今天我檢查了伺服器的 user.log 文件,裡面充滿了以下 Suhoshin 訊息
suhosin[6842]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'page' (attacker '.....
suhosin[29033]: ALERT - configured GET variable value length limit exceeded - dropped variable...
ETC。
我幾乎每天都會在 user.log 檔案中看到類似的訊息,但從來沒有這麼多。
我的問題:您是否知道攻擊者發送相同的帖子並從許多不同的 IP 位址獲取請求(如果所有此類請求都被 Suhoshin 阻止)的目的是什麼?
請求來自約 50 個 IP 位址(Maxmind 表示所有 IP 都是匿名代理):
/file.php?fid=%60cat%20/etc/passwd%60
/file.php?fid=................windowswin.ini
/file.php?fid=../../../../../../../../../../boot.ini
答案1
似乎是通用殭屍網路攻擊,它搜尋 file.php 並希望從本地檔案系統獲取內容。查看 fid 字串。
只要你沒有這樣令人毛骨悚然的腳本,你就是安全的。相信,網路上有一些腳本,它們不驗證字串並從伺服器檔案系統提供檔案。
這種攻擊與其他機器人要求查找不安全的 phpmyadmin 安裝和內容的攻擊相同。
尤其是 suhosin 訊息:suhosin 正在強化您的 php 安裝,以應對常見攻擊,例如毒害空位元組攻擊(第一條訊息)。 PHP 不使用 NULL 終止的字串,但底層 C 函數卻使用。第二個訊息指示一個長查詢參數,該參數被刪除。這取決於它是具有長查詢字串的隨機攻擊者,還是您的應用程式具有長查詢字串並且suhosin.get.max_name_length太小。