.png)
오늘 내 서버의 user.log 파일을 확인했는데 다음과 같은 Suhoshin 메시지가 가득했습니다.
suhosin[6842]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'page' (attacker '.....
suhosin[29033]: ALERT - configured GET variable value length limit exceeded - dropped variable...
등.
user.log 파일에서 거의 매일 비슷한 메시지를 볼 수 있지만 그렇게 많지는 않습니다.
내 질문:Suhoshin에 의해 모든 요청이 차단된 경우 동일한 게시물을 보내고 여러 다른 IP 주소로부터 요청을 받으려는 공격자의 목적이 무엇인지 아십니까?
요청은 ~50개의 IP 주소에서 옵니다(Maxmind는 모든 IP가 익명 프록시라고 말합니다).
/file.php?fid=%60cat%20/etc/passwd%60
/file.php?fid=................windowswin.ini
/file.php?fid=../../../../../../../../../../boot.ini
답변1
file.php를 검색하고 로컬 파일 시스템에서 콘텐츠를 가져오려는 일반적인 봇넷 공격인 것 같습니다. fid 문자열을 살펴보세요.
그런 소름 끼치는 스크립트가 없는 한 안전합니다. 문자열의 유효성을 검사하지 않고 서버 파일 시스템에서 파일을 제공하지 않는 일부 스크립트가 인터넷에 있다고 믿습니다.
이 공격은 안전하지 않은 phpmyadmin 설치 등을 찾기 위한 다른 봇 요청과 동일합니다.
특히 suhosin 메시지의 경우: suhosin은 다음과 같은 일반적인 공격에 대비해 PHP 설치를 강화하고 있습니다.Poison NULL 바이트 공격(첫 번째 메시지). PHP는 NULL로 끝나는 문자열을 사용하지 않지만 기본 C 함수는 사용합니다. 두 번째 메시지는 삭제된 긴 쿼리 매개변수를 나타냅니다. 긴 쿼리 문자열을 사용하는 임의의 공격자인지, 아니면 긴 쿼리 문자열을 사용하고 애플리케이션이 suhosin.get.max_name_length너무 작은지에 따라 다릅니다.