1. дома
  2. Вопрос и ответ
  3. Попытка взлома, что они пытались сделать и как я могу проверить, преуспели ли они?

Попытка взлома, что они пытались сделать и как я могу проверить, преуспели ли они?

2011-03-01 3 views
3

Недавно я задал этот вопрос: Attempted exploit?Попытка взлома, что они пытались сделать и как я могу проверить, преуспели ли они?

Но, как я проверил журналы некоторые больше я узнал, что они делали еще некоторые вещи, и я чувствовал, что ему потребуется новый вопрос, чтобы охватить их все.

Прежде всего, у моего бревна есть парочка вековых журналов с сегодняшнего дня. Там должно быть несколько тысяч запросов за минуту.

Вопрос 1: Зарегистрированный IP-адрес был нашим хостом IP. Как они могли подделать это или сделать попытку взлома из своей сети через зараженный компьютер?

Вопрос 2: У меня есть вошедшего ошибка:

The state information is invalid for this page and might be corrupted.

Вошедший путь для этого был:

OurURL/?ctl00$ctl00$ctrlheadermenu$ctrlsearchbox$btnsearch=sã¶k&ctl00$ctl00$cp

Кроме того, я нашел это в трассировке стека:

The input is not a valid Base-64 string as it contains a non-base 64 character, more than two padding characters, or a non-white space character among the padding characters.

Что они пытались сделать с это?

Вопрос 3: Я также нашел запрос на эту страницу. Где они пытаются перечислить наш контент?

OurURL/nessus=<!--#exec cmd="dir"-->

Вопрос 4: Был также просьба thirl, который я нашел, чтобы быть попытка SQL-инъекции. Есть ли способ проверить, что они сделали? И что бы он сделал, если бы это было успешно?

OurURL/webresource.axd?'%2bconvert(varchar%2c0x7b5d)%2b'=1

Там, наверное, несколько тысяч заготовленная искали и пытались URLs, которые не существуют, но я не могу перечислить их все здесь.

источник

2011-03-01 Oskar Kjellin

ответ

2

Ответ 1: IP-адреса могут быть подделаны, хотя также возможно, что это зараженный внутренний компьютер делает это.

Ответ 2: Похоже, что если это атака, злоумышленник пытается найти уязвимости в вашем декодере base64.

Ответ 3: Да, они пытались получить список каталогов с помощью команды dir.

Ответ 4:convert(varchar,0x7b5d) возвращается 0x7b5d типа, отлитые в varchar. Без какого-либо контекста это на самом деле ничего не делает. Злоумышленник, возможно, пытался проверить, использовались ли имена переменных запроса непосредственно в SQL-запросах без санитарии. Сам тест не навредит.

источник

2011-03-01 11:18:55

+0

Пожалуйста, проверьте мои изменения на # 4 –

+0

Обновлен, чтобы отразить ваш новый вопрос. –

+0

Объявление.# 1 Да IP-адреса могут быть подделаны, однако, если они подделают исходный IP-адрес на IP-адрес вашего хоста, он никогда не получит ничего от своих запросов. Таким образом, на практике не имеет смысла обманывать его. Вы уверены, что не читаете IP-адрес назначения из своих журналов (т. Е. Собственный адрес)? Если нет, тогда у вас может быть серьезная проблема, так как «запросы» действительно поступают с вашего собственного хоста. –

Смежные вопросы

 Смежные вопросы