Можно ли защититься от этого вируса на сайте?

Question

[Влад]

Сервер атакует какойто вирус. Не знаю где уязвимость. Сканировал антивирусом Aibolit, удалял вирусные файлы, но на следующий день они опять появляются.

Вот что я нашёл в логах:

91.134.248.211 - - [01/Dec/2018:00:02:46 +0200] "GET /differences.php?homework-help-anglo-saxons1111111111111%22%20UNION%20SELECT%20CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,81,45),CHAR(45,120,52,45,81,45),CHAR(45,120,53,45,81,45),CHAR(45,120,54,45,81,45),CHAR(45,120,55,45,81,45),CHAR(45,120,56,45,81,45),CHAR(45,120,57,45,81,45),CHAR(45,120,49,48,45,81,45),CHAR(45,120,49,49,45,81,45),CHAR(45,120,49,50,45,81,45),CHAR(45,120,49,51,45,81,45),CHAR(45,120,49,52,45,81,45),CHAR(45,120,49,53,45,81,45),CHAR(45,120,49,54,45,81,45),CHAR(45,120,49,55,45,81,45),CHAR(45,120,49,56,45,81,45),CHAR(45,120,49,57,45,81,45),CHAR(45,120,50,48,45,81,45),CHAR(45,120,50,49,45,81,45),CHAR(45,120,50,50,45,81,45),CHAR(45,120,50,51,45,81,45),CHAR(45,120,50,52,45,81,45),CHAR(45,120,50,53,45,81,45),CHAR(45,120,50,54,45,81,45),CHAR(45,120,50,55,45,81,45),CHAR(45,120,50,56,45,81,45),CHAR(45,120,50,57,45,81,45),CHAR(45,120,51,48,45,81,45),CHAR(45,120,51,49,45,81,45),CHAR(45,120,51,50,45,81,45),CHAR(45,120,51,51,45,81,45),CHAR(45,120,51,52,45,81,45),CHAR(45,120,51,53,45,81,45),CHAR(45,120,51,54,45,81,45),CHAR(45,120,51,55,45,81,45),CHAR(45,120,51,56,45,81,45),CHAR(45,120,51,57,45,81,45),CHAR(45,120,52,48,45,81,45),CHAR(45,120,52,49,45,81,45),CHAR(45,120,52,50,45,81,45),CHAR(45,120,52,51,45,81,45),CHAR(45,120,52,52,45,81,45),CHAR(45,120,52,53,45,81,45),CHAR(45,120,52,54,45,81,45),CHAR(45,120,52,55,45,81,45),CHAR(45,120,52,56,45,81,45),CHAR(45,120,52,57,45,81,45),CHAR(45,120,53,48,45,81,45)%20--%20/*%20order%20by%20%22as HTTP/1.1" 301 3557 "-" "-" (---)
91.134.248.211 - - [01/Dec/2018:00:02:46 +0200] "GET /differences.php?homework-help-anglo-saxons= HTTP/1.0" 301 699 "-" "Opera/9.27" (---)

Ктото запрашивает доступ к файлу differences.php ?? В корне сайта или где? Потому что в корне такого файла и вроде в других папках нет.
Плюс посмотрите в запросе еще какото SQL запрос идёт..
Это ведь как раз вирус работает?

Может быть что-нибудь посоветуете как отразить эту атаку?

Можно ли както защититься от таких внешних запросов на изменение в файлах, в базе?

При этом вот заметил и такой запрос, index.php то уже есть у меня на сервере, и ссылка ведёт на один из товаров на сайте, только урл модифицирован какойто инъекцией:

118.67.248.190 - - [30/Nov/2018:08:14:42 +0200] "GET /index.php?product_id=3573&route=product/product1111111111111'%20UNION%20SELECT%20CHAR(45,120,49,45,81,45)--%20%20 HTTP/1.1" 301 784 "-" "-" (---)

Comments

[Алексей Николаев]

Наглядное руководство на тему "что будет, если не использовать PDO"

[Влад]

а что это? оно у меня не используется?

Answer 1

[Vladislav Marudenko]

На Stackoverflow поговаривают что это лишь проверка на возможность инъекции, с чем я и солидарен.

Просто не переживай за это, пиши корректные запросы к БД и все будет хорошо

Comments

[Влад]

я правильно понимаю, что чтобы убедиться, что при такой проверке не былаа найдена инъекция, то надо просто открыть на своём сайте страницу
/index.php?product_id=3573&route=product/product1111111111111'%20UNION%20SELECT%20CHAR(45,120,49,45,81,45)--%20%20

и убедиться, что по ссылке или 404 ошибка открывается или редиректит на правильный урл?

[Vladislav Marudenko]

Влад, по сути да, если на странице с таким запросом ничего нет( я в плане результатов извлечения из БД), либо редиррект, то все ок, насколько мне известно