我最近將我的託管伺服器切換到了 AWS。最初一切都工作正常,但最近我的伺服器遇到了多次宕機的問題。
我密切監視它,發現 CPU 使用率多次達到 100%,每次我都需要重新啟動我的實例。
因此,我檢查了訪問日誌和錯誤日誌,似乎我的伺服器上正在進行一些黑客活動。請查看我的錯誤日誌檔案的以下日誌:
[Wed Sep 23 14:25:56.081268 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1' OR 2+20-20-1=0+0+0+1 or 'Q2fRfUkq'='
[Wed Sep 23 14:25:56.122526 2015] [:error] [pid 18780] [client 193.0.***.***:59939] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: @@EKtcl
[Wed Sep 23 14:25:56.365583 2015] [:error] [pid 18788] [client 193.0.***.***:59930] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1" OR 2+392-392-1=0+0+0+1 --
[Wed Sep 23 14:25:56.663520 2015] [:error] [pid 18786] [client 193.0.***.***:59908] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: if(now()=sysdate(),sleep(9),0)/*'XOR(if(now()=sysdate(),sleep(9),0))OR'"XOR(if(now()=sysdate(),sleep(9),0))OR"*/
[Wed Sep 23 14:25:56.994941 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: (select(0)from(select(sleep(9)))v)/*'+(select(0)from(select(sleep(9)))v)+'"+(select(0)from(select(sleep(9)))v)+"*/
現在在這裡我可以看到它試圖存取不存在的檔案並添加 sql 注入,令人難以置信的是它的工作,它使用我的 CPU 使用率到 100%,而 mysql 服務在這裡使用 90%。
那麼如何防止這種情況,請幫幫我。
它在這裡獲取 mysql 訪問權限,所以會發生這種情況嗎?正如我們所看到的,沒有任何 custom.php 可用,那麼他們如何在伺服器上執行 mysql 查詢呢?
最重要的是駭客透過curl或post腳本進行駭客攻擊,但根本不使用我的機器
答案1
給出這段程式碼,它似乎是自動嘗試嘗試 SQL 注入的常見模式。這就是CPU 被大量使用的原因。並不意味著這個等級的攻擊就成功了。
您是否注意到資料庫中的資料已損壞,或者您是否注意到 php 應用程式的奇怪行為?
為了避免這種情況:
檢查您的 php 應用程式如何在 php 程式碼中管理 sql。絕不允許 php 程式碼直接操作 SQL 指令。使用函數,並清理您的網址和表單 POST。如果是這樣的話你就可以放心了。
找到一種方法將此類活動列入黑名單。我的意思是檢查你的日誌並阻止 IP 的軟體。例如,安裝 SNORT 等 IDS。
一個簡單的解決方案是安裝火砲。這是一個簡單的蜜罐,可根據偽造連接埠將自動嘗試列入黑名單。您可以在以下位置找到好的教程https://www.digitalocean.com/community/tutorials/how-to-set-up-an-artillery-honeypot-on-an-ubuntu-vps和火砲倉庫https://github.com/trustedsec/artillery。我為一些客戶使用了這個解決方案,它有效且簡單。