Che tipo di attacco è questo?

1

La scorsa settimana, i miei registri di traffico mostrano molti hit (di solito con tentativi ripetuti) per un URL di oltre 30 diversi indirizzi IP in tutto il mondo. Questo non è un URL che dovrebbe raccogliere più di un singolo hit e dovrebbe essere accessibile solo tramite un link da una pagina che contiene rel="nofollow" . L'URL chiama una pagina PHP il cui unico scopo è quello di reindirizzare ad altri siti web in base al parametro di query id= . L'URL della pagina è

mywebsite.com/linkredirect.php?id=434&site=www.creative-science.org.uk

Il collegamento sopra riportato è anche apparso nei log in altre forme:

/linkredirect.php?site=www.ausetute.com.au&id=266%25%27/**/aND/**/%278%25%27%3D%273
.. there were about 50 different iterations of this - which is attempting sql injection - but I can't figure out the purpose of it.

/linkredirect.php?id=434&site=www.premieresurgical.com
... this is an invalid link - the id=434 is valid but the "site=" query is invalid

Partecipo a Project Honeypot e alcune delle richieste sono sospette e amp; Comment Spammer.

L'agente utente sembra essere sempre:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/536.28.10 (KHTML, like Gecko) Version/6.0.3 Safari/536.28.10
 ... or something similar

Forse non correlato, il mio log degli errori mostra due tentativi in quello che appare un tentativo di hacking per accedere a una delle mie directory

[Tue Mar 04 21:32:12 2014] [error] [client 199.21.99.113] Directory index forbidden by Options directive: /home/myusername/public_html/

Che tipo di attacco è questo e qual è lo scopo? Perché preoccuparsi di tentativi ripetuti per lo stesso link? Il mio utilizzo di id= come parametro di query è un invito a codice maligno da tentare di sfruttare?

    
posta mseifert 05.03.2014 - 07:24
fonte

2 risposte

4

Sembra che qualcuno voglia testare il tuo sito per problemi di sicurezza.

Come hai detto

linkredirect.php?site=www.ausetute.com.au&id=266%25%27//aND//%278%25%27%3D%273

è sicuramente un tentativo per SQL Injection, %25%27%278%25%27%3D%273 è il valore Hex per %''8%'='3 . Puoi provare a decodificare l'intera richiesta nel modulo in fondo a questa pagina .

Alcuni aggressori utilizzano il motore di ricerca per trovare nomi di parametri interessanti, utilizzando Google per queste tecniche è noto come dork di Google. Se passi alle prime voci di questo elenco , puoi scoprire quanto è buono il parametro id in grado di attirare gli aggressori. L'utilizzo di un nome di parametro diverso potrebbe aiutarti a non essere un robot / attaccante che usa la tecnica sopra discussa.

    
risposta data 05.03.2014 - 14:25
fonte
3

Probabilmente è solo uno scanner o l'autore dell'attacco che cerca su Google Dork e ha trovato il tuo sito in modo che l'attaccante proverà a trovare vulnerabilità.

Se i pattern di attacco vengono ripetuti, molto probabilmente si tratta di uno scanner.

Credo che il Google Dork utilizzato sia simile o simile a questo: filetype: php inurl: ". php? id="

Per rispondere alla tua domanda, il parametro "id" è piuttosto comune, come puoi vedere qui

Per i diversi indirizzi IP, probabilmente sta utilizzando un programma proxy che cambia il proxy ogni "n" minuti per evitare blocchi dal WAF (se ne hai uno).

Per quanto riguarda questa domanda:

[Tue Mar 04 21:32:12 2014] [error] [client 199.21.99.113] Directory index forbidden by Options directive: /home/myusername/public_html/

È semplicemente un errore che verrà visualizzato nel registro degli errori quando l'elenco delle directory è disabilitato in una determinata cartella e qualcuno tenta di accedere a quella cartella senza specificare un file all'interno di quella cartella (site.com/folder - proibito, sito. com / folder / file - valido). Viene principalmente utilizzato per impedire ad altri utenti di visualizzare l'elenco di file e cartelle in quel particolare percorso, in modo che l'utente malintenzionato non sia in grado di testare i file in tale cartella per le vulnerabilità, a meno che l'utente malintenzionato non riceva il nome file di un file all'interno di quel percorso (che può essere acquisito attraverso il nomefile bruteforcing, ma in genere è solo per i file che sono comuni come index.php e simili).

    
risposta data 05.03.2014 - 15:53
fonte

Leggi altre domande sui tag