En nuestro servidor Apache, hemos recibido alrededor de 200 solicitudes HTTP GET de la misma IP y una cadena común en cada solicitud es "md5", por ejemplo,
index.php?option=com_s5clanroster&view=s5clanroster&layout=category&task=category&id=-null%27+/*!50000UnIoN*/+/*!50000SeLeCt*/md5(3.1415),222--%20- HTTP/1.1
¿Qué tipo de ataque ha intentado el pirata informático aquí, y debería preocuparme?
El atacante está intentando explotar el componente de Joomla llamado com_s5clanroster que es vulnerable a la inyección de SQL.
Se ha informado una vulnerabilidad de inyección SQL en Joomla Com S5clanroster. La explotación exitosa de esta vulnerabilidad permitir que un atacante remoto ejecute comandos SQL arbitrarios en el sistema afectado.
Ese mismo componente también era vulnerable a LFI:
[o] Exploit
http://localhost/[path]/index.php?option=com_s5clanroster&view=[LFI]
http://localhost/[path]/index.php?option=com_s5clanroster&controller=[LFI]
Tal vez no tenga ese componente instalado o tal vez esté ejecutando un CMS diferente, pero asegúrese de verificar que su sitio web esté actualizado. Y no solo eso, también verifique si el autor aún mantiene diferentes complementos, porque vi complementos vulnerables sin actualizaciones disponibles por parte del autor, y eso se considera un gran problema.
Aquí hay otro ejemplo que puede llevar a otro problema: Expirado El dominio lleva a las redirecciones del complemento de WordPress
Considere utilizar ModSecurity (Servidor de seguridad de aplicaciones web de código abierto). ¿Cómo?