Barrapunto

¿Pero estas usando una base de datos? si no hay base de datos no hay motor sql y por tanto no hay sql injection.

Deberias poner un captcha sencillito para evitar ese tipo de ataques automaticos eso si.

Yo que tú no me rompería los cuernos con cosas de informáticos, ni de vacunas (no sé lo que es eso de las inyecciones que habláis), ni leches.

Lo que haría yo es llamarles. 555-666-0606 es un número que empieza por 555, que como todo el mundo sabe, es el prefijo que usan las personas importantes y famosas de los USA.

Según los datos que tengo, podría ser incluso el teléfono de la Casa Blanca. Lo más seguro es que alguien con poder de los EEUU haya oído hablar de tí, y quiera contratar tus servicios profesionales, pero como tienes la web en español, el pobre se habrá puesto nervioso, no habrá entendido lo que había que poner, y ha acabado poniendo esas insensateces que has visto.

Ya sabes, llama cuanto antes, que lo más seguro es que el colega Barack se haya hartado de la Michelle y esté mirando lo del divorcio. Y ahí tienes dinero fácil.

Yo te dejo, que ando ahora liado con un asunto de una herencia de un pavo africano que era colega de no sé qué principe exiliado, y he olido los milloncejos según iba leyendo el emilio. La próxima vez fijo que ya comento desde las Bahamas!!

No soy un experto ni nada parecido, pero eso en realidad no es un ataque de inyección sql sino de inyección de código porque no hay codigo sql que hayan querido ejecutar.
Tampoco se mucho de linux (cosa que debería cambiar pronto) pero me da la impresión que lo que quería el atacante era realizar alguna acción sobre el servidor, no sobre tu aplicación (por eso del /etc... y el sleep(4)
si administras tu propio servidor te recomiendo que monitorees la actividad de las conexiones (por ejemplo para tener la IP desde donde se realizaron los intentos), si tienes una cuenta de hosting, yo en tu lugar le avisaría a tu proveedor
Saludos!

Como han dicho antes, han lanzado una lista de comandos a ver si colaba alguno. Dado que los supuestos comandos te aparecen como valores de campos, parece que el programa ha hecho su trabajo, se ha limitado a tratar los intentos como datos y no ha ejecutado.

Hay algunas cosas que podrías hacer para estar más tranquilo.

1) Normalmente estos ataques intentan crear un usuario en la base de datos: Revisa la lista de usuarios de la BD a ver si se ha añadido alguno, especialmente mira entre los que tienen privilegios de administrador.

2) Otra cosa que intentan hacer es, si el contenido de la BD se muestra, añaden contenido javascript. De esto modo, cuando se muestran ciertas páginas, ejecuta un javascript, que a veces redirige a otra página y cosas así. Esto es más complicado de buscar. Si tienes campos de texto que muestran contenidos, busca tags, ej. "<script.."

¿Ese script "email.php" lo habéis programado vosotros o es sacado de alguna parte? Si está hecho en otra parte, y lleva tiempo rondando por ahí probablemente está muy guerreado y sea seguro. Aunque como contrapartida, al ser conocido es posible que hayan encontrado un exploid.

Ya digo que no tienen pinta de haber entrado, pero de todas maneras, suerte.

Son intentos hechos al tuntún, posiblemente buscando por fuerza bruta (esto, es, intentando todo contra todo) a ver si pilla algún hueco.

En este caso, no creo que haya penetrado en nada. Entonces, lo que hay que hacer es siempre, siempre, siempre, antes de construir una sentencia, pasar los datos introducidos por el usuario por mysql-real-escape-string (mysql-real-string es considerada obsoleta).

Y ojo con las comparaciones LIKE, que no son protegidas por mysql-real-escape-string, por lo que nada que tenga que ver con seguridad, autenticación o algo crucial debe usar ese comparador.

Más info:

http://es.php.net/manual/en/function.mysql-real-es cape-string.php [php.net]

¿me basta con usar MYSQL_SCAPE_STRING para estar a salvo?

Pues sí, con esto basta. De otra forma no hubieras recibido por correo la consulta que están itentanto ejecutar en tu sistema.