Espero que tengan un lindo dia.
Hoy note una actividad inusual, un mayor trafico saliente que entrante y me puse a ver la actividad de mi apache. Con la funcionalidad "server-status".
Pude ver mas de 135 conexiones de UNA MISMA IP hacia el archivo cron.php, pero invocando distintas sesiones php (como si la misma IP fueran varios usuarios logueados.
Despues de buscar en google y no encontrar nada me decidi a preguntarle a los que saben. No sea que estén tratando de hackear el sitio usando el cron.php como puerta de entrada.
Para ello actualice el server-status y encontré que la actividad continuaba, pero esta vez proveniente desde varias IP distintas.
Código: Seleccionar todo
151-0 - 0/0/10 . 0.27 2644 171 0.0 0.00 0.00 82.80.234.134 www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=60d1bf248
154-0 - 0/0/12 . 2.06 2647 99 0.0 0.00 0.01 82.80.244.52 www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=22add8098
158-0 - 0/0/9 . 0.68 2870 144 0.0 0.00 0.00 82.80.234.138 www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=0a9ffbcbd
162-0 - 0/0/9 . 0.53 2842 206 0.0 0.00 0.01 82.80.244.58 www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=7064bdf8a
163-0 - 0/0/10 . 0.37 2637 122 0.0 0.00 0.00 82.80.234.142 www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=6fe76c2af
166-0 - 0/0/13 . 0.85 2579 149 0.0 0.00 0.00 82.80.234.138 www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=8b9eaa7e4
171-0 - 0/0/11 . 0.85 2650 103 0.0 0.00 0.00 82.80.244.56 www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=5f8cbb466
172-0 - 0/0/11 . 0.78 2648 230 0.0 0.00 0.01 82.80.234.141 www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=feffeaef0
174-0 - 0/0/11 . 0.71 2677 100 0.0 0.00 0.00 82.80.244.55 www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=80b822dc7
176-0 - 0/0/13 . 1.14 2576 107 0.0 0.00 0.00 82.80.234.140 www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=ced58e3f6
198-0 - 0/0/12 . 2.08 2629 424 0.0 0.00 0.01 82.80.244.55 www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=c0ba762fa
199-0 - 0/0/11 . 0.79 2686 106 0.0 0.00 0.02 82.80.234.141 www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=a49814b52
200-0 - 0/0/12 . 2.13 2616 2909 0.0 0.00 0.01 82.80.244.54 www.gnc2.com.ar GET /foro/phpBB3/cron.php?cron_type=tidy_sessions&sid=2585b04a9
No es la primera vez que me sucede ni en el unico foro. En uno de los foros que manejo lo resolví directamente renombrando el archivo CRON.PHP (como eliminandolo)
En este foro (gnc2) necesito que corra el cron.php para ser avisado de nuevos post por parte de clientes. Pero el tema es que me da mucho temor a resultar que me usen el sitio para el envio de spam o para escalar acceso al servidor.
Ademas de mandarme el email cuando alguien responde algun post, ¿que otras tareas hace el cron.php?
Otra actividad sospechosa que he registrado con muchas apariciones, aunque no llega al 1% de las del cron.php.
Código: Seleccionar todo
91.236.74.158 - - [26/Mar/2013:04:57:24 -0300] "GET /foro/phpBB3/index.php+++++++++++++++++++++++++++++++++++++Result:+chosen+nickname+%22KneereSuh%22;+captcha+recognized;+registered;+login+failed; HTTP/1.0" 404 1490
Christian
URL: http://http://www.gnc2.com.ar/foro/phpBB3
Versión phpBB: 3.0.5
MODs Instalados: automod
Plantilla(s) usada(s): Prosilver
Servidor: linux suse 10.0
Actualización desde otra versión: No
Conversión desde otro sistema de foros: No
AutoMOD: Si