Heute habe ich die user.log-Datei meines Servers überprüft und sie ist voll mit den folgenden Suhoshin-Meldungen
suhosin[6842]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'page' (attacker '.....
suhosin[29033]: ALERT - configured GET variable value length limit exceeded - dropped variable...
usw.
Ich sehe fast jeden Tag ähnliche Meldungen in der Datei user.log, aber nie so viele.
Meine Frage:Haben Sie eine Idee, was das Ziel des Angreifers ist, wenn er identische Posts sendet und Anfragen von vielen verschiedenen IP-Adressen erhält, wenn alle diese Anfragen von Suhoshin blockiert werden?
Anfragen kommen von ca. 50 IP-Adressen (Maxmind sagt, dass alle IPs anonyme Proxys sind):
/file.php?fid=%60cat%20/etc/passwd%60
/file.php?fid=................windowswin.ini
/file.php?fid=../../../../../../../../../../boot.ini
Antwort1
Scheint ein allgemeiner Botnet-Angriff zu sein, der nach einer Datei.php sucht und hofft, Inhalte aus Ihrem lokalen Dateisystem abzurufen. Sehen Sie sich die FID-Zeichenfolge an.
Solange Sie kein solch gruseliges Skript haben, sind Sie sicher. Glauben Sie mir, es gibt im Netz einige Skripte, die den String nicht validieren und die Datei nicht vom Server-Dateisystem bereitstellen.
Dieser Angriff ist derselbe wie die vielen anderen Bot-Anfragen, um unsichere phpMyAdmin-Installationen und dergleichen zu finden.
Insbesondere zu den Suhosin-Nachrichten: Suhosin schützt Ihre PHP-Installation vor gängigen Angriffen wie demPoison NULL Byte Angriff(erste Meldung). PHP verwendet keine NULL-terminierten Strings, die zugrundeliegenden C-Funktionen jedoch schon. Die zweite Meldung weist auf einen langen Abfrageparameter hin, der gelöscht wird. Hier kommt es darauf an, ob es sich um einen zufälligen Angreifer mit einem langen Abfragestring handelt oder ob es sich um Ihre Anwendung mit einem langen Abfragestring handelt, der suhosin.get.max_name_length
zu klein ist.
Antwort2
Es ist AnrufFuzzing. Diese sind normalerweise Teil eines größeren Angriffs, den manche alsGEEIGNET(obwohl ich weder diese Terminologie noch die damit verbundene Schwere mag.) Es ist durchaus möglich, dass es sich lediglich um ein Botnetz handelt, das mit einer bestimmten Seite nach Zielen sucht und diese systematisch auf Schwachstellen testet.
Was sollte man tun:
- Stellen Sie sicher, dass Ihre gesamte Software auf dem neuesten Stand ist.
- Stellen Sie sicher, dass Sie über aktuelle Backups verfügen.
- Wenn die Software individuell geschrieben ist, stellen Sie sicher, dass die Sicherheit den Anforderungen entspricht.OWASPverfügt über hervorragende Sicherheitsressourcen für Entwickler von Webanwendungen.