Şüpheli istekler ile ilgili log

ferhatyesilmen

Merhabalar,
laravel 5.4 ile yapmış olduğumuz projede log kayıtlarında aşağıdaki hataları gördüm. Bunlar ile daha önce karşılaşan var mıdır? Bir saldırı vs olabilir mi?

production Hata	14:51:52	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "oz5jdljs'));select pg_sleep(6); --". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:52	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "3doyhewb');select pg_sleep(3); --". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:52	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "wokm0hii';select pg_sleep(9); --". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:51	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "rngzw1bz'; waitfor delay '0:0:9' --". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:51	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "1 waitfor delay '0:0:6' --". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:50	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "-1" or 3+613-613-1=0+0+0+1 --". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:50	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "-1" or 2+613-613-1=0+0+0+1 --". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:50	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "-1' or 3+228-228-1=0+0+0+1 or 'qga0axwg'='". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:50	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "-1' or 2+228-228-1=0+0+0+1 or 'qga0axwg'='". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:49	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "-1' or 3+308-308-1=0+0+0+1 --". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:49	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "(select convert(int,char(65)))". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:49	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "-1' or 2+308-308-1=0+0+0+1 --". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:49	
production Hata	14:51:49	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "-1 or 3+246-246-1=0+0+0+1". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:49	
production Hata	14:51:49	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "-1 or 2+246-246-1=0+0+0+1". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:49	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "jyi=". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:49	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "-1 or 3+748-748-1=0+0+0+1 --". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:49	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "@@milpo". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:48	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "-1 or 2+748-748-1=0+0+0+1 --". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:48	
production Hata	14:51:48	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "\". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

production Hata	14:51:48	
Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException: Invalid Host "1'"". in /var/www/site/vendor/symfony/http-foundation/Request.php:1292

mgsmus

Evet, SQL injection denemesi yapılmış.

ferhatyesilmen

Bu tip saldırılar için, ekstra bir şey yapmaya gerek varmı?

Kevin-Mitnick

SQL Injection’dan Korunma Yolları

Bunun için aslında çok basit bir yol var:

Kullanıcıdan aldığınız input’larda,
URL’lerdeki parametrelerde,
Cookie’lerdeki değerlerde bulunan

tek tırnak (‘), çift tırnak (“), taksim (/), bölü (\\), noktalı virgül (FPRIVATE “TYPE=PICT;ALT=wink.gif”
boş karakter (NULL), carriage return (CG), yeni satır (NL), vb. karakterleri filtreleyin.

Sayılar için SQL sorgusuna eklemeden önce integer’a çevirin. Veya ISNUMERIC fonksiyonunu kullanarak gerçekten integer olup olmadığını kontrol edin.

Kullanmadığınız stored procedure’leri kaldırın: master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask, …

mgsmus

ferhatyesilmen wrote:Bu tip saldırılar için, ekstra bir şey yapmaya gerek varmı?

Yazılım içerisinde genel kurallara uyduysanız sorun olmaz. Laravel içindeki throttle middleware ile rotaları koruyarak bir nebze rahatlama sağlanabilir. middleware('throttle:20,1') gibi mesela. Bu, kullanıldığı rotaya aynı IP adresinden 1 dakikada 20 kez girilmesine izin ver demek, bu limiti aşarsa dakikanın bitmesini bekleyecek

Sunucu bazında ise iptables gibi güvenlik duvarı ile şüpheli istek gönderen IP adresleri otomatik engellenebilir.

Çok fazla saldırı oluyorsa CloudFlare deneyebilirsiniz, ücretsiz versiyonu da gayet başarılı.

ferhatyesilmen

mgsmus wrote:
ferhatyesilmen wrote:Bu tip saldırılar için, ekstra bir şey yapmaya gerek varmı?
Yazılım içerisinde genel kurallara uyduysanız sorun olmaz. Laravel içindeki throttle middleware ile rotaları koruyarak bir nebze rahatlama sağlanabilir. middleware('throttle:20,1') gibi mesela. Bu, kullanıldığı rotaya aynı IP adresinden 1 dakikada 20 kez girilmesine izin ver demek, bu limiti aşarsa dakikanın bitmesini bekleyecek

Sunucu bazında ise iptables gibi güvenlik duvarı ile şüpheli istek gönderen IP adresleri otomatik engellenebilir.

Çok fazla saldırı oluyorsa CloudFlare deneyebilirsiniz, ücretsiz versiyonu da gayet başarılı.

Throlette middlewareyi kullanıyorum hocam 10,1 olarak. Laravelin kuralları dışına çıkmadım. Raw query yazdığım bir kaç yer var orda user tarafından veri alınan yerler değil. Daha çok istatistik alanlarında kullandım.

Kevin-Mitnick wrote:SQL Injection’dan Korunma Yolları

Bunun için aslında çok basit bir yol var:

Kullanıcıdan aldığınız input’larda,
URL’lerdeki parametrelerde,
Cookie’lerdeki değerlerde bulunan

tek tırnak (‘), çift tırnak (“), taksim (/), bölü (\\), noktalı virgül (FPRIVATE “TYPE=PICT;ALT=wink.gif”
boş karakter (NULL), carriage return (CG), yeni satır (NL), vb. karakterleri filtreleyin.

Sayılar için SQL sorgusuna eklemeden önce integer’a çevirin. Veya ISNUMERIC fonksiyonunu kullanarak gerçekten integer olup olmadığını kontrol edin.

Kullanmadığınız stored procedure’leri kaldırın: master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask, …

Aslında ben laravel için sormuştum. Eloquent ORM kullanıdğımız için çokta endişe etmedim açıkçası sql injection saldırıları için. Ama yinede ekstra alınması gereken önlem varmı diye sormak istedim.

Teşekkür ederim ilginiz için arkadaşlar.

Laravel Türkiye Forumları, ücretsiz forum uygulaması Flarum ile yapılmıştır.