Recientemente revisé mi domlog de Apache y noté el siguiente ataque:
POST /index.php?page=shop.item_details&cat_id=150&flp=flp_images.tpl&prod_id=9191&vmcchk=1&option=com_vm&Itemid=999999.9)+%2f**%2fuNiOn%2f**%2faLl+%2f**%2fsElEcT+0x393133359144353632312e39,0x393133358134383632322e39...
lo cual es un intento obvio de inyección SQL. Esto ocurrió alrededor de 3000 veces desde la misma IP. Ahora podría incluir esta IP en la lista negra, pero ¿hay algunas reglas mejores que aplicar para evitar que ocurran cosas como esta en el lado del servidor?
Este servidor ejecuta CentOS 6.4
Respuesta1
comunidad, baseregla centralconjunto incluido conmodseguridaddetectará y bloqueará estas solicitudes en función de la cadena (como si contiene select, union y from) o según puntuaciones, frecuencia, etc. Depende de cómo desee configurarlo.
Archivo de ejemplo:https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/master/base_rules/modsecurity_crs_41_sql_injection_attacks.conf