mysql - Apache 日志文件中的奇怪引荐来源网址 : empty string and what looks like MySQL code

Question

我已将我的日志文件读入 R，当我查看 referer 时，有一些奇怪的条目:

> logs <- read.table("logfile")
> referer <- data.frame(table(logs$referer))
> head(referer, 2)
Var1              Freq
1                  157
2             - 250290

Apache 使用破折号 (-) 来表示缺少的引荐来源网址。那是第 2 行。那么第 1 行中的空字符串 (``) 是什么意思？在我看来，只有当 Apache“忘记”将引用者写入日志文件时才会发生这种情况。

这是 157 个带有空 referer 字符串的条目之一(我已经匿名化了客户端 ip 和我的网站 URL):

173.244.xxx.xxx - - [17/Apr/2018:08:07:46 +0200] "GET /feeds/atom.xml HTTP/1.1" 200 18820 www.my-website.com "" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36; +collection@infegy.com" "-"

但最神秘的 referer 是这样的:

554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:280:"*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3 ...

我把最后的字符串剪掉了(它持续了相当长的时间)，因为我不知道它是否包含敏感信息。我有大约 20 次这样的 referer 访问，都来自同一个客户端 ip，其中大部分请求的资源在我的服务器上不存在，例如 //user.php 和 //cm.php.

在我看来，这些至少部分是 MySQL 查询。 a:2:{s:3:"num";s:459:" 是序列化数组的开头。我使用这种格式将来自 Web 表单的一些数据存储在 MySQL 数据库中。但是这个处理发生在服务器端并且永远不会发送到用户的浏览器。MySQL 查询如何最终成为引用者？我可以理解有人可能会尝试将 MySQL 代码输入到网络表单中，但这并不构成那部分推荐人的。

任何解释都会很好。

Answer 1

这是针对内部基础设施的攻击。许多组织使用集中式系统来获取日志，然后使用报告基础设施来支持查询日志。开发人员在设计安全系统方面相当糟糕，Referer 字段中的 SQL 正试图利用这一点。

攻击者还可以尝试在 Referer 字段中存储片段，然后将其用于其他类型的攻击。

只要您没有使用制作不当的软件来查询日志，就应该没问题。

这个 — https://resources.infosecinstitute.com/sql-injection-http-headers/ — 提供了一些进一步的信息。

此外，如评论中所述，请考虑用户 webreadr读取 Web 服务器日志文件。

而且，经过进一步审查，这似乎是攻击者团体发起的一场事件，他们试图破坏“Ecshop”内容管理系统 (https://github.com/SecWiki/CMS-Hunter/tree/master/Ecshop/ecshop2.x_code_execute)。如果您正在运行，您可能需要对您的服务器进行三次检查。