Enfrentando atividades de hacking no meu servidor [duplicado]

Navegue suas respostas
2

Eu mudei recentemente meu servidor de hospedagem para a AWS. e na inicial tudo estava funcionando bem, mas recentemente eu estou enfrentando problemas com o meu servidor que ele desce várias vezes.

Eu monitorei de perto e fiquei sabendo que a utilização da CPU vai para 100% várias vezes e sempre que preciso reiniciar minha instância.

Então eu verifiquei o log de acesso e os logs de erro e parece que algumas atividades de hacking estão no meu servidor. Por favor, veja abaixo os registros do meu arquivo de registro de erros: 

[Wed Sep 23 14:25:56.081268 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1' OR 2+20-20-1=0+0+0+1 or 'Q2fRfUkq'='

[Wed Sep 23 14:25:56.122526 2015] [:error] [pid 18780] [client 193.0.***.***:59939] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: @@EKtcl

[Wed Sep 23 14:25:56.365583 2015] [:error] [pid 18788] [client 193.0.***.***:59930] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1" OR 2+392-392-1=0+0+0+1 --

[Wed Sep 23 14:25:56.663520 2015] [:error] [pid 18786] [client 193.0.***.***:59908] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: if(now()=sysdate(),sleep(9),0)/*'XOR(if(now()=sysdate(),sleep(9),0))OR'"XOR(if(now()=sysdate(),sleep(9),0))OR"*/


[Wed Sep 23 14:25:56.994941 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: (select(0)from(select(sleep(9)))v)/*'+(select(0)from(select(sleep(9)))v)+'"+(select(0)from(select(sleep(9)))v)+"*/

Agora aqui eu posso ver que está tentando acessar o arquivo não existente e adicionar injeções sql, e coisas inacreditáveis é o seu funcionamento, usando minha utilização da CPU para 100% e o serviço mysql usa 90% aqui.

Então, como evitar isso, por favor me ajude da mesma forma.

Está tendo acesso mysql aqui para que isso aconteça? Como podemos ver, não há nenhum custom.php disponível, então como eles estão executando consultas mysql no servidor?

E o mais importante é que o hacker hackeia o curl ou o post script, mas não usa minha máquina atall

    
por Er.KT 24.09.2015 / 09:10

1 resposta

2

dado este código, parece ser e automatizado tentar experimentar padrões comuns para injeção de sql. É por isso que há um uso intensivo da cpu. Isso não significa que o ataque é bem-sucedido nesse nível.

Você percebeu dados corrompidos em seu banco de dados ou percebeu algum comportamento estranho do seu aplicativo php?

Para evitar isso:

  • verifique no seu aplicativo php como o sql é gerenciado em seu código php. NUNCA permita que o código php manipule diretamente comandos SQL. Use funções e limpe seus URLs e faça o POST. Se for o caso, você pode relaxar.

  • Encontre uma maneira de colocar esse tipo de atividade na lista negra. Quero dizer, um soft que verifica seus logs e bloqueia o IP. Instale um IDS como SNORT, por exemplo.

Uma solução simples seria instalar artilharia. É um honeypot simples que lista as tentativas automatizadas baseadas em portas falsificadas. Você pode encontrar um bom tuto no link e o repo de artilharia no link . Eu usei esta solução para alguns clientes, é eficaz e simples.

    
por 24.09.2015 / 10:34

Tags

F5 LTM freqüentemente mata processos com SIGKILL Por que alguns discos e alguns são LUNs?