从日志看到网站在被人使用php攻击
最近升级了宝塔面板,看到新增了一个安全分析的功能,可以看到当前站点的日志分析情况。
从扫描结果来看,分xss、sql、php攻击等类型,简单看了一些这几种类型的分析,xss基本上都是一些正常数据,扫描日志也大致正常,只有php攻击这一项能清楚的看到有人在使用php注入代码攻击网站。
攻击的方式就是访问网站根目录下的后缀为php的地址,然后携带一些能实现代码注入代码的参数,个人分析是访问了一个www.dsiab.com 下的php地址,然后参数是一个能实现代码注入的表达式,而且还暴露了攻击者本身的网站地址,会请求攻击者网站的一个txt文件,然后会将txt内容注入到访问的地址文件中,最后达到目的。
而且奇怪的是这个请求的useragent从表面上看是百度的爬虫baiduspider,大概率应该是这个攻击者模拟了百度爬虫来访问,这个功能很多工具都能实现,如果不是的话就细思极恐了。
令人遗憾的是笔者的网站压根就是不php服务,所以无论访问的是什么php文件都是无效的,咱不吃这一套。
发表评论 (审核通过后显示评论):