Qual è il modo migliore per prevenire l'iniezione di codice in Apache / PHP?

Question

Qual è il modo migliore per prevenire l'iniezione di codice in Apache / PHP?

#1 da (3 voti)
#2 da (2 voti)

4

Ho recentemente installato wordpress su un VPS, ed è continuamente sotto attacco da allora. Ho preso alcune misure per proteggere da alcuni attacchi bruteforce, tuttavia osservando alcuni dei log non sono sicuro che sia sufficiente.

Di seguito è una delle molte richieste approssimative che vedo nel mio registro di Apache-

12x.24x.3x.45 - - [30/Oct/2017:20:34:24 +0000] "GET http://4x.9x.23x.250:58204/jsip.php?zl=IP&IP=3x.18x.24x.19x&DK=80&DD=RZLWHADALAHBNPRL HTTP/1.0" 301 395 "-" "Mozilla/5.0  (Windows NT 6.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.92 Safari/537.1 LBBROWSER"

Per quanto ho potuto capire, l'attaccante sta cercando di iniettare ed eseguire codice PHP dal sito remoto, e il server ha risposto con 301 (permanentemente spostato) e la risposta conteneva 395 byte.

Come posso proteggere il server dall'elaborazione di tali richieste?

.htaccess regola per negare valori del genere?
riscrittura mod Apache per rifiutare tale richiesta?
Disinfettare dal servizio di bilanciamento del carico?
Apache / PHP / Wordpress è vulnerabile a tali richieste?

Non dovrebbero già avere questa protezione, e posso contare su di loro e rilassarmi? In caso contrario, non capisco come molti siti Wordpress siano ancora attivi, supponendo che molti di loro probabilmente non abbiano esperti di sicurezza che lavorano per il sito.

php apache wordpress

posta Quark 02.11.2017 - 12:39

fonte

2 risposte

2

Non so se "rilassarsi" sia la risposta giusta, ma direi che non ci sono segni evidenti di un problema. Considera questa la tua introduzione alla regola numero uno di Internet: se è su Internet, verrà scansionato costantemente per vulnerabilità.

La migliore difesa è semplice: se utilizzi software di terze parti, utilizza solo il software che è ancora gestito e sempre tienilo aggiornato. PHP, apache e wordpress sono ben supportati e hanno frequenti aggiornamenti di sicurezza, quindi fintanto che continui a tenerli aggiornati non dovresti avere troppe preoccupazioni da qualsiasi drive-by-attack.

Se inizi a scrivere il tuo software, assicurati di essere esperto nella sicurezza delle applicazioni web.

La stessa cosa vale anche se gestisci il tuo server: una piccola lettura su hardening di un server non ti farà male. Principalmente si tratta di disabilitare tutti i servizi non necessari, mantenere il server aggiornato e bloccarlo con un firewall. Tuttavia, sono solo i punti salienti, quindi se hai il controllo del server, dedica del tempo a imparare come proteggerlo.

Wordpress merita una breve menzione anche perché (dalla mia esperienza), ha una lunga storia di exploit di sicurezza. Di conseguenza, questo è molto importante per tenersi aggiornati. Quando guardo attraverso i miei log del server e vedo quali sono i tentativi di hacking, molti di loro stanno effettivamente prendendo di mira vulnerabilità note nelle vecchie versioni di wordpress. Durante il mio ultimo lavoro, ospitavamo i due siti wordpress che gestivamo sul loro server, per minimizzare il danno in caso di hacking. Quel server è stato infatti hackerato una volta, ma la fonte dell'intrusione non era tecnicamente wordpress: era in realtà un'estensione wordpress installata dal proprietario del sito. Non ho molta fiducia per l'estensione delle estensioni wordpress, anche se spesso è necessario eseguire le cose se non sai come modificare manualmente wordpress da solo. Lo rende un po 'un catch-22: se non sai come scrivere codice sicuro per l'applicazione web, non sai nemmeno come controllare un altro codice per vedere se è sicuro.

risposta data 02.11.2017 - 14:07

fonte

Leggi altre domande sui tag php apache wordpress

Differenza tra sicurezza informatica e sicurezza delle informazioni? Rimozione sicura del file originale dopo la crittografia

score 3 · Accepted Answer

... "GET http://4x.9x.23x.250:58204/jsip.php?zl=IP&IP=3x.18x.24x.19x&DK=80&DD=RZLWHADALAHBNPRL HTTP/1.0" 301 395 ...
As far as I could understand, attacker is trying to inject and execute php code from remote site, ...

Non vedo alcun tentativo di iniezione qui. Sembra più che qualcuno stia tentando di usare il tuo server come proxy per raggiungere http://4x.9x.23x.250:58204/... . Potrebbe essere qualcuno a scansionare internet per trovare dei proxy aperti. Finché il tuo sistema non è configurato per essere un proxy aperto, non c'è bisogno di preoccuparsi di questo, trattiamo questa richiesta come il solito rumore che si ottiene quando si ha un sistema accessibile da internet.