通过 url 进行 PHP 攻击 [关闭]

Question

我的网站最近遭到攻击，在日志中我发现了一些请求，例如：

我在我的根目录中发现了一些可疑的文件和文件夹，并且有人在主页上写了“你被黑了”。

其中一个文件夹是“lentenfish” 有像 "sql.php" , "cof.pl" , ".htaccess" ,"jen.jeen" 之类的文件

mysite.com/view_news.php?id=-999.9 UNION ALL SELECT 0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536 - 强>

和

/?

和

/?ho+{COMPLETE_VERSION}

和

/admin/?email=../admin/noop.cgi?foo=bar&test=blah

和

/admin/?password=../../../../../../../../windows/win.ini

还有更多:(

我不知道问题出在哪里以及如何解决。

我的网站是用php编写的，后端是MySql。

所以请帮我解决这个问题。

谢谢！

Answer 1

第一个是SQL注入的尝试 第二个是窥探 XSS（Cross-Site-Scripting）漏洞。 第三个不确定，但其他看起来像是在窥探管理员密码。

您可能只想了解服务器和浏览器的安全性。这可能是一种自动攻击，但请务必注意这些问题。

Answer 2

黑客使用一种称为远程文件包含的技术将代码注入到您页面的动态包含中。您的 view_news.php 文件可能包含一个不会“排除”您不希望人们查看的任何内容的包含。列出允许包含在 view_news.php 中的所有页面，如果使用其他任何内容，则什么也不做。

Answer 3

这没有问题。它表明自动扫描器正试图在标准安装位置使用 PHP 应用程序中的众所周知的错误来查找问题。是什么让你觉得有问题？

Answer 4

你知道是否造成了任何实际损害吗？

在我看来，这似乎是所谓的模糊测试，攻击者使用脚本自动扫描可能存在的漏洞，以期获得好运。如果是这种情况，您实际上并没有什么特别的担心，即使您应该使用安全的代码实践来避免成功的攻击。

脚本是你自己写的吗？如果没有，请尝试升级到最新版本。如果是，请了解不同类型的漏洞以保护自己免受攻击。

Answer 5

您首先需要找出哪些请求实际上导致您的网站被黑客入侵。脚本小子使用自动化程序尝试使用已知漏洞侵入网站。因此，在您的日志中看到这些类型的请求是很常见的。如果你被黑了，那么你需要找出哪个请求是负责任的，哪些请求只是没有成功的自动化测试。