我有一个电子商务网站(建立在OpenCart 2.0.3.1上)。 使用保留 404 错误列表的 SEO 包插件,以便我们可以进行重定向。 截至几周前,我不断看到很多看起来甚至不像链接的 404:
- 999999.9//uNiOn//aLl/**/sElEcT 0x393133353134353632312e39
- 999999.9//uNiOn//aLl/**/sElEcT 0x393133353134353632312e39,0x393133353134353632322e39
- 999999.9//uNiOn//aLl/**/sElEcT 0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39
- 。依此类推,直到达到:
- 999999.9"//uNiOn//aLl/**/sElEcT 0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39,0x393133353134353632342e39,0x393133353134353632352e39,0x393133353134353632362e39,0x393133353134353632372e39,0x393133353134353632382e39,0x393133353134353632392e39,0x39313335313435363231302e39,0x3931
这不是一次发生,而是每个示例发生 30-50 次。在最新的 1600 年代报告中,这种混乱超过 404 行。
现在,我知道如何为"正常"断开的链接进行重定向,但是:
- a.) 我什至不知道如何格式化它。
- b.)我担心这可能是一次暴力黑客攻击。
StackOverflow会做什么?
TomJones999 - 正如评论中提到的(有点),这对您来说是一个安全问题。这么多URL请求的原因可能是因为它可能是一个脚本,它正在通过许多包含SQL的URL请求进行抨击,并且脚本/黑客试图进行侦察并查找您的网站/页面是否容易受到SQL注入攻击,或者,因为他们可能已经知道您正在使用的电子商务网站(和版本), 他们可能打算通过此SQL注入尝试利用已知漏洞并实现一些邪恶的结果(数据库访问,数据转储等)。
我会做的几件事:
- 确保您的OpenCart是最新的,并应用了所有最新的补丁程序
- 如果它是最新的,则可能值得在论坛或OpenCart版主中提出,以防攻击者正在追查他发现的弱点,但OpenCart尚未推出补丁。
- 您可以立即尝试禁止攻击者的 IP 地址,但他们很可能会使用几个不同的 IP 地址并在它们之间轮换。我可能会建议研究ModSecurity或fail2ban(https://www.fail2ban.org/)。在这些情况下,Fail2Ban 可以很好地增加安全性,因为它有几种方法可以"动态"阻止这种攻击尝试。
- fail2ban 可以在短时间内观察到过多的 404 错误,然后 fail2ban 可以禁止导致所有这些错误的客户端
- 此外,还有一个 fail2ban 过滤器,用于检测尝试的 SQL 注入并因此禁止用户。例如,我快速搜索并找到了这个 fail2ban 过滤器,对检测 SQL 注入的正则表达式进行了一些调整/改进/修复。
我根本不关心"如何格式化"该错误日志呵呵......
关于您的代码(或OpenCart中的代码),您要确保的是所有用户提交的数据都经过净化(例如作为GET参数发送到服务器的数据,就像您的情况一样)。
此外,如果您对尝试的黑客攻击感到不安,可能值得查看haveibeenpwned网站上提供的提要,因为针对数据库的漏洞利用产生的数据通常最终会出现在pastebin等网站上,haveibeenpwned将尝试解析一些数据并识别这些黑客攻击,以便您或您的用户至少可以意识到并采取适当的措施。
祝你好运。