Мы в YouTube Мы в Twitter Мы вКонтакте Читайте нашу RSS
Чтение RSS каналов

Форум

Открыть Ответить

Попытка взлома, иньекция или просто простукивание защиты?

5

5
1
08.12.2009 01:25:4908.12.2009 01:27:39

Запрещенное действие: HTML in GET - op = showcat&#092;&amp;#039; and 1=2 union select<br /> CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CO<br /> IP Адрес: 84.122.26.152<br /> Пользователь: Посетитель<br /> Ссылка:<br /> /index.php&#063;name=Pages&amp;amp;op=showcat&amp;#039;%20and%201=2%20union%20select%20CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c)%20and%20&amp;#039;1&amp;#039;=&amp;#039;1<br /> Браузер: ati2qs


Вот подобное Г пришло мне на почту 1756 раз на протяжении 3х минут более чем с 30 разных айпи. Из поиска гугелем я понял, что это иньекция.
Но у меня вопрос...
Что конкретно этим могут сделать? Могут ли? А может уже сделали и где искать последствия?

Могу только сказать, что ранее подобного на портале не наблюдалось. А сегодня появилось после лидерской статистики по 200-300 челов в час. Одним словом кто то очень не хочет давать ресурсу жить. Связано это с негативным отношением к Слаеду или конкуренцией порталов, уже не важно.
Каждый раз как портал начинает жить, появляются новые способы его остановить. Увы, но уже задолбало это. Смайл - 15



Версия системы: SLAED CMS 3.5 Pro
Версия PHP: PHP 5
Сервер: Сервер в интернете
СообщениеПрофиль
keeber
4.28

4.28
2
08.12.2009 11:17:48

Как видите система определила это, ничего страшного в этом нет. Эти сообщения можете отключить и все. Так что Вам не о чем переживать.

СообщениеПрофиль
name
3.95

3.95
3
08.12.2009 17:16:31

Как видите система определила это, ничего страшного в этом нет. Эти сообщения можете отключить и все. Так что Вам не о чем переживать.



Откуда такая уверенность? Смайл - 13



Версия системы: SLAED CMS 3.5 Pro
Версия PHP: PHP 5
Сервер: Сервер в интернете
СообщениеПрофиль
keeber
4.28

4.28
4
08.12.2009 20:12:4608.12.2009 20:29:43

Хм, весьма забавно, давно я этого бота не видел в сети, правда тогда у него User-Agent был не ati2qs, а NV32ts.
Смысл этого запроса в базу - сканирование на предмет sql-инъекций, проще говоря Ваш сайт прощупывали этим ботом.
Если бы атака удалясь - база бы рухнула на всем сервере.
Хотя, в принципе, на сколько я знаю, этот бот может положить сервер и без sql-инъекций, он может делать до 1000 запросов в секунду.
Мой Вам совет, заблочьте этого бота от греха подальше по IP и User-Agent.
В .htaccess добавьте:

RewriteEngine on<br /> Options +FollowSymlinks<br /> RewriteBase /<br /> RewriteCond %{HTTP_USER_AGENT} ^ati2qs<br /> RewriteRule ^.*$ - [F]<br /> order allow,deny<br /> allow from all<br /> deny from маска IP адресов

Всё равно IP-ы Испанские, наврятли они Вам нужны, потом снимите блок по IP оставив лишь блокировку по User-Agent...
Маску легко вычислить зная начальный и конечный IP, или можете "положить" всю подсеть таким образом - deny from 84.122.26. именно с точкой на конце, только закроете много IP таким образом, так что мера временная.

СообщениеПрофильСайт
GRAFLEKX
3.92

3.92
5
08.12.2009 20:17:02

А сервер уже и лёг. Смайл - 16

СообщениеПрофиль
keeber
4.28

4.28
6
08.12.2009 20:30:22

keeber, ну дык блокируйте, кого ждете то?

СообщениеПрофильСайт
GRAFLEKX
3.92

3.92
7
08.12.2009 20:34:47

Полностью потерян сервер.(( Жду помощи от датацентра. Никаким образом не могу попасть на сервер. Возможно проблема не связана с этим ботом, но сервак потух. Смайл - 11

СообщениеПрофиль
keeber
4.28

4.28
8
08.12.2009 20:39:11

Мдя, что-то мне это напоминает.
Ну, удачи Вам.
Как получите доступ - сделайте блокировку обязательно.
А вообще, проверьте Ваш httpd.conf и внесите соответствующие правки в него.

СообщениеПрофильСайт
GRAFLEKX
3.92

3.92
9
08.12.2009 20:40:41

Мдя, что-то мне это напоминает.
Ну, удачи Вам.
Как получите доступ - сделайте блокировку обязательно.
А вообще, проверьте Ваш httpd.conf и внесите соответствующие правки в него.




Спасибо огрооооомное. Обязательно всё сделаю. Главное добраться до сервака.

СообщениеПрофиль
keeber
4.28

4.28
Открыть Ответить
Хотите опробовать SLAED CMS в действии?

Форум

Технологии

PHP MySQL HTML 5 CSS 3 jQuery jQuery UI

Контакты

  • D-49179, Deutschland
    Ostercappeln, Im Siek 6
  • +49 176 61966679

  • https://slaed.net
Идеи и предложения
Обратная связь