公告:openGPS.cn于2019.4.6号遭遇一次SQL攻击

[openGPS.cn] 季雨林 2019/5/3 23:54:53

想了想还是决定把本文公开发布出来。相信本文可以被攻击者看到。因为本站已经分析出攻击者的一些特征,可以组合出一部分数据!根据这部分信息分析得出结论,本站应该是2个弱点被组合利用导致了这次防护不到位,被攻击者看到一个博客数据库备份。


致攻击者:

2019-04-06 19:55:53,你的这个攻击行为成功

2019-04-06 13:14:08,你开始下载本站博客所在库,用了2台机器花了1个多小时

首先你的愚蠢行为,已经将你的位置特征,范围缩小到一公里以内

其次你拿到的数据,仅仅是博客文章之类的数据。对你本人毫无价值可言,尤其是占据90%的200多兆网站报错日志文件。

最后说下,本站早就声明仅仅是个技术研究用途,位置服务平台开发才是这个站点的本意所在,这里应该没有你想要的涉及隐私的部分。你拿到的仅仅是博客所在数据库,而这些这些数据本身就属于公开数据。

第一个是本站的早期没约束登录权限测试脚本的运行命令行页面被意外扫描到。排除DDOS恶意发泄型攻击,你是第二个能成功攻击到本站的。

你的成功注入环节还是引起了我的注意。你的攻击手法还算高明,找到了一个很不容易找到的漏洞。我倒是希望沟通一下你是怎么具体发现本站这个漏洞的。


致其他读者:

各位站长朋友:不是查到了的攻击才叫攻击!正如能平安返回的战机上的弹孔都不是致命弹孔。

虽然本文能够认为这是第二次被成功运行的攻击,但是并不代表这真的只是第二次被执行了攻击命令。本站自认为防范措施做的还行,有以下几个简单原因:

1,本站站长从事服务器运维相关工作已经超过5年,虽然不是专业运维,但也略知一二,基础防护还是有的

2,本站服务器功能非常单一,运行这一个网站只开放80和443业务端口。在阿里云安全组功能和操作系统内部的防火墙都做了配置。

3,阿里云的云盾控制台,已经过滤提醒了一些“大众型”的攻击特征。openGPS.cn网站关注并自我调整过。

4,openGPS.cn网站开发过程尽量避免使用公众流行的框架模版,为了编程的提升几乎全部代码都是自己手敲而成。这一简单的做法无招胜有招,避免了绝大部分的扫描渗透注入工具

5,openGPS.cn在设计的时候做了数据库职责划分。就像本次攻击,攻击者只看到了一个博文数据库的备份文件。




原文地址: https://www.opengps.cn/Blog/View.aspx?id=332 文章的更新编辑依此链接为准。欢迎关注源站原创文章!

评论

暂无评论!

发表评论:

用于接收作者回复信息
点击更换验证码 - openGPS提示

AD