Сегодня я проверил файл user.log моего сервера и он полон следующих сообщений Suhoshin
suhosin[6842]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'page' (attacker '.....
suhosin[29033]: ALERT - configured GET variable value length limit exceeded - dropped variable...
и т. д.
Я вижу подобные сообщения в файле user.log почти каждый день, но никогда не вижу их так много.
Мой вопрос:Знаете ли вы, какова цель злоумышленника отправлять одинаковые сообщения и получать запросы с множества разных IP-адресов, если все такие запросы блокируются Сухошиным?
Запросы поступают примерно с 50 IP-адресов (Maxmind утверждает, что все IP-адреса являются анонимными прокси-серверами):
/file.php?fid=%60cat%20/etc/passwd%60
/file.php?fid=................windowswin.ini
/file.php?fid=../../../../../../../../../../boot.ini
решение1
Похоже на обычную атаку ботнета, которая ищет файл.php и надеется получить содержимое из вашей локальной файловой системы. Посмотрите на строку fid.
Пока у вас нет такого жуткого скрипта, вы в безопасности. Поверьте, в сети есть некоторые скрипты, которые не проверяют строку и не обслуживают файл из файловой системы сервера.
Эта атака аналогична множеству других запросов бота на поиск незащищенных установок phpMyAdmin и т. п.
Особенно сообщения suhosin: suhosin защищает вашу установку php от распространенных атак, таких какАтака отравленного нулевого байта(первое сообщение). PHP не использует строки с нулевым завершением, но базовые функции C используют. Второе сообщение указывает на длинный параметр запроса, который отбрасывается. Здесь все зависит от того, является ли это случайным злоумышленником с длинной строкой запроса или это ваше приложение с длинной строкой запроса и suhosin.get.max_name_length
она слишком мала.
решение2
Это звонокФаззинг. Обычно они являются частью более крупной атаки, которую некоторые могут назватьАПТ(хотя мне не нравится эта терминология или ее серьезность). Вполне возможно, что это просто ботнет, ищущий цели с определенной страницей и систематически проверяющий ее на наличие уязвимостей.
Что вы должны сделать:
- Убедитесь, что все ваше программное обеспечение обновлено.
- Убедитесь, что у вас есть актуальные резервные копии.
- Если какое-либо программное обеспечение написано на заказ, убедитесь, что его безопасность на должном уровне.OWASPсодержит отличные ресурсы по безопасности для разработчиков веб-приложений.