Sc0undRel
@Sc0undRel

Можно ли защититься от этого вируса на сайте?

Сервер атакует какойто вирус. Не знаю где уязвимость. Сканировал антивирусом Aibolit, удалял вирусные файлы, но на следующий день они опять появляются.

Вот что я нашёл в логах:

91.134.248.211 - - [01/Dec/2018:00:02:46 +0200] "GET /differences.php?homework-help-anglo-saxons1111111111111%22%20UNION%20SELECT%20CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,81,45),CHAR(45,120,52,45,81,45),CHAR(45,120,53,45,81,45),CHAR(45,120,54,45,81,45),CHAR(45,120,55,45,81,45),CHAR(45,120,56,45,81,45),CHAR(45,120,57,45,81,45),CHAR(45,120,49,48,45,81,45),CHAR(45,120,49,49,45,81,45),CHAR(45,120,49,50,45,81,45),CHAR(45,120,49,51,45,81,45),CHAR(45,120,49,52,45,81,45),CHAR(45,120,49,53,45,81,45),CHAR(45,120,49,54,45,81,45),CHAR(45,120,49,55,45,81,45),CHAR(45,120,49,56,45,81,45),CHAR(45,120,49,57,45,81,45),CHAR(45,120,50,48,45,81,45),CHAR(45,120,50,49,45,81,45),CHAR(45,120,50,50,45,81,45),CHAR(45,120,50,51,45,81,45),CHAR(45,120,50,52,45,81,45),CHAR(45,120,50,53,45,81,45),CHAR(45,120,50,54,45,81,45),CHAR(45,120,50,55,45,81,45),CHAR(45,120,50,56,45,81,45),CHAR(45,120,50,57,45,81,45),CHAR(45,120,51,48,45,81,45),CHAR(45,120,51,49,45,81,45),CHAR(45,120,51,50,45,81,45),CHAR(45,120,51,51,45,81,45),CHAR(45,120,51,52,45,81,45),CHAR(45,120,51,53,45,81,45),CHAR(45,120,51,54,45,81,45),CHAR(45,120,51,55,45,81,45),CHAR(45,120,51,56,45,81,45),CHAR(45,120,51,57,45,81,45),CHAR(45,120,52,48,45,81,45),CHAR(45,120,52,49,45,81,45),CHAR(45,120,52,50,45,81,45),CHAR(45,120,52,51,45,81,45),CHAR(45,120,52,52,45,81,45),CHAR(45,120,52,53,45,81,45),CHAR(45,120,52,54,45,81,45),CHAR(45,120,52,55,45,81,45),CHAR(45,120,52,56,45,81,45),CHAR(45,120,52,57,45,81,45),CHAR(45,120,53,48,45,81,45)%20--%20/*%20order%20by%20%22as HTTP/1.1" 301 3557 "-" "-" (---)
91.134.248.211 - - [01/Dec/2018:00:02:46 +0200] "GET /differences.php?homework-help-anglo-saxons= HTTP/1.0" 301 699 "-" "Opera/9.27" (---)


Ктото запрашивает доступ к файлу differences.php ?? В корне сайта или где? Потому что в корне такого файла и вроде в других папках нет.
Плюс посмотрите в запросе еще какото SQL запрос идёт..
Это ведь как раз вирус работает?

Может быть что-нибудь посоветуете как отразить эту атаку?

Можно ли както защититься от таких внешних запросов на изменение в файлах, в базе?

При этом вот заметил и такой запрос, index.php то уже есть у меня на сервере, и ссылка ведёт на один из товаров на сайте, только урл модифицирован какойто инъекцией:

118.67.248.190 - - [30/Nov/2018:08:14:42 +0200] "GET /index.php?product_id=3573&route=product/product1111111111111'%20UNION%20SELECT%20CHAR(45,120,49,45,81,45)--%20%20 HTTP/1.1" 301 784 "-" "-" (---)
  • Вопрос задан
  • 226 просмотров
Пригласить эксперта
Ответы на вопрос 1
INPVLSA
@INPVLSA
Типо Full-Stack
На Stackoverflow поговаривают что это лишь проверка на возможность инъекции, с чем я и солидарен.

Просто не переживай за это, пиши корректные запросы к БД и все будет хорошо
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы