今天我查了一下服务器的user.log文件,里面满了以下的Suhoshin消息
suhosin[6842]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'page' (attacker '..... suhosin[29033]: ALERT - configured GET variable value length limit exceeded - dropped variable... 等等
我几乎每天都在user.log文件中看到类似的消息,但从来没有这么多。
我的问题:如果所有这些请求被Suhoshin阻止,你是否知道发送同一邮件的请求者的目标是什么,并从多个不同的IP地址获取请求?
请求来自〜50个IP地址(Maxmind说所有的IP都是匿名代理):
/file.php?fid=%60cat%20/etc/passwd%60 /file.php?fid=................windowswin.ini /file.php?fid=../../../../../../../../../../boot.ini
似乎是通用的僵尸networking攻击,它search一个file.php,并希望从您的本地文件系统获取内容。 看看fidstring。
只要你没有这样一个令人毛骨悚然的脚本,你是安全的。 相信,networking上有一些脚本,它不会validationstring,并从服务器文件系统提供文件。
这种攻击与其他一些机器人请求发现不安全的phpmyadmin安装和东西是一样的。
特别是对suhosin的消息:suhosin正在加强你的PHP安装的常见攻击,如毒物NULL字节攻击 (第一条消息)。 PHP不使用以NULL结尾的string,而是使用底层的C函数。 第二条消息指示一个长的查询参数,该参数被丢弃。 这取决于它是一个长查询string的随机攻击者,还是你的应用程序与长查询string和suhosin.get.max_name_length太小。
叫Fuzzing 。 这些通常是一个更大的攻击的一部分,有人可能称之为APT (虽然我不喜欢那个术语或它所暗示的重力)。 这完全有可能只是一个僵尸networking寻找特定页面的目标,并系统地testing弱点。
你该怎么办: