Forum PHP.pl > Atak na stronę....

Pomoc - Szukaj - Użytkownicy - Kalendarz

faran

8.03.2010, 11:31:31

Witam,
Od kilku miesięcy prowadzę stronę na której ruch jest dość znikomy bo na dobę odwiedza ją 100 osób wyświetleń około 2000-3000. Przed momentem patrze w logi i widzę, że liczba wyświetleń bardzo rośnie....
Podpiąłem skrypt monitorujący ruch na stronie i kawałek niżej zamieszczam:

Kod

08.03.10 10:25:00 - data zapytania

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
173.74.100.243 - adres ip z ktorego zapytanie
-------------
08.03.10 10:25:02 - data zapytania

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
217.219.138.2 - adres ip z ktorego zapytanie
-------------
08.03.10 10:25:19

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
217.219.138.2
-------------
08.03.10 10:25:24

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
188.73.170.251
-------------
08.03.10 10:25:31

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
188.73.170.251
-------------
08.03.10 10:25:33

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
94.222.57.90
-------------
08.03.10 10:25:35

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
188.73.170.251
-------------
08.03.10 10:25:37

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
94.222.57.90
-------------
08.03.10 10:25:37

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
188.73.170.251
-------------
08.03.10 10:25:39

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
94.222.57.90
-------------
08.03.10 10:25:41

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
188.73.170.251
-------------
08.03.10 10:25:43

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
94.222.57.90
-------------
08.03.10 10:25:46

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
94.222.57.90
-------------
08.03.10 10:25:48

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
203.177.58.226
-------------
08.03.10 10:25:49

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
94.222.57.90
-------------
08.03.10 10:25:54

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
203.177.58.226
-------------
08.03.10 10:25:56

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
201.160.5.36
-------------
08.03.10 10:26:04

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
203.177.58.226
-------------
08.03.10 10:26:07

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
201.160.5.36
-------------

Każde zapytanie kierowane jest na inną podstronę.... Godzina 11:30, a strona ma ponad 100 000 wyświetleń...
Da się przed czymś takim uchronić ?. Strona stoi na perso w ovh i przypuszczam, że z powodu dużego ruchu może zostać zablokowana, a może hosting w ovh już widział takie rzeczy i jakoś się zabezpiecza ?....

blooregard

8.03.2010, 11:39:16

Cytat

203.177.58.226 = TechGrowth Global Proxy Server

Nie chcę Cię martwić, ale to wygląda na zautomatyzowany atak jakiegoś bota, wyszukującego luki w serwisach internetowych, który korzysta z proxy, by ukryć swoje prawdziwe pochodzenie (tzn. z jakiego IP faktycznie jest wywoływany).

Sprawdziłem też kilka innych adresów z tej listy i np. jeden pochodzi z USA, jeden z Azerbejdżanu.

Jeśli masz dostęp do logów z MySQL, zobacz, jakie zapytania są wywoływane.

faran

8.03.2010, 11:48:37

Adresy Ip to chyba cały świat bo jest i Izrael, Chiny, Korea....
Ataki typu sql ingetion raczej nie są zagrożeniem bo strona nie korzysta z mysql. 99% zapytań/wywołań to są oryginalne adresy url z jakich składa się strona, a 1-3% to typu: /index.php?page=http://*********/images?
Stronę starałem się zabezpieczyć aby przez zapytanie typu GET i POST nie dało się uruchomić żadnego skryptu i mam nadzieje że się udało, choć pewnie takie rzeczy to wychodzą w praniu. Bardziej się boje, że ovh zablokuje hosting.

blooregard

8.03.2010, 11:57:20

Cytat

a 1-3% to typu: /index.php?page=http://*******/images?

Czyli bot sprawdza podatność na RFI (Remote File Include - dołączanie zdalnego pliku do kodu strony), co może być wstępem do kolejnych prób (XSS i pochodne).

Zresztą, jak wejdziesz pod adres http://*******/images? (tylko ostrooożnie

), sam się przekonasz, o co chodzi (pewnie o wstawienie do kodu Twojej strony ukrytej ramki przekierowującej na ten adres, albo coś w tym stylu).

Proponuję skontaktować się z administratorami OVH i przedstawienie im problemu, wraz z zarejestrowanymi przez Ciebie logami. Sam nic nie zrobisz, niestety.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.