auto_prepend_file=php://input+-n


請問這是否是網站要被入侵的前兆?
有需要提前做什麼準備嗎?
2014-07-21 5:18 #1
文章關鍵字
前兆 網站
xup6bjo45j4
xup6bjo45j4
272分
2樓
xup6bjo45j4
xup6bjo45j4
個人積分:272分
文章編號:51211134

nanpan wrote:
最近家裡的網頁檔案伺...(恕刪)

2014年7月21日上午4時45分54秒195.200.124.93:44818請求POST /-D?+ allow_url_include=上+ D + safe_mode設置為關+ D + suhosin.simulation=上+ D + disable_functions選項=“”+ -
2014-07-21 9:45 #2
poiu124
poiu124
485分
3樓
poiu124
poiu124
個人積分:485分
文章編號:51429394

nanpan wrote:
最近家裡的網頁檔案伺...(恕刪)


看起來很像是PHP_CGI的注入性攻擊,先檢查你的PHP版本是多少,然後掃描Server中有沒有木馬。
另外針對此IP搜尋所有連接的LOG紀錄,尋找這個IP的連接方式,看他的行為到底是什麼。
一般比較嚴謹的做法是只要有疑似攻擊的IP都一律Block,因為通常攻擊的IP不會只有攻擊一次,甚至有些管理者的做法是直接Block一整個class的IP,不過我認為是有點小題大作了。

只要Server有對外,這種攻擊都『一定』會有,所以要學習怎麼去防範這些攻擊。
2014-08-03 12:05 #3
journalistlin
journalistlin
7分
4樓
journalistlin
journalistlin
個人積分:7分
文章編號:51429922
不是前兆,而是現在進行式了,建議先把網站暫停看看
2014-08-03 12:49 #4
nanpan
nanpan
115分
樓主
nanpan
nanpan
個人積分:115分
文章編號:51447631
poiu124 wrote:
看起來很像是PHP_...(恕刪)

感謝回應

那要是網站不是用PHP架構的是否就可以安心了嗎?
2014-08-04 15:34 #5
poiu124
poiu124
485分
6樓
poiu124
poiu124
個人積分:485分
文章編號:51454786

nanpan wrote:
感謝回應
那要是網站...(恕刪)


不是用PHP架構?不太懂?
應該是Server有沒有用到PHP元件吧...
只要Server在組態時有用到(安裝)PHP的元件,即使沒有任何一個PHP程式,都表示會有PHP漏洞的風險。

不過!
如果都沒有PHP這種東西,也有可能會有收到PHP攻擊的LOG,因為有些『人?』只是拿著工具程式對外面的網站四處測試攻擊,就是俗稱的亂槍打鳥,打中了就中獎,沒打中就算了,這種事情是很常見的。

更何況今天這個擋下,難保明天不會被攻下,而且有些工具程式是一次可發動一堆攻擊方式的,只要有攻擊就不要太隨便輕忽他。輕敵通常不會有好下場。
2014-08-04 22:45 #6
error_404
error_404
20分
7樓
error_404
error_404
個人積分:20分
文章編號:51479902

nanpan wrote:
最近家裡的網頁檔案伺...(恕刪)



Apache / PHP 5.x - cgi-bin Remote Code Execution Exploit

/* Affected and tested versions
PHP 5.3.10
PHP 5.3.8-1
PHP 5.3.6-13
PHP 5.3.3
PHP 5.2.17
PHP 5.2.11
PHP 5.2.6-3
PHP 5.2.6+lenny16 with Suhosin-Patch
Affected versions
PHP prior to 5.3.12
PHP prior to 5.4.2
Unaffected versions
PHP 4 - getopt parser unexploitable
PHP 5.3.12 and up
PHP 5.4.2 and up
Unaffected versions are patched by CVE-2012-1823.
我只是個業餘.等待著機會來臨.
2014-08-06 11:21 #7
nanpan
nanpan
115分
樓主
nanpan
nanpan
個人積分:115分
文章編號:51491225
感謝提供資訊;

因為網站只是拿存放檔案方便上傳和下載而已,連裝Apache都沒有,也有備份了3份以上的資料在不同的電腦上

所以只是被try了下網站有沒有可以能被遙控的可能性,所以暫時應該可以安心
2014-08-06 23:03 #8
我要回覆
文章分享
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
留言回報
取消 確定

今日熱門文章 網友點擊推薦!