Autore Topic: SQL injection ? (Letto 17909 volte)

Alex21 · « **il:** 29 Nov 2015, 13:31:41 »

Buongiorno e Buona Domenica,
Ho notato che il sito ha avuto una chiamata anomala stanotte. Questa qui:
http://sito.it/index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=&
type_id=&list[select]=polygon%28%28/*!00000select*/*/*!00000from*/%28/*!00000select*/*/*!00000from*/%28/*
!00000select*/concat_ws%280x7e3a,0x534b4f54494e4b494e,%28/*!00000select*/se

Non è la prima volta che arrivano cose simili, ma adesso ho provato a rifare la chiamata col browser e la schermata di risposta è questa:
Error: 500 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 5 SQL=SELECT polygon((/*!00000select*/*/*!00000from*/(/*!00000select*/*/*!00000from*/(/*!00000select*/concat_ws(0x7e3a,0x534b4f54494e4b494e,(/*!00000select*/se,uc.name AS editor FROM `vfkft_ucm_history` AS h LEFT JOIN vfkft_users AS uc ON uc.id = h.editor_user_id WHERE `h`.`ucm_item_id` = 0 AND `h`.`ucm_type_id` = 0 ORDER BY `h`.`save_date`

L' IP di provenienza è di un tedesco e invierò una lamentela. Che clienti ha?
Per quello che riguarda joomla, che è 3.4.4, il rapporto errori è settato su default, ma anche impostandolo su nessuno il messaggio di errore esce lo stesso. Il server dovrebbe essere impostato per non inviare messaggi d errore.

Non riesco a capire il vantaggio di spendere soldi per inviare chiamate falloppe di questo tipo per tutta la rete.
Ciao
Alex

trapanator · « **Risposta #1 il:** 29 Nov 2015, 15:28:14 »

bamba! aggiorna il sito! https://blog.sucuri.net/2015/10/joomla-sql-injection-attacks-in-the-wild.html

Alex21 · « **Risposta #2 il:** 29 Nov 2015, 18:06:51 »

Aggiornato.
Vediamo se arriva qualcosa d'altro .
Ciao

Alex21 · « **Risposta #3 il:** 30 Nov 2015, 11:40:08 »

Beh, ne arrivano ancora e si moltiplicano.
Adesso c'è uno che ha il punto di accesso in centro italia (H3G) 94.163.250.200, uno a Milano (H3G) 94.164.236.136, un francese (OVH) 2001:41d0:a:319e::

Alex21 · « **Risposta #4 il:** 30 Nov 2015, 14:32:49 »

Adesso ci prova anche con siti non joomla.
Questo qui è ancora della Lombardia. IP

62.19.52.231

[/size]

Una honeypot andrebbe bene.

[/size]

Ecco io penso che in questo forum ci sia qualcuno bravo a sufficienza da farne una bella da servire a questi fastidiosi, anche se sarà difficile da adoperare visto che sono quasi tutti ip dinamici.

[/size]

Ok, con questo post smetto sull' argomento, rischio di diventare noioso

[/size]

Ciao

[/size]

maicolstaip · « **Risposta #5 il:** 14 Dic 2015, 13:51:51 »

Ciao Alex21,
comincia ad installare questo che almeno ti salva da attacchi banali, non è una sicurezza assoluta ma ti da una buona mano a bloccare questi tipi di attacco
http://extensions.joomla.org/extension/marco-s-sql-injection

Ciao!

Alex21 · « **Risposta #6 il:** 14 Dic 2015, 15:50:34 »

Citazione da: maicolstaip - 14 Dic 2015, 13:51:51

Ciao Alex21,
comincia ad installare questo che almeno ti salva da attacchi banali, non è una sicurezza assoluta ma ti da una buona mano a bloccare questi tipi di attacco
http://extensions.joomla.org/extension/marco-s-sql-injection

Ciao!

Grazie per il suggerimento, lo installerò di sicuro. Al momento hanno smesso, rimane solo qualche . . . che cerca di leggere il configuration.php
Ciao

Autore Topic: SQL injection ? (Letto 17909 volte)

Alex21

SQL injection ?

trapanator

Re:SQL injection ?

Alex21

Re:SQL injection ?

Alex21

Re:SQL injection ?

Alex21

Re:SQL injection ?

maicolstaip

Re:SQL injection ?

Alex21

Re:SQL injection ?