升级1.18后，依然被攻击，好在做了防护，被拦截

小水先森

升级到 1.18 之后，系统虽然更新了，但攻击依然没有停止。幸好我提前配置了 Coraza/WAF 防护，这次攻击被及时拦截。

昨天晚上 8 点，Web 服务日志显示了一条可疑请求，手法和之前的路径遍历漏洞攻击完全一样。攻击来源是中国山东的 IP：123.233.99.56，真是可恶！

![微信图片_20260206144615_16251_2.png](data/attachment/forum/202602/06/145147yaw6yyb8bd4qly49.png "微信图片_20260206144615_16251_2.png")


庆幸的是，防护措施奏效，没有造成任何损失，也提醒保持警惕，持续关注系统安全。

小水先森

⸻

2️⃣ 攻击意图

从 URI /app-center-static/serviceicon/myapp/{0}/?size=../../../../ 可以看出：
	•	攻击者在尝试使用 ../ 越过目录，访问服务器根目录或敏感文件
	•	size=../../../../ 参数里带有路径遍历
	•	这属于 Local File Inclusion (LFI) 攻击

目标可能是：
	•	获取配置文件 /etc/passwd
	•	读取日志文件
	•	获取源码或数据库信息

⸻

3️⃣ 防护动作

从日志看：
	•	Coraza/WAF 阻止了请求
	•	Access denied (phase 2). Inbound Anomaly Score Exceeded (Total Score: 35)
	•	CRS 阻断评分达 35，超过阈值，自动拒绝

总结：攻击已经被阻止，没有执行到后端应用。

memory_clear

路径穿越的问题在15版本就已经修复了的。只是爆出来之后闲人太多了，都想试试。