Hi Björn,
sieht auf den ersten Blick wie eine versuchte Header Injection aus. Es sind SQL Fragmente zu erkennen, die, wenn sie bspw. ganz naiv in ein Statement zur Statistikerfassung eingebunden werden, Daten abgreifen, verändern o.Ä.
Auf Statify trifft das nicht zu, hier wird bei den DB Operationen sauber escaped (offensichtlich, das Zeug ist ja da angekommen, wo es hin gehört). Also ist es hier glücklicher Weise nur Datenmüll.
Vielleicht sollte man die Plausibilitätsprüfung für Referrer URLs mal etwas nachschärfen.
Wobei das ganze mit dbms_pipe oder pg_sleep generell eher nicht so aussieht, als sei WordPress das Ziel, da diese Funktionen in den unterstützten MySQL/MariaDB Datenbanken so im Regelfall nicht existieren.
Sieht man immer wieder mal in verschiedensten Formen, gerne nachdem (oder kurz bevor) Sicherheitslücken in Serversoftware oder Frameworks bekannt werden. Dann füttert man sein Botnetz damit und lässt es auf das Internet los. Irgendein Zufallsopfer findet man immer. Je nach Popularität und Impact gern mal koordiniert hunderte Anfragen pro Minute (Confluence vor ein paar Wochen war großartig, eine Woche lang rund 5-10/s auf zwei eher kleinen Instanzen, erst Fernost, dann Osteuropa und etwas GCP/AWS, … aber da war das Potenzial auch nicht ohne, wenn’s klappt). Meist eher harmlos, kurz mal ein paar hundert über wenige Tage. (wenn nicht, sollte man etwas weiter analysieren, warum man so Fokus steht)
Wenn du Serverlogs im Zugriff hast, zeichnet sich ggf. ein simples Muster ab, sodass man ggf. wenige Subnetze sperren kann.
Gruß,
Stefan
Hi Stefan,
vielen Dank! Gut, dass das auf Statify nicht zutrifft und sauber escaped wird. Hatte mich gestern nur gewundert und sowas bisher nicht in der Statify Anzeige im Dashboard gesehen.
Nach wie vor ist Statify das Statistik-Plugin, das ich ausnahmslos auf allen Webseiten einsetze. Ich bin echt sehr zufrieden! Das wollte ich noch kurz weitergeben.
Vielen Dank!
Liebe Grüße
Björn
.
