Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Seguridad Nuevo tema Publicar Respuesta
 Detener inyecciones de código
Tema anterior Tema siguiente
   
Designer
Publicado en 27/05/15 07:21 (Leído 914 veces)  

Nuevo

Estado: desconectado
Forum User

Inscrito: 13/05/15
Publicaciones: 6
Hola, esta mañana me he encotrado en el log de apache con la siguiente cadena de codigo codificado:
PHP Formatted Code
209.126.110.113 - - [26/May/2015:15:38:32 +0200] "POST /cgi-bin/php/%63%67%69%6E/%70%68%70?%2D%64+%61%6C%75%6F%6E+%2D%64+%6D%6F%64+%2D%64+%73%75%68%6F%6E%3D%6F%6E+%2D%64+%75%6E%63%74%73%3D%22%22+%2D%64+%64%6E%65+%2D%64+%61%75%74%6F%5F%70%72%%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%74%5F%3D%30+%2D%64+%75%74+%2D%6E HTTP/1.1" 404 277 "-" "-"


Decodoficado:
PHP Formatted Code
cgin/php?-d aluon -d mod -d suhon=on -d uncts="" -d dne -d auto_pr%t -d cgi.force_redirect=0 -d t_=0 -d ut -n


También tengo el más común:
PHP Formatted Code
89.145.233.54 - - [27/May/2015:02:44:51 +0200] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 276 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"


Decodificado:
PHP Formatted Code
-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n


Me podéis dar instrucciones para bloquear estas inyecciones de código a través de Fail2Ban?

Gracias
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 27/05/15 12:45  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
De modo predeterminado fail2Ban sólo examina los accesos fallidos de autenticaciones. Necesitas decirle que examine también los registros de apache y que busque una cadena en común en particular, lo cual te volvería loco porque cada ataque es diferente y nunca acabarías.

Es más eficiente que instales mod_security, mod_qos y mod_evasive (los tres al mismo tiempo) . De éstos el más eficiente es mod_security, pero necesitas crear una política específica para tu aplicación. Hay políticas predefinidas para muchas aplicaciones populares. Complementa activando SElinux si lo tienes dehabilitado y configures sólo las políticas que requieras (generalmente httpd_can_sendmail, httpd_read_user_content_t , httpd_enable_homedirs y httpd_enable_ftp_server son suficientes).

Las instrucciones para mod_security son un poco compleja, pero San Google tiene mucha información fácil de utilizar.
 
Perfil Sitio Web
 Citar
Contenido generado en: 0,42 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 08:28 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado