在我们的 Apache 服务器中,我们收到了大约 200 个来自同一 IP 的 HTTP GET 请求,每个请求中的一个公共字符串是“md5”,例如
index.php?option=com_s5clanroster&view=s5clanroster&layout=category&task=category&id=-null%27+/*!50000UnIoN*/+/*!50000SeLeCt*/md5(3.1415),222--%20- HTTP/1.1
黑客在这里尝试过什么样的攻击,我应该担心吗?
攻击者正试图利用com_s5clanroster易受 SQL 注入攻击的名为 Joomla 的组件。
Joomla Com S5clanroster 中报告了一个 SQL 注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统上执行任意 SQL 命令。
https://www.checkpoint.com/defense/advisories/public/2014/cpai-2014-2169.html
同样的组件也容易受到 LFI 的攻击:
[o] Exploit
http://localhost/[path]/index.php?option=com_s5clanroster&view=[LFI]
http://localhost/[path]/index.php?option=com_s5clanroster&controller=[LFI]
http://www.securityfocus.com/bid/39503
也许您没有安装该组件,或者您正在运行不同的 CMS,但请确保您检查您的网站是最新的。不仅如此,还要检查作者是否仍在维护不同的插件,因为我看到了作者没有更新的易受攻击的插件——这被认为是一个大问题。
这是另一个可能导致另一个问题的示例:过期域导致 WordPress 插件重定向
考虑使用ModSecurity(开源 Web 应用程序防火墙)。如何?