최근 호스팅 서버를 AWS로 전환했습니다. 처음에는 모든 것이 잘 작동했지만 최근에는 서버가 여러 번 다운되는 문제에 직면했습니다.
면밀히 모니터링한 결과 CPU 사용률이 여러 번 100%에 도달하고 인스턴스를 다시 시작해야 할 때마다 알게 되었습니다.
그래서 접속 로그와 오류 로그를 확인해 보니 내 서버에서 해킹 활동이 벌어지고 있는 것 같습니다. 내 오류 로그 파일의 로그를 아래에서 살펴보십시오.
[Wed Sep 23 14:25:56.081268 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1' OR 2+20-20-1=0+0+0+1 or 'Q2fRfUkq'='
[Wed Sep 23 14:25:56.122526 2015] [:error] [pid 18780] [client 193.0.***.***:59939] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: @@EKtcl
[Wed Sep 23 14:25:56.365583 2015] [:error] [pid 18788] [client 193.0.***.***:59930] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1" OR 2+392-392-1=0+0+0+1 --
[Wed Sep 23 14:25:56.663520 2015] [:error] [pid 18786] [client 193.0.***.***:59908] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: if(now()=sysdate(),sleep(9),0)/*'XOR(if(now()=sysdate(),sleep(9),0))OR'"XOR(if(now()=sysdate(),sleep(9),0))OR"*/
[Wed Sep 23 14:25:56.994941 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: (select(0)from(select(sleep(9)))v)/*'+(select(0)from(select(sleep(9)))v)+'"+(select(0)from(select(sleep(9)))v)+"*/
이제 여기서는 존재하지 않는 파일에 액세스하고 SQL 주입을 추가하려고 시도하고 있으며 믿을 수 없는 일이 작동하고 있다는 것을 알 수 있습니다. 여기에서는 CPU 사용률을 100%로 사용하고 mysql 서비스는 90%를 사용합니다.
그래서 이것을 방지하는 방법도 똑같이 도와주세요.
여기에서 mysql 액세스가 필요하므로 그런 일이 발생합니까? 우리가 볼 수 있듯이 사용 가능한 custom.php가 없는데 어떻게 서버에서 mysql 쿼리를 실행하고 있습니까?
그리고 가장 중요한 것은 해커가 컬이나 포스트 스크립트를 통해 해킹하지만 내 컴퓨터를 전혀 사용하지 않는다는 것입니다.
답변1
이 코드를 보면 SQL 삽입에 대한 일반적인 패턴을 시도하려는 자동화된 시도인 것 같습니다. 이것이 바로 CPU를 집중적으로 사용하는 이유입니다. 이 수준에서 공격이 성공했다는 의미는 아닙니다.
DB에서 데이터가 손상된 것을 발견했거나 PHP 앱의 이상한 동작을 발견했습니까?
이를 방지하려면 다음을 수행하세요.
PHP 코드에서 SQL이 어떻게 관리되는지 PHP 앱에서 확인하세요. 절대 PHP 코드가 SQL 명령을 직접 조작하는 것을 허용하지 마세요. 기능을 사용하고 URL을 정리하고 POST를 작성하세요. 그렇다면 긴장을 풀 수 있습니다.
이런 종류의 활동을 블랙리스트에 올리는 방법을 찾으세요. 로그를 확인하고 IP를 차단하는 소프트를 의미합니다. 예를 들어 SNORT와 같은 IDS를 설치하십시오.
간단한 해결책은 포병을 설치하는 것입니다. 위조된 포트를 기반으로 자동 시도를 블랙리스트에 추가하는 간단한 허니팟입니다. 다음에서 좋은 튜토리얼을 찾을 수 있습니다.https://www.digitalocean.com/community/tutorials/how-to-set-up-an-artillery-honeypot-on-an-ubuntu-vps그리고 포병 저장소는https://github.com/trustedsec/artillery. 일부 고객에게 이 솔루션을 사용했는데 효과적이고 간단했습니다.