1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

Seguridad Detener inyecciones de código

Tema en 'Asuntos Técnicos' iniciado por ClusterIP, 27 May 2015.

  1. ClusterIP

    ClusterIP Usuario activo

    Hola, esta mañana me he encotrado en el log de apache con la siguiente cadena de codigo codificado:
    CODE, HTML o PHP Insertado:
    209.126.110.113 - - [26/May/2015:15:38:32 +0200] "POST /cgi-bin/php/%63%67%69%6E/%70%68%70?%2D%64+%61%6C%75%6F%6E+%2D%64+%6D%6F%64+%2D%64+%73%75%68%6F%6E%3D%6F%6E+%2D%64+%75%6E%63%74%73%3D%22%22+%2D%64+%64%6E%65+%2D%64+%61%75%74%6F%5F%70%72%%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%74%5F%3D%30+%2D%64+%75%74+%2D%6E HTTP/1.1" 404 277 "-" "-"
    Decodoficado:
    CODE, HTML o PHP Insertado:
    cgin/php?-d aluon -d mod -d suhon=on -d uncts="" -d dne -d auto_pr%t -d cgi.force_redirect=0 -d t_=0 -d ut -n
    También tengo el más común:
    CODE, HTML o PHP Insertado:
    89.145.233.54 - - [27/May/2015:02:44:51 +0200] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 276 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
    Decodificado:
    CODE, HTML o PHP Insertado:
    -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n
    Me podéis dar instrucciones para bloquear estas inyecciones de código a través de Fail2Ban?

    Gracias
     
  2.  
  3. AMateos

    AMateos Súper Moderador Miembro del Staff Moderador CH

    Hola,

    Creo que Fail2Ban no llega a tanto...

    ¿Conoces Modsecurity y CSF?

    Creo que sería lo más recomendable. Si usas cPanel, tienes la opción de activar modsecurity muy fácil, y CSF más de lo mismo. También sería aconsejable un buen set de reglas como el de Comodo.
     
    A ClusterIP le gusta esto.
  4. ClusterIP

    ClusterIP Usuario activo

    Hola AMateos,

    Utilizo Plesk 12 sobre Centos 6.6, PHP 5.3.3 y Apache 5.2.15.

    ¿Alguna sugerencia? Gracias
     
  5. AMateos

    AMateos Súper Moderador Miembro del Staff Moderador CH

    Lo siento... De Plesk sólo sé cómo migrarlo a cPanel :p

    Seguro que algún otro usuario puede orientarte en ese caso.

    Un saludo,
     
    A ClusterIP y justice13 les gusta esto.
  6. ClusterIP

    ClusterIP Usuario activo

    Acabo de instalar el módulo y lo he activado de forma básica. Qué conjunto de reglas opinas es el más completo y major actualizado de los que dispone?
    1 - Atomic Basic ModSecurity
    2 - CRS ModSecurity de OWASP
    3 - Atomic ModSecurity
    4 - Comodo ModSecurity
    5 - Conjunto de reglas personalizado
     
  7. ClusterIP

    ClusterIP Usuario activo

    AMateos, te agradezco la ayuda prestada.

    ¡Muchas gracias!

    Un saludo
     
    A AMateos le gusta esto.
  8. ClusterIP

    ClusterIP Usuario activo

    ¡¡¡A Googlear!!!
     
    A AMateos le gusta esto.
  9. Sphyr0

    Sphyr0 Usuario activo

    Me parece que en sí, en lugar de querer 'bloquear' o denegar ete tipo de peticiones, sería centrarse en cómo evitar que surtan efecto. Por más expuesto que esté un servidor, sí se le ha dado un correcto hardening, no debería tener problemas. Y ese "404" devuelto, me da tranquilidad, pues no encontró el recurso solicitado. ;)
     


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·