我最近将我的托pipe服务器切换到了AWS。 并在最初一切工作正常,但最近我面临的问题,我的服务器,它倒下了好几次。
我已经密切监视它,并知道CPU利用率达到100%几次,每次我需要重新启动我的实例。
所以我已经检查了访问日志和错误日志,似乎一些黑客活动正在我的服务器上进行。 请看下面我的错误日志文件的日志:
[Wed Sep 23 14:25:56.081268 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1' OR 2+20-20-1=0+0+0+1 or 'Q2fRfUkq'=' [Wed Sep 23 14:25:56.122526 2015] [:error] [pid 18780] [client 193.0.***.***:59939] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: @@EKtcl [Wed Sep 23 14:25:56.365583 2015] [:error] [pid 18788] [client 193.0.***.***:59930] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1" OR 2+392-392-1=0+0+0+1 -- [Wed Sep 23 14:25:56.663520 2015] [:error] [pid 18786] [client 193.0.***.***:59908] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: if(now()=sysdate(),sleep(9),0)/*'XOR(if(now()=sysdate(),sleep(9),0))OR'"XOR(if(now()=sysdate(),sleep(9),0))OR"*/ [Wed Sep 23 14:25:56.994941 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: (select(0)from(select(sleep(9)))v)/*'+(select(0)from(select(sleep(9)))v)+'"+(select(0)from(select(sleep(9)))v)+"*/ 现在我可以看到,它试图访问非现有的文件,并添加SQL注入,而令人难以置信的是它的工作,它使用我的CPU利用率100%和MySQL服务使用90%在这里。
那么如何防止这一点,请帮助我一样。
它采取MySQL访问这里发生? 正如我们可以看到没有任何custom.php可用,那么他们如何在服务器上运行mysql查询?
而最重要的是黑客通过curl或后脚本黑客入侵,但不使用我的机器
给定这个代码,它似乎是和尝试通用模式的SQL注入自动化的尝试。 这就是为什么有一个密集的使用CPU。 这并不意味着攻击在这个层面上是成功的。
你有没有注意到你的数据库中的数据损坏,或者你注意到你的PHP应用程序的奇怪行为?
为了避免这一点:
检查你的PHP应用程序如何在您的PHP代码pipe理SQL。 切勿允许php代码直接操作SQL命令。 使用function,并清理你的url,并形成POST。 如果是这种情况,你可以放松。
find一种方法将这种活动列入黑名单。 我的意思是一个软,检查你的日志,并阻止IP。 安装一个像SNORT这样的IDS。
一个简单的解决办法是安装大炮。 这是一个简单的蜜jar黑名单基于伪造端口的自动化尝试。 你可以在https://www.digitalocean.com/community/tutorials/how-to-set-up-an-artillery-honeypot-on-an-ubuntu-vpsfind一个好的tuto,在https:/ /github.com/trustedsec/artillery 。 对于一些客户,我使用这个解决scheme是有效和简单的。