Подозрительные журналы на ebs, это что-то вроде троянской атаки?

Question

Подозрительные журналы на ebs, это что-то вроде троянской атаки?

Я нашел много похожих журналов в журналах облачных наблюдений, где потоковая передача журналов из моего приложения ebs.

I Я использую платформу: 64-битный Amazon Linux 2017.03 v2.5. Если да, как я могу защитить свое приложение?

0

amazon-web-services attacks

задан Meghraj . 8 June 2017 в 11:34
Ссылка

1 ответ

Ваше приложение получает недопустимый запрос и выдает исключение. На мой взгляд, это означает, что вы на самом деле не уязвимы для данной атаки.

Атака, похоже, ищет CVE-2016-10033 уязвимость PHPMailer, которая, кажется, связана с тем, что PHPMailer полагался на ] плохая документация , и ваш злоумышленник специально пытается использовать ее с помощью уязвимости в Wordpress .

Похоже, что у вас нет ничего из этого, поэтому кажется, что ничего из этого не применимо к ваша система.

В сети довольно распространены попытки использования слабых мест, которые даже случайный наблюдатель должен уметь определить, которые на самом деле не применимы к вашей системе.

Я все время вижу записи журнала, в которых люди пытаются использовать уязвимости, связанные с php, даже несмотря на то, что вся моя сеть придерживается политики абсолютной нетерпимости к PHP - это так раздражает, что мои балансировщики нагрузки периметра обычно задерживают¹ любой запрос с помощью .php в URI.

Может быть, а может и не быть целесообразным собирать записи журнала с точными отметками времени и отправлять отчеты о злоупотреблениях объекту, контролирующему пространство IP-адресов, из которого исходят запросы. Будьте вежливы, когда делаете это, так как человек, читающий вашу почту, почти наверняка не причастен к плохому поведению и, скорее всего, не потворствует этому.

¹ tarpit - обработчик асинхронных запросов перестает обслуживать и устанавливает таймер для возврата через произвольное количество секунд и возврата смоделированного ответа 500 Internal Server Error , в то же время оставляя вызывающего «застрявшим в яме с tar», игнорируя и не потребляя значимые ресурсы, пока В конце концов я закрываю их соединение. Долгая задержка до того, как я отвечу, замедляет их, но в остальном имеет сомнительное практическое влияние, так что это в основном из соображений злорадства. Это делается на сервере перед фактическим сервером приложений, который никогда не должен видеть входящее соединение.

0

ответ дан 5 December 2019 в 08:03
Ссылка

Теги

amazon-web-services attacks

Похожие вопросы

297
Как я могу получить размер блока Amazon S3? - 6 November 2019 15:44

146
Как выполнить обновление с Java 7 до Java 8 в Amazon Linux [дубликат] - 3 February 2015 17:32

94
Amazon Cloudfront с S3.В доступе отказано - 16 February 2017 10:32

56
Как я могу найти зависимости группы безопасности? [дубликат] - 15 October 2013 19:23

54
Почему я должен использовать Маршрут Amazon 53 по серверам DNS моего регистратора? - 27 December 2010 07:16

49
Как изменить имя и описание группы безопасности AWS EC2? - 2 June 2014 19:07

48
Какой дистрибутив Linux является Amazon Linux AMI на основе? - 23 August 2016 00:16

46
Ограничения на количество подключений AWS RDS - 16 July 2017 11:59

46
Не может соединиться с экземпляром EC2 в VPC (Amazon AWS) - 6 April 2013 07:23

43
Как удалить EC2 AMI - 24 February 2016 03:51

41
Гибридный Exchange отправляет все письма через Exchange Online - 15 March 2016 11:56

39
Структура каталогов копии, неповрежденная к блоку AWS S3 - 15 April 2015 00:54

37
Почему я не могу достигнуть своего экземпляра Amazon EC2 через его Эластичный IP-адрес? - 27 December 2016 12:24

34
Загрузить сертификат SSL из диспетчера сертификатов aws - 25 June 2019 14:46

34
В AWS существует ли облачное обратное решение прокси? - 31 July 2015 00:37

score 0 · Answer 1 · 5 December 2019 в 08:03

Ваше приложение получает недопустимый запрос и выдает исключение. На мой взгляд, это означает, что вы на самом деле не уязвимы для данной атаки.

Атака, похоже, ищет CVE-2016-10033 уязвимость PHPMailer, которая, кажется, связана с тем, что PHPMailer полагался на ] плохая документация , и ваш злоумышленник специально пытается использовать ее с помощью уязвимости в Wordpress .

Похоже, что у вас нет ничего из этого, поэтому кажется, что ничего из этого не применимо к ваша система.

В сети довольно распространены попытки использования слабых мест, которые даже случайный наблюдатель должен уметь определить, которые на самом деле не применимы к вашей системе.

Я все время вижу записи журнала, в которых люди пытаются использовать уязвимости, связанные с php, даже несмотря на то, что вся моя сеть придерживается политики абсолютной нетерпимости к PHP - это так раздражает, что мои балансировщики нагрузки периметра обычно задерживают¹ любой запрос с помощью .php в URI.

Может быть, а может и не быть целесообразным собирать записи журнала с точными отметками времени и отправлять отчеты о злоупотреблениях объекту, контролирующему пространство IP-адресов, из которого исходят запросы. Будьте вежливы, когда делаете это, так как человек, читающий вашу почту, почти наверняка не причастен к плохому поведению и, скорее всего, не потворствует этому.

¹ tarpit - обработчик асинхронных запросов перестает обслуживать и устанавливает таймер для возврата через произвольное количество секунд и возврата смоделированного ответа 500 Internal Server Error , в то же время оставляя вызывающего «застрявшим в яме с tar», игнорируя и не потребляя значимые ресурсы, пока В конце концов я закрываю их соединение. Долгая задержка до того, как я отвечу, замедляет их, но в остальном имеет сомнительное практическое влияние, так что это в основном из соображений злорадства. Это делается на сервере перед фактическим сервером приложений, который никогда не должен видеть входящее соединение.