Недавно я проверил свой домлог Apache и заметил следующую атаку:
POST /index.php?page=shop.item_details&cat_id=150&flp=flp_images.tpl&prod_id=9191&vmcchk=1&option=com_vm&Itemid=999999.9)+%2f**%2fuNiOn%2f**%2faLl+%2f**%2fsElEcT+0x393133359144353632312e39,0x393133358134383632322e39...
что является очевидной попыткой SQL-инъекции. Это происходило около 3000 раз с одного и того же IP-адреса. Теперь я мог бы занести этот IP-адрес в черный список, но есть ли какие-то более эффективные правила, которые помогут предотвратить подобные вещи на стороне сервера?
На этом сервере работает CentOS 6.4.
Сообщество, база основное правило набор в комплекте с modsecurity будет обнаруживать и блокировать эти запросы на основе строки (например, если она содержит select, union и from) или в соответствии с оценками, частотой и т. д. Зависит от того, как вы хотите ее настроить.
Пример файла: https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/master/base_rules/modsecurity_crs_41_sql_injection_attacks.conf