Possivel ataque utilizando "POST"
-
Olá, bom dia a todos.
Hoje analisando o meu servidor com um terminal e o comando “htop” aberto, ví que o Load Average do servidor explodiu. Sempre fica em 0.05 ~ 0.5 e do nada foi para 50, 60 e subia..Rodo em um CentOS7 com 2 Cores + 4GB RAM + Apache + MySQL 5.5 + Varnish 4.
Como emergência dei um “service httpd restart” e voltou ao normal, até o momento.
Analisando os logs de erro do HTTPD (Apache) eu ví varias ocorrências de POST como estas:
MEU IP NAT - - [13/Jul/2016:09:41:39 -0400] "POST /db.php?n95e668 HTTP/1.1" 404 50847 "http://www.meusite.com.br/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2241.82 Safari/537.36" MEU IP NAT - - [13/Jul/2016:09:41:39 -0400] "POST /title.php?q6fc9cb HTTP/1.1" 404 50847 "http://www.meusite.com.br/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2241.82 Safari/537.36" MEU IP NAT - - [13/Jul/2016:09:41:39 -0400] "POST /css.php?qd335c3 HTTP/1.1" 404 50847 "http://www.meusite.com.br/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2241.82 Safari/537.36"
Legenda:
– MEU IP NAT: IP nat do meu servidor;
– http://www.meusite.com.br: O site que esteve em queda livre.Existem mais ou menos 50 requisições dessa em sequência, todas mandando/chamando um arquivo diferente, ex: /plugin.php /javascript.php /dirs.php /lib.php…são todos arquivos que não existem na raiz do site.
Alguém já sofreu este perrengue? Quem puder me ajudar, agradeço muito!
- O tópico ‘Possivel ataque utilizando "POST"’ está fechado para novas respostas.