Недавно я переключил свой хостинг-сервер на AWS. и вначале все работало нормально, но в последнее время я столкнулся с проблемами с моим сервером, которые несколько раз выходили из строя.
Я внимательно следил за ним и узнал, что загрузка процессора несколько раз достигает 100%, и каждый раз мне нужно перезапускать свой экземпляр.
Итак, я проверил журнал доступа и журналы ошибок и, похоже, на моем сервере происходят взломы. Пожалуйста, посмотрите ниже журналы моего файла журнала ошибок:
[Wed Sep 23 14:25:56.081268 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1' OR 2+20-20-1=0+0+0+1 or 'Q2fRfUkq'='
[Wed Sep 23 14:25:56.122526 2015] [:error] [pid 18780] [client 193.0.***.***:59939] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: @@EKtcl
[Wed Sep 23 14:25:56.365583 2015] [:error] [pid 18788] [client 193.0.***.***:59930] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1" OR 2+392-392-1=0+0+0+1 --
[Wed Sep 23 14:25:56.663520 2015] [:error] [pid 18786] [client 193.0.***.***:59908] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: if(now()=sysdate(),sleep(9),0)/*'XOR(if(now()=sysdate(),sleep(9),0))OR'"XOR(if(now()=sysdate(),sleep(9),0))OR"*/
[Wed Sep 23 14:25:56.994941 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: (select(0)from(select(sleep(9)))v)/*'+(select(0)from(select(sleep(9)))v)+'"+(select(0)from(select(sleep(9)))v)+"*/
Теперь я вижу, что он пытается получить доступ к несуществующему файлу и добавляет SQL-инъекции, и невероятные вещи - это его работа, он использует мой процессор до 100%, а служба mysql использует здесь 90%.
Так как это предотвратить, пожалуйста, помогите мне в том же.
Его доступ к mysql здесь, так что это происходит? Как мы видим, custom.php недоступен, тогда как они запускают запросы mysql на сервере?
И самое главное - хакерский взлом через curl или post script, но не на моей машине вообще
с учетом этого кода, похоже, это автоматическая попытка опробовать общие шаблоны для SQL-инъекции. вот почему происходит интенсивное использование процессора. Это не означает, что атака на этом уровне успешна.
Заметили ли вы поврежденные данные в своей БД или заметили странное поведение вашего php-приложения?
Чтобы этого избежать:
проверьте в своем приложении php, как sql управляется в вашем коде php. НИКОГДА не разрешайте php-коду напрямую манипулировать командами SQL. Используйте функции, очистите свои URL-адреса и создайте POST. В таком случае можно расслабиться.
Найдите способ занести этот вид деятельности в черный список. Я имею в виду софт, который проверяет ваши логи и блокирует IP. Установите IDS, например, SNORT.
Простым решением будет установка артиллерии. Это простая приманка, которая заносит в черный список автоматические попытки на основе поддельных портов. Вы можете найти хорошее обучение на https://www.digitalocean.com/community/tutorials/how-to-set-up-an-artillery-honeypot-on-an-ubuntu-vps и артиллерийское репо на https://github.com/trustedsec/artillery . Я использовал это решение для некоторых клиентов, оно эффективно и просто.