Kürzlich habe ich mein Apache-Domlog überprüft und den folgenden Angriff bemerkt:
POST /index.php?page=shop.item_details&cat_id=150&flp=flp_images.tpl&prod_id=9191&vmcchk=1&option=com_vm&Itemid=999999.9)+%2f**%2fuNiOn%2f**%2faLl+%2f**%2fsElEcT+0x393133359144353632312e39,0x393133358134383632322e39...
was ein offensichtlicher Versuch einer SQL-Injection ist. Dies geschah etwa 3000 Mal von derselben IP aus. Jetzt könnte ich diese IP auf die schwarze Liste setzen, aber gibt es bessere Regeln, die man anwenden kann, um zu verhindern, dass so etwas auf der Serverseite passiert?
Auf diesem Server läuft CentOS 6.4
Antwort1
Gemeinschaft, BasisKernregelSet enthalten mitModsicherheiterkennt und blockiert diese Anfragen auf der Grundlage von Zeichenfolgen (z. B. wenn diese „Select“ und „Union“ und „From“ enthalten) oder auf der Grundlage von Punktzahlen oder Häufigkeit usw. Hängt davon ab, wie Sie es konfigurieren möchten.
Beispieldatei:https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/master/base_rules/modsecurity_crs_41_sql_injection_attacks.conf