今日、サーバーのuser.logファイルを確認したところ、次のようなSuhoshinメッセージがいっぱいありました。
suhosin[6842]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'page' (attacker '.....
suhosin[29033]: ALERT - configured GET variable value length limit exceeded - dropped variable...
等
ほぼ毎日、user.log ファイルに同様のメッセージが表示されていますが、これほど多く表示されることはありません。
私の質問:このようなリクエストがすべて Suhoshin によってブロックされている場合、同一の投稿を送信して多くの異なる IP アドレスからリクエストを取得する攻撃者の目的が何であるかご存じですか?
リクエストは約 50 個の IP アドレスから送信されています (Maxmind によると、すべての IP は匿名プロキシです)。
/file.php?fid=%60cat%20/etc/passwd%60
/file.php?fid=................windowswin.ini
/file.php?fid=../../../../../../../../../../boot.ini
答え1
これは、file.php を検索し、ローカル ファイル システムからコンテンツを取得しようとする一般的なボットネット攻撃のようです。fid 文字列を確認してください。
そのような不気味なスクリプトがない限り、安全です。文字列を検証せず、サーバーファイルシステムからファイルを提供するスクリプトがネット上にいくつかあると信じています。
この攻撃は、安全でない phpmyadmin のインストールなどを見つけるための他の一連のボット要求と同じです。
特にsuhosinのメッセージ: suhosinは、次のような一般的な攻撃に対してPHPインストールを強化しています。ポイズン NULL バイト攻撃(最初のメッセージ)。PHP は NULL で終了する文字列を使用しませんが、基礎となる C 関数は使用します。2 番目のメッセージは、長いクエリ パラメータを示しますが、これは削除されます。これは、ランダムな攻撃者が長いクエリ文字列を使用しているのか、それともアプリケーションが長いクエリ文字列を使用していてsuhosin.get.max_name_length小さすぎるのかによって異なります。