Recentemente verifiquei meu domlog do Apache e notei o seguinte ataque:
POST /index.php?page=shop.item_details&cat_id=150&flp=flp_images.tpl&prod_id=9191&vmcchk=1&option=com_vm&Itemid=999999.9)+%2f**%2fuNiOn%2f**%2faLl+%2f**%2fsElEcT+0x393133359144353632312e39,0x393133358134383632322e39...
que é uma tentativa óbvia de injeção de SQL. Isso passou a ocorrer cerca de 3.000 vezes no mesmo IP. Agora eu poderia colocar esse IP na lista negra, mas existem regras melhores a serem aplicadas para evitar que coisas como essa ocorram no servidor?
Este servidor está executando o CentOS 6.4
Responder1
Comunidade, baseregra centralconjunto incluído comsegurança modirá detectar e bloquear essas solicitações com base na string (como se contivesse select e union e from) ou de acordo com pontuações, ou frequência etc. Depende de como você deseja configurá-lo.
Arquivo de exemplo:https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/master/base_rules/modsecurity_crs_41_sql_injection_attacks.conf