Recientemente cambié mi servidor de alojamiento a AWS. Al principio todo funcionaba bien, pero recientemente tengo problemas con mi servidor que se cae varias veces.
Lo he monitoreado de cerca y he llegado a saber que la utilización de la CPU llega al 100% varias veces y cada vez necesito reiniciar mi instancia.
Así que revisé el registro de acceso y los registros de errores y parece que se están realizando algunas actividades de piratería en mi servidor. Eche un vistazo a continuación a los registros de mi archivo de registro de errores:
[Wed Sep 23 14:25:56.081268 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1' OR 2+20-20-1=0+0+0+1 or 'Q2fRfUkq'='
[Wed Sep 23 14:25:56.122526 2015] [:error] [pid 18780] [client 193.0.***.***:59939] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: @@EKtcl
[Wed Sep 23 14:25:56.365583 2015] [:error] [pid 18788] [client 193.0.***.***:59930] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1" OR 2+392-392-1=0+0+0+1 --
[Wed Sep 23 14:25:56.663520 2015] [:error] [pid 18786] [client 193.0.***.***:59908] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: if(now()=sysdate(),sleep(9),0)/*'XOR(if(now()=sysdate(),sleep(9),0))OR'"XOR(if(now()=sysdate(),sleep(9),0))OR"*/
[Wed Sep 23 14:25:56.994941 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: (select(0)from(select(sleep(9)))v)/*'+(select(0)from(select(sleep(9)))v)+'"+(select(0)from(select(sleep(9)))v)+"*/
Ahora aquí puedo ver que está intentando acceder a archivos no existentes y agregando inyecciones de SQL, y cosas increíbles es cómo funciona, está usando la utilización de mi CPU al 100% y el servicio MySQL usa el 90% aquí.
Entonces, cómo prevenir esto, por favor ayúdenme con lo mismo.
¿Está tomando acceso a MySQL aquí para que eso suceda? Como podemos ver, no hay ningún archivo custom.php disponible, entonces, ¿cómo ejecutan las consultas MySQL en el servidor?
Y lo más importante es que un hacker piratee curl o post script pero no use mi máquina en absoluto.
Respuesta1
Dado este código, parece ser un intento automatizado de probar patrones comunes para la inyección de SQL. por eso hay un uso intensivo de la cpu. Esto no significa que el ataque tenga éxito a este nivel.
¿Notó datos corruptos en su base de datos o notó un comportamiento extraño en su aplicación PHP?
Para evitar esto:
verifique en su aplicación php cómo se administra sql en su código php. NUNCA permita que el código php manipule directamente comandos SQL. Utilice funciones y limpie sus URL y formulario POST. Si es el caso, puedes relajarte.
Encuentre una manera de incluir en la lista negra este tipo de actividad. Me refiero a un software que verifica tus registros y bloquea la IP. Instale un IDS como SNORT por ejemplo.
Una solución sencilla sería instalar artillería. Es un simple honeypot que incluye en la lista negra los intentos automatizados basados en puertos falsos. Puedes encontrar un buen tuto enhttps://www.digitalocean.com/community/tutorials/how-to-set-up-an-artillery-honeypot-on-an-ubuntu-vpsy el depósito de artillería enhttps://github.com/trustedsec/artillery. Utilicé esta solución para algunos clientes, es eficaz y sencilla.