SQLI的Suricata规则

Question

我需要一些帮助我对suricata还很陌生。我正在学习，我的splunk事件显示有一个自动化的SQLI攻击。

10.157.31.87 - - [02/Jan/2021:17:30:50 +0000] "GET /images.php?id=bXlzcWwgLS11c2VyPXJvb3QgLS1wYXNzd29yZD1yb290Cg== HTTP/1.1" 200 31 "-" "curl/7.58.0"

这是我写的规则，似乎并没有阻止攻击。

drop http $EXTERNAL_NET  any <> 192.168.10.2 any (msg:"sql bruteforce"; priority: 1; uricontent:"GET /images.php?"; sid:10000001; rev: 1;)

192.168.10 .2是我的web服务器的ip

Answer 1

你可以试试这个

drop http any any -> 192.168.10.2 any (msg:"Malicious php code injection in an images.php file"; priority: 1; http.method; http.uri; content:"GET"; content:"/images.php?"; sid:10000001; rev: 1;)

它将在URI中带有"/images.php?“的GET方法中处理对您的服务器192.168.10.2的所有请求。