Reçu "md5" dans les journaux d'accès
Dans notre serveur Apache, nous avons reçu environ 200 requêtes HTTP GET de la même IP et une chaîne commune dans chaque requête est "md5", par ex.
index.php?option=com_s5clanroster&view=s5clanroster&layout=category&task=category&id=-null%27+/*!50000UnIoN*/+/*!50000SeLeCt*/md5(3.1415),222--%20- HTTP/1.1
Quel type d'attaque pirate avait essayé ici, et devrais-je m'en inquiéter?
L'attaquant tente d'exploiter le composant Joomla appelé com_s5clanroster qui est vulnérable à l'injection SQL.
Une vulnérabilité d'injection SQL a été rapportée dans Joomla Com S5clanroster. Une exploitation réussie de cette vulnérabilité permettrait à un attaquant distant d'exécuter des commandes SQL arbitraires sur le système affecté.
https://www.checkpoint.com/defense/advisories/public/2014/cpai-2014-2169.html
Ce même composant était également vulnérable à LFI:
[o] Exploit
http://localhost/[path]/index.php?option=com_s5clanroster&view=[LFI]
http://localhost/[path]/index.php?option=com_s5clanroster&controller=[LFI]
http://www.securityfocus.com/bid/395
Peut-être que ce composant n'est pas installé ou que vous exécutez un CMS différent, mais assurez-vous de vérifier que votre site Web est à jour. Et non seulement cela, vérifiez également si différents plugins sont toujours maintenus par l'auteur, car j'ai vu des plugins vulnérables sans mises à jour disponibles de l'auteur - et c'est considéré comme un gros problème.
Voici un autre exemple qui peut entraîner un autre problème: Le domaine expiré mène à WordPress Plugin Redirects
Pensez à utiliser ModSecurity (Pare-feu d'application Web Open Source). Comment faire?