Bienvenido(a) a Alcance Libre 29/01/2023, 10:31

Alcance Libre Foros
 Índice del foro > Todo acerca de Linux > Seguridad New Topic Post Reply
 Detener inyecciones de código
Tópico anterior Tópico siguiente
   
Designer
 05/27/15 02:21AM (Leído 3,086 veces)  

Nuevo

Estado: desconectado
Forum User

Identificado: 05/13/15
Mensajes: 6
Hola, esta mañana me he encotrado en el log de apache con la siguiente cadena de codigo codificado:
PHP Formatted Code
209.126.110.113 - - [26/May/2015:15:38:32 +0200] "POST /cgi-bin/php/%63%67%69%6E/%70%68%70?%2D%64+%61%6C%75%6F%6E+%2D%64+%6D%6F%64+%2D%64+%73%75%68%6F%6E%3D%6F%6E+%2D%64+%75%6E%63%74%73%3D%22%22+%2D%64+%64%6E%65+%2D%64+%61%75%74%6F%5F%70%72%%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%74%5F%3D%30+%2D%64+%75%74+%2D%6E HTTP/1.1" 404 277 "-" "-"


Decodoficado:
PHP Formatted Code
cgin/php?-d aluon -d mod -d suhon=on -d uncts="" -d dne -d auto_pr%t -d cgi.force_redirect=0 -d t_=0 -d ut -n


También tengo el más común:
PHP Formatted Code
89.145.233.54 - - [27/May/2015:02:44:51 +0200] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 276 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"


Decodificado:
PHP Formatted Code
-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n


Me podéis dar instrucciones para bloquear estas inyecciones de código a través de Fail2Ban?

Gracias
 
Profile Email
 Quote
Joel Barrios Dueñas
 05/27/15 07:45AM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
De modo predeterminado fail2Ban sólo examina los accesos fallidos de autenticaciones. Necesitas decirle que examine también los registros de apache y que busque una cadena en común en particular, lo cual te volvería loco porque cada ataque es diferente y nunca acabarías.

Es más eficiente que instales mod_security, mod_qos y mod_evasive (los tres al mismo tiempo) . De éstos el más eficiente es mod_security, pero necesitas crear una política específica para tu aplicación. Hay políticas predefinidas para muchas aplicaciones populares. Complementa activando SElinux si lo tienes dehabilitado y configures sólo las políticas que requieras (generalmente httpd_can_sendmail, httpd_read_user_content_t , httpd_enable_homedirs y httpd_enable_ftp_server son suficientes).

Las instrucciones para mod_security son un poco compleja, pero San Google tiene mucha información fácil de utilizar.
 
Profile Email Website
 Quote
Contenido generado en: 0.16 segundos New Topic Post Reply
 Todas las horas son CST. Hora actual 10:31 AM.
Tópico normal Tópico normal
Tópico Pegado Tópico Pegado
Tópico bloqueado Tópico bloqueado
Mensaje Nuevo Mensaje Nuevo
Tópico pegado con nuevo mensaje Tópico pegado con nuevo mensaje
Tópico bloqueado con nuevo mensaje Tópico bloqueado con nuevo mensaje
Ver mensajes anónimos 
Los usuarios anónimos pueden enviar 
Se permite HTML Filtrado 
Contenido censurado