Ich habe meinen Hosting-Server vor Kurzem auf AWS umgestellt. Anfangs hat alles gut funktioniert, aber seit Kurzem habe ich Probleme mit meinem Server, der mehrmals ausfällt.
Ich habe es genau überwacht und festgestellt, dass die CPU-Auslastung mehrmals 100 % erreicht und ich meine Instanz jedes Mal neu starten muss.
Ich habe also die Zugriffs- und Fehlerprotokolle überprüft und es scheint, als ob auf meinem Server Hackeraktivitäten stattfinden. Bitte sehen Sie sich die folgenden Protokolle meiner Fehlerprotokolldatei an:
[Wed Sep 23 14:25:56.081268 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1' OR 2+20-20-1=0+0+0+1 or 'Q2fRfUkq'='
[Wed Sep 23 14:25:56.122526 2015] [:error] [pid 18780] [client 193.0.***.***:59939] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: @@EKtcl
[Wed Sep 23 14:25:56.365583 2015] [:error] [pid 18788] [client 193.0.***.***:59930] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1" OR 2+392-392-1=0+0+0+1 --
[Wed Sep 23 14:25:56.663520 2015] [:error] [pid 18786] [client 193.0.***.***:59908] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: if(now()=sysdate(),sleep(9),0)/*'XOR(if(now()=sysdate(),sleep(9),0))OR'"XOR(if(now()=sysdate(),sleep(9),0))OR"*/
[Wed Sep 23 14:25:56.994941 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: (select(0)from(select(sleep(9)))v)/*'+(select(0)from(select(sleep(9)))v)+'"+(select(0)from(select(sleep(9)))v)+"*/
Jetzt kann ich hier sehen, dass es versucht, auf nicht vorhandene Dateien zuzugreifen und SQL-Injections hinzuzufügen, und es ist unglaublich, es funktioniert, es nutzt meine CPU-Auslastung zu 100 % und der MySQL-Dienst nutzt hier 90 %.
Wie kann ich das verhindern? Bitte helfen Sie mir dabei.
Das passiert, weil hier MySQL-Zugriff erforderlich ist? Wie wir sehen, ist kein custom.php verfügbar. Wie führen sie dann MySQL-Abfragen auf dem Server aus?
Und das Wichtigste ist, dass Hacker über Curl oder Postscript hacken, aber meinen Rechner überhaupt nicht benutzen.
Antwort1
Angesichts dieses Codes scheint es sich um einen automatisierten Versuch zu handeln, gängige Muster für SQL-Injection auszuprobieren. Daher wird die CPU intensiv genutzt. Dies bedeutet nicht, dass der Angriff auf dieser Ebene erfolgreich ist.
Haben Sie beschädigte Daten in Ihrer Datenbank oder ein seltsames Verhalten Ihrer PHP-App bemerkt?
Um dies zu vermeiden:
Überprüfen Sie in Ihrer PHP-App, wie SQL in Ihrem PHP-Code verwaltet wird. Erlauben Sie PHP-Code NIEMALS, SQL-Befehle direkt zu manipulieren. Verwenden Sie Funktionen und bereinigen Sie Ihre URLs und das POST-Formular. Wenn dies der Fall ist, können Sie sich entspannen.
Finden Sie einen Weg, diese Art von Aktivität auf die schwarze Liste zu setzen. Ich meine eine Software, die Ihre Protokolle überprüft und die IP blockiert. Installieren Sie beispielsweise ein IDS wie SNORT.
Eine einfache Lösung wäre die Installation von Artillery. Dabei handelt es sich um einen einfachen Honeypot, der automatisierte Versuche auf Basis gefälschter Ports auf eine schwarze Liste setzt. Ein gutes Tutorial finden Sie unterhttps://www.digitalocean.com/community/tutorials/how-to-set-up-an-artillery-honeypot-on-an-ubuntu-vpsund das Artillerie-Repo beihttps://github.com/trustedsec/artillery. Ich habe diese Lösung bei einigen Kunden verwendet, sie ist effektiv und einfach.