Чтение RSS каналов

Форум

Открыть Ответить

Попытка взлома, иньекция или просто простукивание защиты?

5

5
1
08.12.2009 01:25:4908.12.2009 01:27:39
Запрещенное действие: HTML in GET - op = showcat\' and 1=2 union select
CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CO
IP Адрес: 84.122.26.152
Пользователь: Посетитель
Ссылка:
/index.php?name=Pages&op=showcat'%20and%201=2%20union%20select%20CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c)%20and%20'1'='1
Браузер: ati2qs


Вот подобное Г пришло мне на почту 1756 раз на протяжении 3х минут более чем с 30 разных айпи. Из поиска гугелем я понял, что это иньекция.
Но у меня вопрос...
Что конкретно этим могут сделать? Могут ли? А может уже сделали и где искать последствия?

Могу только сказать, что ранее подобного на портале не наблюдалось. А сегодня появилось после лидерской статистики по 200-300 челов в час. Одним словом кто то очень не хочет давать ресурсу жить. Связано это с негативным отношением к Слаеду или конкуренцией порталов, уже не важно.
Каждый раз как портал начинает жить, появляются новые способы его остановить. Увы, но уже задолбало это. Смайл - 15


Версия системы: SLAED CMS 3.5 Pro
Версия PHP: PHP 5
Сервер: Сервер в интернете
4.28

4.28
2
08.12.2009 11:17:48
Как видите система определила это, ничего страшного в этом нет. Эти сообщения можете отключить и все. Так что Вам не о чем переживать.
4

4
3
08.12.2009 17:16:31

Как видите система определила это, ничего страшного в этом нет. Эти сообщения можете отключить и все. Так что Вам не о чем переживать.



Откуда такая уверенность? Смайл - 13


Версия системы: SLAED CMS 3.5 Pro
Версия PHP: PHP 5
Сервер: Сервер в интернете
4.28

4.28
4
08.12.2009 20:12:4608.12.2009 20:29:43
Хм, весьма забавно, давно я этого бота не видел в сети, правда тогда у него User-Agent был не ati2qs, а NV32ts.
Смысл этого запроса в базу - сканирование на предмет sql-инъекций, проще говоря Ваш сайт прощупывали этим ботом.
Если бы атака удалясь - база бы рухнула на всем сервере.
Хотя, в принципе, на сколько я знаю, этот бот может положить сервер и без sql-инъекций, он может делать до 1000 запросов в секунду.
Мой Вам совет, заблочьте этого бота от греха подальше по IP и User-Agent.
В .htaccess добавьте:
RewriteEngine on
Options +FollowSymlinks
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^ati2qs
RewriteRule ^.*$ - [F]
order allow,deny
allow from all
deny from маска IP адресов

Всё равно IP-ы Испанские, наврятли они Вам нужны, потом снимите блок по IP оставив лишь блокировку по User-Agent...
Маску легко вычислить зная начальный и конечный IP, или можете "положить" всю подсеть таким образом - deny from 84.122.26. именно с точкой на конце, только закроете много IP таким образом, так что мера временная.
3.96

3.96
5
08.12.2009 20:17:02
А сервер уже и лёг. Смайл - 16
4.28

4.28
6
08.12.2009 20:30:22
keeber, ну дык блокируйте, кого ждете то?
3.96

3.96
7
08.12.2009 20:34:47
Полностью потерян сервер.(( Жду помощи от датацентра. Никаким образом не могу попасть на сервер. Возможно проблема не связана с этим ботом, но сервак потух. Смайл - 11
4.28

4.28
8
08.12.2009 20:39:11
Мдя, что-то мне это напоминает.
Ну, удачи Вам.
Как получите доступ - сделайте блокировку обязательно.
А вообще, проверьте Ваш httpd.conf и внесите соответствующие правки в него.
3.96

3.96
9
08.12.2009 20:40:41

Мдя, что-то мне это напоминает.
Ну, удачи Вам.
Как получите доступ - сделайте блокировку обязательно.
А вообще, проверьте Ваш httpd.conf и внесите соответствующие правки в него.




Спасибо огрооооомное. Обязательно всё сделаю. Главное добраться до сервака.
4.28

4.28
Открыть Ответить
Хотите опробовать SLAED CMS в действии?

Технологии

PHP MySQL HTML 5 CSS 3 jQuery jQuery UI

Контакты

  • D-49179, Deutschland
    Ostercappeln, Im Siek 6
  • +49 176 61966679

  • https://slaed.net
Идеи и предложения
Обратная связь