我最近问了这个问题: Attempted exploit?
但是当我检查日志时,我发现他们已经做了更多的东西,我觉得需要一个新的问题来覆盖所有这些。
首先,我的日志有一些今天的日志。每分钟肯定有几千个请求。
问题1: 记录的IP是我们的主机IP。他们怎么可能欺骗这个或者黑客企图是通过受感染的计算机来自他们的网络?
问题2: 我有一个记录错误:
状态信息无效 此页面可能已损坏。
此记录的路径为:
OurURL/?ctl00$ctl00$ctrlheadermenu$ctrlsearchbox$btnsearch=sã¶k&ctl00$ctl00$cp
另外,我在堆栈跟踪中找到了这个:
输入不是有效的Base-64字符串,因为它包含非基数64 字符,两个以上的填充 字符或非空格 填充中的字符 字符。
他们试图用这个做什么?
问题3: 我还发现了对此页面的请求。他们试图列出我们的内容?
OurURL/nessus=<!--#exec cmd="dir"-->
问题4: 还有一个请求thirl,我发现这是一个尝试SQL注入。有没有办法检查他们做了什么?如果它成功了怎么办?
OurURL/webresource.axd?'%2bconvert(varchar%2c0x7b5d)%2b'=1
可能有几千个已记录的搜索和尝试的网址不存在,但我无法在此列出所有网址。
答案 0 :(得分:2)
答案1: IP地址可能会被欺骗,但也可能是受感染的内部计算机会这样做。
回答2:如果这是攻击,攻击者似乎试图在你的base64解码器中找到漏洞。
回答3:是的,他们试图使用dir命令获取目录列表。
答案4: 攻击者可能一直试图测试查询变量名是否直接在SQL查询中使用,而没有消毒。测试本身没有坏处。convert(varchar,0x7b5d)将0x7b5d类型广告投放回varchar。没有任何上下文,这实际上没有做任何事情。