• 04-08-2014, 16:04:32
    #1
    merhaba

    kullandığım script in

    xammp localhost u belirli aralıklar ile block e oluyor
    bir saldırı olduğunu tahmin ediyordum fakat tesbit edemiyordum
    aklıma log kayıtlarına bakmak geldi ve

    log dosyası içinde baya miktarda.. ki bu kayıtlar db bloke olmadan önceki son kayıtlar oluyor
    -------------------
    174.143.245.119 - - [04/Aug/2014:09:50:01 +0300] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%6 3%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6 F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2 E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%6 4%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73% 3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69% 72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65% 70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69 %6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F %72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E %72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%6 5%6E%76%3D%30+%2D%6E HTTP/1.1" 404 1104
    37.58.51.210 - - [04/Aug/2014:10:13:35 +0300] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 346
    37.58.51.210 - - [04/Aug/2014:10:30:47 +0300] "GET /myadmin/main.php HTTP/1.0" 404 1105
    37.58.51.210 - - [04/Aug/2014:10:30:47 +0300] "GET /mysql/main.php HTTP/1.0" 404 1105

    37.58.51.210 - - [04/Aug/2014:10:34:25 +0300] "GET /phpmyadmin/index.php?lang=en-utf-8&convcharset=utf-8&collation_connection=utf8_general_ci&token=b00b8 f333bd1dedef9846c5069a7362a HTTP/1.1" 200 7540
    60.173.8.240 - - [04/Aug/2014:13:04:05 +0300] "GET /" 400 1027 "-" "-"
    82.221.105.7 - - [04/Aug/2014:14:51:08 +0300] "GET / HTTP/1.1" 302 -
    82.221.105.7 - - [04/Aug/2014:14:51:08 +0300] "GET /robots.txt HTTP/1.1" 404 1104
    ----------------------

    gibi kayıtlar var

    db de silinme yok. extra bir ver girişi yok ama script e erişildimi ?
    ama alınan bir bilgi varmı bilmek istiyorum

    bu konuda yönlendirme yapabilecek misiniz ?
  • 20-08-2014, 13:30:53
    #2
    174.143.245.119 - - [04/Aug/2014:09:50:01 +0300] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%6 3%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6 F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2 E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%6 4%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73% 3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69% 72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65% 70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69 %6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F %72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E %72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%6 5%6E%76%3D%30+%2D%6E HTTP/1.1" 404 1104
    burada cgi komutu çalıştırılmaya çalışılmış fakat 404 hatası almış,

    -dallow_url_include=on-dsafe_mode=off-dsuhosin.simulation=on-ddisable_functions=""-dopen_basedir=none-dauto_prepend_file=php://input-dcgi.force_redirect=0-dcgi.redirect_status_env=0-n
    daha çok cgi ve mysql açıklarına yönelik bir arama yapılmış anlaşılan scripte erişilmemiş

    fakat

    37.58.51.210 - - [04/Aug/2014:10:13:35 +0300] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 346
    burada anladığım kadarı ile bir dosya çalıştırılmış büyük ihtimal ile web dosyaları içerisindedir

    phpmyadmin yolunu değiştirir isen sıkıntı çıkacağını sanmıyorum,
    ek olarak scriptinin içerisine bağlantı dosyası var ise en başına vereceğim kodu yerleştir

    sql_injection_check();
    function sql_injection_check(){
    	$badwords = Array("--",";","'",'"',"INSERT", "DROP", "SELECT", "UPDATE", "DELETE", "drop", "insert", "select", "update", "delete", "WHERE", "where","exec","EXEC","procedure","PROCEDURE"); 
    
    	foreach($_REQUEST as $value) {
    		foreach($badwords as $word) {
    			if(substr_count($value, $word) == TRUE) {
    				die("SQL Injection denemesi tespit edildi!");
    				exit();
    			}
    		}
    	}
    }
    @tosunpasa