看起来像奇怪的SQL查询的404错误 - 如何阻止?

时间:2017-05-19 18:12:24

标签: security redirect http-status-code-404

我有一个电子商务网站(基于OpenCart 2.0.3.1构建)。 使用SEO包插件来保存404错误列表,这样我们就可以进行重定向。 截至几周前,我一直看到很多404甚至看起来都不像链接:

  • 999999.9 / / uNiOn / / aLl / ** / sElEcT 0x393133353134353632312e39
  • 999999.9 / / uNiOn / / aLl / ** / sElEcT 0x393133353134353632312e39,0x393133353134353632322e39
  • 999999.9 / / uNiOn / / aLl / ** / sElEcT 0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39
  • ......等等,直到达到:
  • 999999.9" /的 /联合/ / ALL / ** /选择0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39,0x393133353134353632342e39,0x393133353134353632352e39,0x393133353134353632362e39,0x393133353134353632372e39,0x393133353134353632382e39,0x393133353134353632392e39,0x39313335313435363231302e39,0x3931

这不会发生一次,但每个例子发生30-50次。在最新的404s报告中超过1600行。

现在,我知道如何重新定向"正常"断开的链接,但是:

  • a。)我不知道如何格式化这个。
  • b。)我担心这可能是一次野蛮的黑客攻击。

StackOverflow会做什么?

1 个答案:

答案 0 :(得分:2)

TomJones999 - 正如评论中所提到的那样,这对您来说是一个安全问题。这么多URL请求的原因是因为它很可能是一个遍历许多URL请求的脚本,其中包含SQL并且脚本/黑客正在尝试进行侦察并查找您的站点/页面是否容易受到SQL的影响注入攻击,或者,因为他们可能已经知道您正在使用的电子商务站点(和版本),他们可能打算利用此SQL注入尝试利用已知漏洞并实现一些恶意结果(数据库访问,数据转储等) )。

我会做的一些事情:

  • 确保您的OpenCart是最新的并且已应用所有最新的修补程序
  • 如果它是最新的,可能值得在论坛或OpenCart版主中提出,以防攻击者追踪他发现的弱点,但OpenCart尚未推出补丁。
  • 您可以立即尝试禁用攻击者的IP地址,但很可能他们将使用多个不同的IP地址并通过它们进行轮换。我可能会建议调查ModSecurity或fail2ban(https://www.fail2ban.org/)。在这些情况下,Fail2Ban可以成为一个很好的安全补充,因为有几种方法可以动态地“动态”安装。阻止这次袭击企图。
    • fail2ban可以观察到短时间内过多的404错误,然后fail2ban可以禁止导致所有这些错误的客户端
    • 此外,还有fail2ban filter for detecting attempted SQL injections因此禁止用户。例如,我快速搜索并发现这个fail2ban过滤器,对正则表达式进行了一些调整/改进/修复,检测到SQL注入。

我根本不关心"如何格式化"错误记录嘿......

关于您的代码(或OpenCart中的代码),您要确定的是所有用户提交的数据都是已清理(例如作为GET参数发送到您的服务器的数据)在你的情况下)。

此外,如果您对尝试的黑客感到不安,可能值得观看有关网站上提供的提要,因为针对数据库的攻击所产生的数据通常最终会出现在像pastebin等网站上,并且会尝试使用解析一些数据并识别这些黑客,以便您或您的用户至少可以了解并采取适当的措施。

祝你好运。

相关问题
最新问题