奇怪的攻击(日志文件充满了 Suhoshin 消息)

奇怪的攻击(日志文件充满了 Suhoshin 消息)

今天我检查了服务器的 user.log 文件,里面全是以下 Suhoshin 消息

suhosin[6842]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'page' (attacker '.....    
suhosin[29033]: ALERT - configured GET variable value length limit exceeded - dropped variable... 

ETC。

我几乎每天都会在 user.log 文件中看到类似的消息,但从来没有这么多。

我的问题:如果所有此类请求都被 Suhoshin 阻止,您是否知道攻击者发送相同帖子并从许多不同的 IP 地址获取请求的目的是什么?

请求来自~50 个 IP 地址(Maxmind 表示所有 IP 都是匿名代理):

/file.php?fid=%60cat%20/etc/passwd%60 
/file.php?fid=................windowswin.ini
/file.php?fid=../../../../../../../../../../boot.ini

答案1

似乎是一般的僵尸网络攻击,它会搜索 file.php 并希望从本地文件系统获取内容。查看 fid 字符串。

只要您没有这种令人毛骨悚然的脚本,您就是安全的。相信网络上有一些脚本,它们不验证字符串并从服务器文件系统提供文件。

这次攻击与其他机器人请求查找不安全的 phpmyadmin 安装等的行为相同。

特别是 suhosin 的消息:suhosin 正在强化您的 php 安装,以抵御诸如毒化 NULL 字节攻击(第一条消息)。PHP 不使用 NULL 结尾的字符串,但底层 C 函数使用。第二条消息表示查询参数过长,该参数被删除。这里取决于是随机攻击者使用了长查询字符串,还是您的应用程序使用了长查询字符串并且suhosin.get.max_name_length太小。

答案2

这是呼唤模糊测试。这些通常是更大规模攻击的一部分,有些人可能称之为易于(尽管我不喜欢这个术语,也不喜欢它所暗示的严重性。)完全有可能,它只是一个僵尸网络,正在寻找具有特定页面的目标,并系统地测试其弱点。

你该怎么办:

  • 确保所有软件都是最新的。
  • 确保您拥有当前备份。
  • 如果任何软件是定制的,请确保其安全性达到标准。开放Web服务计划为 Web 应用程序开发人员提供优质的安全资源。

相关内容