Joomla.it Forum

Non solo Joomla... => Sicurezza => : Alex21 29 Nov 2015, 13:31:41

: SQL injection ?
: Alex21 29 Nov 2015, 13:31:41

Buongiorno e Buona Domenica,
Ho notato che il sito ha avuto una chiamata anomala stanotte. Questa qui:
http://sito.it/index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=&
type_id=&list[select]=polygon%28%28/*!00000select*/*/*!00000from*/%28/*!00000select*/*/*!00000from*/%28/*
!00000select*/concat_ws%280x7e3a,0x534b4f54494e4b494e,%28/*!00000select*/se


Non è la prima volta che arrivano cose simili, ma adesso ho provato a rifare la chiamata col browser e la schermata di risposta è questa:
Error: 500 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 5 SQL=SELECT polygon((/*!00000select*/*/*!00000from*/(/*!00000select*/*/*!00000from*/(/*!00000select*/concat_ws(0x7e3a,0x534b4f54494e4b494e,(/*!00000select*/se,uc.name AS editor FROM `vfkft_ucm_history` AS h LEFT JOIN vfkft_users AS uc ON uc.id = h.editor_user_id WHERE `h`.`ucm_item_id` = 0 AND `h`.`ucm_type_id` = 0 ORDER BY `h`.`save_date`


L' IP di provenienza è di un tedesco e invierò una lamentela. Che clienti ha?
Per quello che riguarda joomla, che è 3.4.4, il rapporto errori è settato su default, ma anche impostandolo su nessuno il messaggio di errore esce lo stesso. Il server dovrebbe essere impostato per non inviare messaggi d errore.


Non riesco a capire il vantaggio di spendere soldi per  inviare chiamate falloppe di questo tipo per tutta la rete.
Ciao
Alex

: Re:SQL injection ?
: trapanator 29 Nov 2015, 15:28:14

bamba! aggiorna il sito! https://blog.sucuri.net/2015/10/joomla-sql-injection-attacks-in-the-wild.html

: Re:SQL injection ?
: Alex21 29 Nov 2015, 18:06:51

Aggiornato.
Vediamo se arriva qualcosa d'altro .
Ciao

: Re:SQL injection ?
: Alex21 30 Nov 2015, 11:40:08

Beh, ne arrivano ancora e si moltiplicano.
Adesso c'è  uno che ha il punto di accesso in centro italia (H3G) 94.163.250.200, uno a Milano (H3G) 94.164.236.136, un francese (OVH)     2001:41d0:a:319e::

: Re:SQL injection ?
: Alex21 30 Nov 2015, 14:32:49

Adesso ci prova anche con siti non joomla.
Questo qui è ancora della Lombardia. IP 

62.19.52.231

[/size]

Una honeypot andrebbe bene.

[/size]

Ecco io penso che in questo forum ci sia qualcuno bravo a sufficienza da farne una bella da servire a questi fastidiosi, anche se sarà difficile da adoperare visto che sono quasi tutti  ip  dinamici.

[/size]

Ok, con questo post smetto sull' argomento, rischio di diventare noioso

[/size]

Ciao

[/size]

: Re:SQL injection ?
: maicolstaip 14 Dec 2015, 13:51:51

Ciao Alex21,
comincia ad installare questo che almeno ti salva da attacchi banali, non è una sicurezza assoluta ma ti da una buona mano a bloccare questi tipi di attacco
http://extensions.joomla.org/extension/marco-s-sql-injection

Ciao!

: Re:SQL injection ?
: Alex21 14 Dec 2015, 15:50:34

: maicolstaip  14 Dec 2015, 13:51:51

Ciao Alex21,
comincia ad installare questo che almeno ti salva da attacchi banali, non è una sicurezza assoluta ma ti da una buona mano a bloccare questi tipi di attacco
http://extensions.joomla.org/extension/marco-s-sql-injection (http://extensions.joomla.org/extension/marco-s-sql-injection)

Ciao!

Grazie per il suggerimento, lo installerò di sicuro. Al momento hanno smesso, rimane solo qualche . . .  che cerca di leggere il configuration.php
Ciao