0

我需要一些帮助,我对 suricata 还是新手。我正在学习,我的 splunk 事件显示存在自动 SQLI 攻击。

10.157.31.87 - - [02/Jan/2021:17:30:50 +0000] "GET /images.php?id=bXlzcWwgLS11c2VyPXJvb3QgLS1wYXNzd29yZD1yb290Cg== HTTP/1.1" 200 31 "-" "curl/7.58.0"

这是我写的规则,似乎它并没有阻止攻击。

drop http $EXTERNAL_NET  any <> 192.168.10.2 any (msg:"sql bruteforce"; priority: 1; uricontent:"GET /images.php?"; sid:10000001; rev: 1;)

192.168.10 .2 是我的网络服务器的 ip

4

1 回答 1

0

你可以试试这个

drop http any any -> 192.168.10.2 any (msg:"Malicious php code injection in an images.php file"; priority: 1; http.method; http.uri; content:"GET"; content:"/images.php?"; sid:10000001; rev: 1;)

它将处理对您的服务器192.168.10.2的所有请求,在GET方法中使用“ /images.php? ”在 URI 中。

于 2021-10-29T08:25:17.013 回答