¿Qué tipo de ataque es este?

Question

¿Qué tipo de ataque es este?

#1 de Cyril (4 votos)
#2 de wcypierre (3 votos)

1

La semana pasada, mis registros de tráfico muestran muchos resultados (generalmente con intentos repetidos) para una URL de quizás más de 30 direcciones IP diferentes en todo el mundo. Esta no es una URL que debe acumular más de un solo hit y solo debe accederse a ella a través de un enlace desde una página que contiene rel="nofollow" . La URL llama a una página PHP cuyo único propósito es redirigir a otros sitios web en función del parámetro de consulta id= . La URL de la página es

mywebsite.com/linkredirect.php?id=434&site=www.creative-science.org.uk

El enlace anterior también se ha mostrado en los registros en otras formas:

/linkredirect.php?site=www.ausetute.com.au&id=266%25%27/**/aND/**/%278%25%27%3D%273
.. there were about 50 different iterations of this - which is attempting sql injection - but I can't figure out the purpose of it.

/linkredirect.php?id=434&site=www.premieresurgical.com
... this is an invalid link - the id=434 is valid but the "site=" query is invalid

Participo en Project Honeypot y algunas de las solicitudes son Sospechosas & Comentar Spammer.

El agente de usuario parece ser siempre:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/536.28.10 (KHTML, like Gecko) Version/6.0.3 Safari/536.28.10
 ... or something similar

Tal vez no relacionado, mi registro de errores muestra dos intentos de lo que parece un intento de acceso al acceso a uno de mis directorios

[Tue Mar 04 21:32:12 2014] [error] [client 199.21.99.113] Directory index forbidden by Options directive: /home/myusername/public_html/

¿Qué tipo de ataque es este y cuál es el propósito? ¿Por qué molestarse con repetidos intentos al mismo enlace? ¿Mi uso de id= como parámetro de consulta es una invitación para que código malicioso intente explotar?

sql-injection

pregunta mseifert 05.03.2014 - 07:24

fuente

2 respuestas

3

Probablemente, solo el escáner o el propio atacante es el que usa Google Dork y encontró su sitio, por lo que el atacante intentará encontrar vulnerabilidades en él.

Si los patrones de ataque se repiten, lo más probable es que sea un escáner.

Creo que el Google Dork que se usa sería similar o igual a este: tipo de archivo: php inurl: ". php? id="

Para responder a su pregunta, el parámetro "id" es bastante común, como puede ver here

Para las diferentes direcciones IP, probablemente esté usando un programa proxy que cambia el proxy cada "n" minutos para evitar bloqueos de su WAF (si tiene uno).

En cuanto a esta pregunta:

[Mar 04 de marzo 21:32:12 2014] [error] [cliente 199.21.99.113] Directorio índice prohibido por la directiva de Opciones: / home / myusername / public_html /

Es simplemente un error que se mostrará en su registro de errores cuando la lista de directorios esté deshabilitada en una carpeta en particular y alguien intente acceder a esa carpeta sin especificar un archivo dentro de esa carpeta (site.com/folder - forbidden, site. com / carpeta / archivo - válido). Se usa principalmente para impedir que otros usuarios vean la lista de archivos y carpetas en esa ruta en particular, por lo que el atacante no podrá probar las vulnerabilidades en los archivos de esa carpeta, a menos que el atacante obtenga el nombre de archivo de un archivo. dentro de esa ruta (lo que se puede obtener a través de brute forcing de nombre de archivo, pero generalmente es solo para archivos que son comunes como index.php y similares).

respondido por el wcypierre 05.03.2014 - 15:53

fuente

Lea otras preguntas en las etiquetas sql-injection

¿Puedo confiar en los datos de perfil que me envió un proveedor de autenticación de terceros? algoritmo hash sin ASIC

score 4 · Accepted Answer

Parece que alguien quiere probar su sitio para detectar fallas de seguridad.

Como dijiste

linkredirect.php? site = www.ausetute.com.au & id = 266% 25% 27 / / aND / /% 278% 25% 27% 3D% 273

es definitivamente un intento de inyección SQL, %25%27%278%25%27%3D%273 es un valor hexadecimal para %''8%'='3 . Puede intentar descodificar toda la solicitud en el formulario al final de esta página .

Algunos atacantes usan el motor de búsqueda para encontrar nombres de parámetros interesantes, el uso de Google para estas técnicas se conoce como Google Dorks. Si recorres las primeras entradas de esta lista , puedes saber hasta qué punto el parámetro id puede atraer a los atacantes. El uso de un nombre de parámetro diferente podría ayudarlo a estar alejado de los robots / atacantes que usan la técnica mencionada anteriormente.