web-dev-qa-db-fra.com

Reçu "md5" dans les journaux d'accès

Dans notre serveur Apache, nous avons reçu environ 200 requêtes HTTP GET de la même IP et une chaîne commune dans chaque requête est "md5", par ex.

index.php?option=com_s5clanroster&view=s5clanroster&layout=category&task=category&id=-null%27+/*!50000UnIoN*/+/*!50000SeLeCt*/md5(3.1415),222--%20- HTTP/1.1

Quel type d'attaque pirate avait essayé ici, et devrais-je m'en inquiéter?

23
Pawan Patil

L'attaquant tente d'exploiter le composant Joomla appelé com_s5clanroster qui est vulnérable à l'injection SQL.

Une vulnérabilité d'injection SQL a été rapportée dans Joomla Com S5clanroster. Une exploitation réussie de cette vulnérabilité permettrait à un attaquant distant d'exécuter des commandes SQL arbitraires sur le système affecté.

https://www.checkpoint.com/defense/advisories/public/2014/cpai-2014-2169.html

Ce même composant était également vulnérable à LFI:

  [o] Exploit

       http://localhost/[path]/index.php?option=com_s5clanroster&view=[LFI]
       http://localhost/[path]/index.php?option=com_s5clanroster&controller=[LFI]

http://www.securityfocus.com/bid/395

Peut-être que ce composant n'est pas installé ou que vous exécutez un CMS différent, mais assurez-vous de vérifier que votre site Web est à jour. Et non seulement cela, vérifiez également si différents plugins sont toujours maintenus par l'auteur, car j'ai vu des plugins vulnérables sans mises à jour disponibles de l'auteur - et c'est considéré comme un gros problème.

Voici un autre exemple qui peut entraîner un autre problème: Le domaine expiré mène à WordPress Plugin Redirects

Pensez à utiliser ModSecurity (Pare-feu d'application Web Open Source). Comment faire?

40
Mirsad