Как этот пользователь изменил свой сервер [REMOTE_ADDR]?

Question

Я получаю сотни сообщений об ошибках последние несколько дней, похоже, что кто-то пытается взломать ограниченную часть моего сайта. Одним из механизмов безопасности, который мы используем, является блокировка на основе количества попаданий на каждый IP (т. Е. Если один IP-адрес попадает на эту страницу более чем раз в неделю).

Сообщение об ошибке содержит дамп сервера, и я вижу, как хакер пытается войти, изменив свой IP-адрес. И мне просто интересно ... как он это сделал ?!

В том числе здесь соответствующего сервера вары:

_SERVER dump: 
Array 
(
    [CLIENTIP] => 10.0.1.92 
    [HTTP_X_REQUESTED_WITH] => XMLHttpRequest 
    [HTTP_X_FORWARDED_FOR] => -1' OR 2+819-819-1=0+0+0+1 --, 104.196.143.54 
    [HTTP_X_FORWARDED_PORT] => 443 
    [HTTP_X_FORWARDED_PROTO] => https 
    [REMOTE_ADDR] => -1' OR 2+819-819-1=0+0+0+1 -- 
//etc 
) 

Answer 1

Если вы присмотритесь, пользователь вставил X-Forwarded-For Заголовок (HTTP_X_FORWARDED_FOR). Этот заголовок никогда не следует доверять при выходе извне, особенно для копирования его на REMOTE_ADDR (который обычно содержит IP-адрес хоста, напрямую подключающегося к вашему серверу).

Поэтому убедитесь, что ваш сервер удаляет этот заголовок и не копирует его в другое поле. Я не знаю вашу настройку, но, похоже, вы используете прокси (под вашим контролем) где-то в ландшафте. Кажется, что CLIENT_IP - это прокси IP (но это спекуляция без знания вашей точной настройки).

Этот прокси (или, скорее, первейшая система-я называю это интерфейс -Вот принимает подключения из Интернета), должны нести ответственность за выбрасывая заголовок и добавить его снова с адресом своего прямого клиента -из

1. это не может быть подделана злоумышленником (как они должны передать свой реальный IP на сервер для получения ответа), и
2. вы хотите, чтобы войти, что адрес в интерфейсе, после 1 .. переходы с внешнего сервера.

ТЛ; др: Атакующий передается заголовок, который обычно используется внутри доверенной установки, чтобы передать информацию о «запроса пути». Этот заголовок был принят вашей системой, и, похоже, запросы были получены из какого-то странного «IP».

Кроме того, они попробовали SQL-инъекцию, которая может использоваться для выполнения произвольных операторов в базе данных (если вы не разделяете команду и параметры должным образом). -1' OR 2+819-819-1=0+0+0+1 будет в определенном сценарии - приведет к запросу, возвращающему все результаты, поскольку он сводится к -1' OR 1=1, что всегда верно, если ваш запрос выглядит так: … WHERE foo = '-1' OR 1=1.