有關httpd log 檔中的IP

arcashui
個人積分：5分
文章編號：77177368

5分

樓主

2020-04-13 3:16

各位大大日安
事情是這樣子的
某天我發現資料庫有一些異常SQL 在跑, 然後呢, 我就想說不然查一下httpd 的log好了
看看該時段有什麼
ip 在做這事

一開log 完全呆住
192.168.0.1 - - [13/Apr/2020:02:39:11 +0800] "GET /Zgot.php?title=47'+%2f**%2f%2f**%2fuNiOn%2f**%2fAlL+%2f**%2f%2f**%2fsElEcT(%2f**%2f%2f**%2fsElEcT+%2f**%2f%2f**%2fuNhEx(%2f**%2f%2f**%2fhEx(%2f**%2f%2f**%2fcOnCaT(0x3f7e21,ifnull(mb_no,char(32)),0x3f3a21,ifnull(mb_name,char(32)),0x3f3a21,ifnull(mb_pwd,char(32)),0x3f3a21,ifnull(country,char(32)),0x3f3a21,ifnull(email,char(32)),0x3f3a21,ifnull(tel1,char(32)),0x3f3a21,ifnull(tel2,char(32)),0x3f3a21,ifnull(tel3,char(32)),0x3f7e21)))+%2f**%2f%2f**%2ffRoM+eh.mbst+%2f**%2f%2f**%2flImIt+70566,1),2,3,4,5,6,7,8+and+'1'='1 HTTP/1.1" 200 16907

開頭該記錄的ip 居然是我防火牆的
那外部呢???

不知道有那位大大能解在下的惑
感激不盡

2020-04-13 3:16 發佈

文章關鍵字 httpd log 檔中 IP

twu2

twu2
個人積分：735分
文章編號：77178380

735分

2樓

2020-04-13 8:54

是 log 裡全部 IP 都是 192.168.0.1 嗎? 如果是的話, 可能是分享器設定造成的 (理論上, 不過一般會拿出來賣的產品, 應該不會 NAT 只做一半, 造成這結果才對). 還是分享器有 proxy? 是透過 reverse-proxy 進到內部?
如果其它會出現非 192.168.0.1 (且非內部機器), 那就是你的分享器被入侵了.

slash410

slash410
個人積分：5281分
文章編號：77180333

5281分

3樓

2020-04-13 11:19

user不多的話

找些比較沒人的時段，然後httpd 跟 firewall兩邊log用時間做關聯

matchbox_han

matchbox_han
個人積分：178分
文章編號：77182738

178分

4樓

2020-04-13 14:15

我知道你的困擾，我也遇到過這樣的問題過
文中你提到是使用防火牆，那或許我當時獲得解決的方式對你有幫助
我是使用Forti的防火牆
在防火牆政策中，將啟用NAT的功能關閉後，從內部就可以抓到外部連進來的實體位置
而不是防火牆的位置
此功能於政策&物件==>政策=>IPV4
再在右方找到防火牆 / 網路選項 ==>啟用NAT 將此設為OFF即可
希望有幫到你，這鬼東西讓我傷腦筋的很...無法掌握外部連線的狀況

KimuraKouichi

KimuraKouichi
個人積分：3分
文章編號：77184893

3分

5樓

2020-04-13 16:55

看上去像SQL注入攻擊，資料庫有這些SQL在跑代表攻擊成功啦！

至於為何源IP是192.168.0.1，這應該是網絡設定的關係但沒資料在手不能很確定
查找方法就是跟其他大大說的一樣去防火牆或者相關的設備查看Log吧
正常情況下是有相關的日誌記錄，關聯一下應該可以查到是哪個外部IP

重點是你的PHP網頁某些地方可以讓別人跑SQL啦
快點修正相關程式碼，很危險滾來滾去

！