服务器 Gind.cn
  1. 服务器 Gind.cn
  3. MySQL注入攻击? 随机URL的导致错误
Intereting Posts
心跳在Centos linux错误消息 在我的服务器上使用gzip的任何地方都显示黑色的问号 带有Centos 7.3的vServer SELinux 2.5没有激活 使用首选用户名,但对Kerberos主体进行身份validation 以太网供电:用低于48V的电压devisePSD? 如何在Centos服务器启动时自动启动java服务 如何让OpenSSH使用OCSP进行撤销 SSH“由对等方重置连接”错误 你可以有两个相同的NetBIOS域名相互信任的活动目录域吗? Apache Prefork工作得很快,然后Worker MPM为静态内容提供服务吗? 从Ubuntu转移到CentOS 禁用天青工人angular色上的Windows防火墙有没有什么危险? 无论物理位置如何,我可以使用哪些软件在Windows Server 2012之间创build专用networking? 通过Ubuntu的服务器接收电子邮件 获取通用日志在MySQL 5.6.8中的工作

MySQL注入攻击? 随机URL的导致错误

几个月前,我们刚开始在Rackspace上运行我们自己的Web服务器(他们很棒)。 我使用NewRelic(也非常酷)来监视服务器的使用情况,我得到的错误警报在我看来是注入攻击? 想知道是否有人能够通过洞察或build议如何挫败这些努力,摆脱错误和烦人的通知。

我们知道一个事实,这些不是要求我们的网站打电话。 我已经开始进入访问日志,并阻止了IP的请求,但他们稍后又回来了一个不同的。

下面是一个“MySQL错误”示例:

http://www.ourdomain.com/item.php?fetchitem=46 “+和+ 999999.9)+ UNION + ALL +select+ 0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39,0x393133353134353632342e39,0x393133353134353632352e39,0x393133353134353632362e39,0x393133353134353632372e39,0x393133353134353632382e39,0x393133353134353632392e39,0x39313335313435363231302e39, 0x39313335313435363231312e39,0x39313335313435363231322e39,0x39313335313435363231332e39,0x39313335313435363231342e39,0x39313335313435363231352e39,0x39313335313435363231362e39,0x39313335313435363231372e39,0x39313335313435363231382e39,0x39313335313435363231392e39,0x39313335313435363232302e39,0x39313335313435363232312e39,0x39313335313435363232322e39,0x39313335313435363232332e39,0x39313335313435363232342e39,0x39313335313435363232352e39,0x39313335313435363232362e39,0x39313335313435363232372e39,0x39313335313435363232382e39,0x39313335313435363232392e39 +和+ '1'='1

该url应该是www(dot)ourdomain(dot)com / item.php?fetchitem = 46

另一个:

(*),%(%),% 2F **%2fcOnCaT((%2F **%2fsElEcT(%2F **%2fsElEcT(%2F **%2fsElEcT +%2F **%2fcOnCaT(炭(33,126,33),计数(吨。%2F%** 2ftAbLe_nAmE),炭(33,126,33))+%2F **%2ffRoM + INFORMATION_SCHEMA。%2F **%2fsChEmAtA + AS + d + +joinINFORMATION_SCHEMA。%2F **%2ftAbLeS +作为+ T + T +。 %2F **%2ftAbLe_sChEmA + = + d。%2F **%2fsChEmA_NaMe +join+ INFORMATION_SCHEMA。%2F **%2fcOlUmNs +为+ C +上+ C。%2F **%2ftAbLe_sChEmA + = + d。%2F ** %2fsChEmA_NaMe +和+ C。%2F **%2ftAbLe_nAmE + = +吨。%2F **%2ftAbLe_nAmE +%2F **%2fwHeRe +未+ C。%2F **%2ftAbLe_sChEmA +中(0x696e666f726d6174696f6e5f736368656d61,0x6d7973716c)+和+ d。%2F **%2fsChEmA_NaMe + = +%2F **%2fdAtAbAsE()+和+ C。%2F **%2fcOlUmN_NaMe +等+ 0x25656d61696c6164647265737325))+%2F **%2ffRoM + INFORMATION_SCHEMA。%2F%** 2ftAbLeS +%2F **%2flImIt + 0,1),地板(兰特(0)* 2))×+%2F **%2ffRoM + INFORMATION_SCHEMA。%2F **%2ftAbLeS +%2F **%2fgRoUp%2F%** 2fbY + x)的一个)+和+ '1'='1

有人build议在iptables上限制80端口,但是我怕阻止潜在的真实用户。

所有的想法和build议表示赞赏! 谢谢!

对,就是那样。

我build议使用ModSecurity检测并阻止这些攻击。

来自ModSecurity CRS(核心规则集)的SQL注入检测示例规则:

https://raw.github.com/SpiderLabs/owasp-modsecurity-crs/master/base_rules/modsecurity_crs_41_sql_injection_attacks.conf

您可以清楚地看到包含关键字“select”,“union”,“all”等的规则

是的,这是一个经典的SQL注入攻击。 你唯一真正的长期防御就是确保应用程序的安全,尽pipe你可以根据需要禁止IP地址,并且有各种各样的工具来尝试自动化。

最终,除非它成为DOS攻击,否则如果你的网站是注入证据,它们应该是相对无害的。 尽pipe如此,事情的这一面是更多的StackOverflow。

古典方形扫描; 住它或阻止它(但不是手动:)

如果你想防止sql-injection-attempt和需要一个轻量级的解决scheme,使用nginx + naxsi ,如果你能够安装和运行你的apache的反向代理infront(mod_security可以减慢你的网站相当多)

使用naxsi的原因

  • 比mod_security轻得多
  • 核心规则集在sqli保护是稳定的
  • 编写和维护规则并不是像mod_security那样的PITA
  • 可以扩展到阻止很多扫描仪,skiddos和不需要的访问(扩展规则集)
  • 学习模式 – >在受保护的实例上运行它,并为您的实时设置生成白名单规则
  • 您可以拥有完整的nginx-power,并在同一主机上使用proxy_cache和static-features

使用naxsi时:

  • 如果过滤出站stream量是需要的(我更喜欢snort这里)
  • 如果需要多级inputfilter(我宁愿在这里打屁股)