Разбор сигнатуры IDS: SQL use of sleep function in HTTP header - likely SQL injection attempt
Обнаружение данной активности не является фактом эксплуатации уязвимости, а лишь фиксирует факт проверки на слепую инъекцию.
Сигнатура
alert tcp any any -> any $HTTP_PORTS ( msg:"SQL use of sleep function in HTTP header - likely SQL injection attempt"; flow:established,to_server; http_header; content:"User-Agent|3A| "; content:"sleep(",fast_pattern,nocase; pcre:"/User-Agent\x3A\x20[^\r\n]*sleep\x28/i"; metadata:policy balanced-ips drop,policy max-detect-ips drop,policy security-ips drop,ruleset community; service:http; reference:url,blog.cloudflare.com/the-sleepy-user-agent/; classtype:web-application-attack; sid:38993; rev:9; )
Сигнатура фиксирует трафик из любой сети в домашнюю сеть, на TCP порт HTTP (80, 81, 82, 83,84,85,86,87,88,880,8081 ... ), в User-Agent которого имеется последовательность содержащая слово sleep.
Данный тип атаки направлен на выявление слепой SQL инъекции, когда факт ее наличия фиксируется за счет увеличения времени ответа веб-севера.
Наличие данной активности может быть признаком использования инструментов взлома или активности различных ботов.