web-dev-qa-db-ja.com

私のサイトはSQLインジェクション/ハッキングされようとしていますか?

私はOpencart、eコマースCMSを公開Webサイトで実行しています。

約1週間前に、Googleアナリティクスのダイレクトトラフィックがかなり増加したことに気づきました(これらのユーザーは、有機的またはソーシャルメディアを通じて参照されるのではなく、直接URLを入力することを意味します)。翌日のトラフィックは通常に戻りました。これはかなり奇妙で、これらのユーザーのほとんどは米国からで、一部はフランス/ドイツからでした。私のサイトは別の国の顧客にサービスを提供しているため、このトラフィックは奇妙な印象を受けましたが、あまり考えていませんでした。

ただし、最近では、多くの新規顧客が、異なるメールアドレスと異なるIPアドレスを使用して、まったく同じ名前でサインアップしています。連続して5つあり、それぞれ1〜3時間離れていました。繰り返しますが、これは珍しいことです。このサイトでは、これまでに発生したことはありません。当初はサイトのパフォーマンスは良好でしたが、私は大丈夫だと思っていました。

私をびっくりさせたのは、最新のサインアップでした。この人は自分の名前を "DbLks Trackr"に設定し、同様のメールアドレスを持っています。次に、これらすべてのサインアップのIPを調べました-この最新のものと同じ名前のサインアップ。ほとんどはプロキシであり、2つはウクライナ語で、1つはアメリカ人です。

私のURLはいくつかのフォーラムまたはIRC=に投稿されており、人々はデータベースを試してみるつもりです。それが彼らがサインアップしている理由です。

それほど大きなeコマースストアではないので、あまりターゲットにしているとは思いませんでした。自分のPCは感染していないと思いますが、Opencartのバージョンはしばらく更新されていません。

何が起きてる? SQLインジェクションまたはその他の方法でデータベースにアクセスできる可能性はありますか?それとも無害なトローリングになりそうですか?

更新:プロキシトラフィックが私のサイトを調査し、jsと画像ファイルを調べています。脆弱性または管理ページを探しているボットのようです。

3
user16421

タイトルの質問に対する答えは次のとおりです。

あまり「ぎこちない」と遭遇することはありませんが、すべてのWebサイトはほぼ常にその状態にあります。そうでないと主張する人は誰でも、現実的ではありません:)

しかし、ここでのいくつかのコメントとともに徹底的な分析に基づいて、新しい脆弱性のいくつかの最近の発見があるかもしれない、またはおそらくいくつかのフォーラムへの最近の投稿が再び人々にOpenCartへの関心を引き起こしたようです。

30秒の迅速な検索から、OpenCart 2.2.nから2.3.nはSQLIとXSSの両方の脆弱性の影響を受けているようです: https://www.cvedetails.com/vulnerability-list/vendor_id-9599/Opencart .html

このページには、過去12か月以内に更新されたいくつかのバグが表示されています。また、OpenCartメンテナーが非常に...潜在的な脆弱性について不注意(?)であると思われるgithubリポジトリも見ました。

そのため、他のポスターの適切なアドバイスに従って、サイトをできるだけ早く更新することをお勧めします。それが数分間オフラインにすることを意味する場合でも。

その後、それらのアカウントとメールアドレスがまだ心配な場合は、いつでもデータベースから削除できます。

2
llorrac

あなたの質問と Rolf's answer から、これは自分自身をデータベースに追加する人/システムだと思うので、将来誰かがDBを「漏らす」場合、彼らは確認することができます詳細。

しかし、本当に。そのリストに載りたくないのであれば、サイトを更新してください。

1
thel3l