Nel nostro server Apache abbiamo ricevuto circa 200 richieste HTTP GET dallo stesso IP e una stringa comune in ogni richiesta è "md5", ad es.
index.php?option=com_s5clanroster&view=s5clanroster&layout=category&task=category&id=-null%27+/*!50000UnIoN*/+/*!50000SeLeCt*/md5(3.1415),222--%20- HTTP/1.1
Che tipo di hacker di attacco aveva provato qui e dovrei preoccuparmene?
L'autore dell'attacco sta tentando di sfruttare il componente Joomla chiamato com_s5clanroster che è vulnerabile a SQL Injection.
An SQL injection vulnerability has been reported in Joomla Com S5clanroster. Successful exploitation of this vulnerability would allow a remote attacker to execute arbitrary SQL commands on the affected system.
Lo stesso componente era vulnerabile anche a LFI:
[o] Exploit
http://localhost/[path]/index.php?option=com_s5clanroster&view=[LFI]
http://localhost/[path]/index.php?option=com_s5clanroster&controller=[LFI]
Forse non hai installato quel componente o forse stai utilizzando diversi CMS, ma assicurati di controllare che il tuo sito web sia aggiornato. E non solo, controlla anche se i vari plugin sono ancora gestiti dall'autore, perché ho visto plugin vulnerabili senza aggiornamenti disponibili dall'autore - e questo è considerato un grosso problema.
Ecco un altro esempio che può portare a un altro problema: Scaduto Il dominio conduce al reindirizzamento dei plugin WordPress
Considera di utilizzare ModSecurity (Open Source Web Firewall). Come fare?