Мы в GitHub Мы в YouTube Мы в X Мы вКонтакте Читайте нашу RSS Документация на немецком Документация на английском Рекомендовать

Форум

Открыть Ответить

Попытка взлома, иньекция или просто простукивание защиты?

5

5

1
08.12.2009 01:25:49 08.12.2009 01:27:39

Запрещенное действие: HTML in GET - op = showcat&#092;&amp;#039; and 1=2 union select<br /> CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CO<br /> IP Адрес: 84.122.26.152<br /> Пользователь: Посетитель<br /> Ссылка:<br /> /index.php&#063;name=Pages&amp;amp;op=showcat&amp;#039;%20and%201=2%20union%20select%20CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c)%20and%20&amp;#039;1&amp;#039;=&amp;#039;1<br /> Браузер: ati2qs


Вот подобное Г пришло мне на почту 1756 раз на протяжении 3х минут более чем с 30 разных айпи. Из поиска гугелем я понял, что это иньекция.
Но у меня вопрос...
Что конкретно этим могут сделать? Могут ли? А может уже сделали и где искать последствия?

Могу только сказать, что ранее подобного на портале не наблюдалось. А сегодня появилось после лидерской статистики по 200-300 челов в час. Одним словом кто то очень не хочет давать ресурсу жить. Связано это с негативным отношением к Слаеду или конкуренцией порталов, уже не важно.
Каждый раз как портал начинает жить, появляются новые способы его остановить. Увы, но уже задолбало это. Смайл - 15

SLAED CMS 3.5 Pro
PHP 5
Сервер в интернете
keeber
  • Группа: Клиент
  • Пункты: 51
  • Регистрация: 26.02.2007
  • Пол: Мужчина
  • Из: Paradise
keeber
4.28

4.28

2
08.12.2009 11:17:48

Как видите система определила это, ничего страшного в этом нет. Эти сообщения можете отключить и все. Так что Вам не о чем переживать.

name
  • Группа: Клиент
  • Пункты: 18
  • Регистрация: 25.06.2008
  • Пол: Мужчина
  • Предупреждения:
    1. 1
name
3.95

3.95

3
08.12.2009 17:16:31

Как видите система определила это, ничего страшного в этом нет. Эти сообщения можете отключить и все. Так что Вам не о чем переживать.



Откуда такая уверенность? Смайл - 13

SLAED CMS 3.5 Pro
PHP 5
Сервер в интернете
keeber
  • Группа: Клиент
  • Пункты: 51
  • Регистрация: 26.02.2007
  • Пол: Мужчина
  • Из: Paradise
keeber
4.28

4.28

4
08.12.2009 20:12:46 08.12.2009 20:29:43

Хм, весьма забавно, давно я этого бота не видел в сети, правда тогда у него User-Agent был не ati2qs, а NV32ts.
Смысл этого запроса в базу - сканирование на предмет sql-инъекций, проще говоря Ваш сайт прощупывали этим ботом.
Если бы атака удалясь - база бы рухнула на всем сервере.
Хотя, в принципе, на сколько я знаю, этот бот может положить сервер и без sql-инъекций, он может делать до 1000 запросов в секунду.
Мой Вам совет, заблочьте этого бота от греха подальше по IP и User-Agent.
В .htaccess добавьте:

RewriteEngine on<br /> Options +FollowSymlinks<br /> RewriteBase /<br /> RewriteCond %{HTTP_USER_AGENT} ^ati2qs<br /> RewriteRule ^.*$ - [F]<br /> order allow,deny<br /> allow from all<br /> deny from маска IP адресов

Всё равно IP-ы Испанские, наврятли они Вам нужны, потом снимите блок по IP оставив лишь блокировку по User-Agent...
Маску легко вычислить зная начальный и конечный IP, или можете "положить" всю подсеть таким образом - deny from 84.122.26. именно с точкой на конце, только закроете много IP таким образом, так что мера временная.

GRAFLEKX
  • Группа: Супермодераторы
  • Пункты: 1595
  • Регистрация: 18.09.2008
  • Пол: Мужчина
  • Из: Россия
GRAFLEKX
3.92

3.92

5
08.12.2009 20:17:02

А сервер уже и лёг. Смайл - 16

keeber
  • Группа: Клиент
  • Пункты: 51
  • Регистрация: 26.02.2007
  • Пол: Мужчина
  • Из: Paradise
keeber
4.28

4.28

6
08.12.2009 20:30:22

keeber, ну дык блокируйте, кого ждете то?

GRAFLEKX
  • Группа: Супермодераторы
  • Пункты: 1595
  • Регистрация: 18.09.2008
  • Пол: Мужчина
  • Из: Россия
GRAFLEKX
3.92

3.92

7
08.12.2009 20:34:47

Полностью потерян сервер.(( Жду помощи от датацентра. Никаким образом не могу попасть на сервер. Возможно проблема не связана с этим ботом, но сервак потух. Смайл - 11

keeber
  • Группа: Клиент
  • Пункты: 51
  • Регистрация: 26.02.2007
  • Пол: Мужчина
  • Из: Paradise
keeber
4.28

4.28

8
08.12.2009 20:39:11

Мдя, что-то мне это напоминает.
Ну, удачи Вам.
Как получите доступ - сделайте блокировку обязательно.
А вообще, проверьте Ваш httpd.conf и внесите соответствующие правки в него.

GRAFLEKX
  • Группа: Супермодераторы
  • Пункты: 1595
  • Регистрация: 18.09.2008
  • Пол: Мужчина
  • Из: Россия
GRAFLEKX
3.92

3.92

9
08.12.2009 20:40:41

Мдя, что-то мне это напоминает.
Ну, удачи Вам.
Как получите доступ - сделайте блокировку обязательно.
А вообще, проверьте Ваш httpd.conf и внесите соответствующие правки в него.




Спасибо огрооооомное. Обязательно всё сделаю. Главное добраться до сервака.

keeber
  • Группа: Клиент
  • Пункты: 51
  • Регистрация: 26.02.2007
  • Пол: Мужчина
  • Из: Paradise
keeber
4.28

4.28

Открыть Ответить

Хотите опробовать SLAED CMS в действии?

Идеи и предложения
Обратная связь