今天我检查了服务器的 user.log 文件,里面全是以下 Suhoshin 消息
suhosin[6842]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'page' (attacker '.....
suhosin[29033]: ALERT - configured GET variable value length limit exceeded - dropped variable...
ETC。
我几乎每天都会在 user.log 文件中看到类似的消息,但从来没有这么多。
我的问题:如果所有此类请求都被 Suhoshin 阻止,您是否知道攻击者发送相同帖子并从许多不同的 IP 地址获取请求的目的是什么?
请求来自~50 个 IP 地址(Maxmind 表示所有 IP 都是匿名代理):
/file.php?fid=%60cat%20/etc/passwd%60
/file.php?fid=................windowswin.ini
/file.php?fid=../../../../../../../../../../boot.ini
答案1
似乎是一般的僵尸网络攻击,它会搜索 file.php 并希望从本地文件系统获取内容。查看 fid 字符串。
只要您没有这种令人毛骨悚然的脚本,您就是安全的。相信网络上有一些脚本,它们不验证字符串并从服务器文件系统提供文件。
这次攻击与其他机器人请求查找不安全的 phpmyadmin 安装等的行为相同。
特别是 suhosin 的消息:suhosin 正在强化您的 php 安装,以抵御诸如毒化 NULL 字节攻击(第一条消息)。PHP 不使用 NULL 结尾的字符串,但底层 C 函数使用。第二条消息表示查询参数过长,该参数被删除。这里取决于是随机攻击者使用了长查询字符串,还是您的应用程序使用了长查询字符串并且suhosin.get.max_name_length
太小。