<div dir="ltr"><div dir="ltr"><div dir="ltr">On Thu, Apr 4, 2019 at 9:35 PM Charles M <<a href="mailto:chaslinux@gmail.com">chaslinux@gmail.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
Second question. In the access.log I saw a line that begins:<br>
<br>
103.67.235.45 - - [04/Apr/2019:20:33:27 -0400] "POST<br>
//?q=user/password&name[%23post_render][]=passthru&name[%23type]=markup&name[%23markup]=echo+R0lGOD<br>
<br>
It goes on for something like 30 lines at the end of which is an<br>
apache 414 error. It looks to me like someone is trying to hack the<br>
site (drupal). Is it worth just dropping/blocking the IP?</blockquote><div><br></div><div>This is an attempt to exploit sites that are vulnerable to this SA</div><div><br></div><div><a href="https://www.drupal.org/sa-core-2018-002">https://www.drupal.org/sa-core-2018-002</a><br></div><div><br></div><div>The 414 error is 'request too long', so the hackers did not write proper exploit attempts.</div><div><br></div><div>If you upgraded then you are not vulnerable.</div><div><br></div><div>You can block the IP address, but they will be back from others, so arms race scenario.<br></div></div></div></div>