mod_fcfgi graceful kill kail

Zonkey

New Member
Hallo,

hatte gestern ein auf den ersten Blick harmlosen Angriff auf einen Server:

Code:
[28/Mar/2013:19:16:18 +0100] "GET /index.php?<?error_reporting(0);print(\"st4r7\".php_uname().\"3nd\");die;?> HTTP/1.0" 200 6494 "-" "-"
Einträge von dieser Art gibt es relativ wenig, nur 251 Stück über einen Zeitraum von 2 Minuten - jedoch alle von der selben IP. Im selben Zeitraum beginnen folgende Einträge im Apache error.log

Code:
[Thu Mar 28 19:23:03 2013] [warn] mod_fcgid: process 1791 graceful kill fail, sending SIGKILL
Von 19:23 Uhr bis 20:24. Ich vermute da natürlich einen Zusammenhang.

Die Folge war ein Zusammenbruch des relativ schwachen Servers für 5 Minuten ab 19:17 bis 19:23

Gibt es einen Weg das Risiko für so etwas zu minimieren? Ein Limit von gleichzeitigen fcgi Prozessen pro IP oder so etwas ähnliches?
 

Till

Administrator
Ist Dein PHP aktuell? Sieht nach einem Versuch aus einen PHP CGI Bug aus oder ist es was spezifisches für das CMS der Seite?

Schau Dir mal mod_evasive und mod_security an um den Server zu schützen.
 

Zonkey

New Member
Hallo,

danke für die Antwort.

PHP ist Aktuell, von dem Aufruf an sich geht keine direkte Gefahr aus. Und als ich selbst diesen Aufruf getestet hab (via Telnet auf Port 80) kam es auch nicht zu den mod_fcgi warnings. Was der Angreifer hier anders gemacht hat als ich, und ob er den Nebeneffekt (Server überlastet) überhaupt beabsichtigt hatte ist mir leider unklar.
 

Werbung

Top