如果有输入肯定是线经过攻击扫描的
我之前网站就碰到过SQL 注入的时间还好被查出来了
一般来说有注入的扫描肯定会带有一下关键字
比如什么 hex select concat from information_schema union 等等这些关键
下面我贴一段日志
shop/product/129.html?cid=324+and%28select+1+from%28select+count%28*%29%2Cconcat%28%28select+%28select+concat%280x7e%2C0x27%2Cunhex%28Hex%28cast%28database%28%29+as+char%29%29%29%2C0x27%2C0x7e%29%29+from+%60information_schema%60.tables+limit+0%2C1%29%2Cfloor%28rand%280%29*2%29%29x+from+%60information_schema%60.tables+group+by+x%29a%29+and+1%3D1
像有这样的访问的IP 不用想直接drop掉
这样我们可以写个脚本定时去检查服务器的日志状态只要涉及这些有这些东西的你可以把这些IP 写到一个日志文件在去做分析 或者直接干掉
本文出自 “信不信由你” 博客,请务必保留此出处http://312461613.blog.51cto.com/965442/1530217