ブログ - 長時間SQLインジェクション攻撃を受けた - Havijが使われた件-
寝ようかと思っていたら,サーバのファンが高音でウナっているので状況を確認.

HTTPD数が最大アクセスになっていた.Webアクセスログ数を確認するとこんな感じ.

13時間もアクセスを続けているのは異常.
グリーンが総アクセス数で,ブルーのラインがそのうちの検索エンジンのボットでは無いアクセス.つまり大量の通常アクセスが増えていることが判明.この時点では,お行儀の悪い新興の検索エンジンでもできたのか?程度の印象.
普段はボットが半分・・・
サーバのプロセスをみると,MySQLのCPU使用率が高く,HTTPDを再起動してもおさまらない.原因を探るべく,Webアクセスログを見てみると...

当サイトのサイトマップに関係なく,SQLインジェクションが実行されていることが判明.CHAR()関数で偽装しているけれど,ASCIIコードで直すとR3dm0v3_hvj_injectionという文字が出てきた.
R3dm0v3_hvj_injectionで調べると,ちょっと古いYahoo!知恵袋で,徳丸氏が答えている記事が.
SQLインジェクションについて質問させてください。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10120751685
Havijというのはペルシャ語で「にんじん」のことらしいけれどイランの村の名前だとか.そしてもうちょっと調べると簡単にツールがでてきました.
Havij Download – Advanced Automated SQL Injection Tool
https://www.darknet.org.uk/2010/09/havij-advanced-automated-sql-injection-tool/
引用:
そしてこれ.
引用: なぜうちに目をつけたのか・・・そして長時間.意味のないアクセスを送り続ける.
わからない点も多いけれど,IPアドレスをチェックしてみました.

Microsoft Cloudを使っているということか.既に何ヵ国かから報告が上がっている模様.それも今月に入ってから.

ということで,追加で報告しておきました.すると,Abuse度合いが41%から48%に変わりました.

そして対策としてはネットワーク最上位のファイアウォールでrejectで対応.

HTTPD数が最大アクセスになっていた.Webアクセスログ数を確認するとこんな感じ.

13時間もアクセスを続けているのは異常.

グリーンが総アクセス数で,ブルーのラインがそのうちの検索エンジンのボットでは無いアクセス.つまり大量の通常アクセスが増えていることが判明.この時点では,お行儀の悪い新興の検索エンジンでもできたのか?程度の印象.
普段はボットが半分・・・
サーバのプロセスをみると,MySQLのCPU使用率が高く,HTTPDを再起動してもおさまらない.原因を探るべく,Webアクセスログを見てみると...

当サイトのサイトマップに関係なく,SQLインジェクションが実行されていることが判明.CHAR()関数で偽装しているけれど,ASCIIコードで直すとR3dm0v3_hvj_injectionという文字が出てきた.
R3dm0v3_hvj_injectionで調べると,ちょっと古いYahoo!知恵袋で,徳丸氏が答えている記事が.
SQLインジェクションについて質問させてください。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10120751685
Havijというのはペルシャ語で「にんじん」のことらしいけれどイランの村の名前だとか.そしてもうちょっと調べると簡単にツールがでてきました.
Havij Download – Advanced Automated SQL Injection Tool
https://www.darknet.org.uk/2010/09/havij-advanced-automated-sql-injection-tool/
引用:
これは完全に自動化されたSQLインジェクションツールであり、イランのセキュリティ会社であるITSecTeamによって配布されています。Havijという名前は、ツールのアイコンである「ニンジン」を意味します。
そしてこれ.
引用:
Havij は 2010 年に公開され、リリース以来、他のいくつかの自動 SQL インジェクション ツール (sqlmap など) が導入されました。しかし、Havijはまだアクティブであり、侵入テスターと低レベルのハッカーの両方によって一般的に使用されています。
わからない点も多いけれど,IPアドレスをチェックしてみました.

Microsoft Cloudを使っているということか.既に何ヵ国かから報告が上がっている模様.それも今月に入ってから.

ということで,追加で報告しておきました.すると,Abuse度合いが41%から48%に変わりました.

そして対策としてはネットワーク最上位のファイアウォールでrejectで対応.