ここ数週間、毎日このような調査が増えているのを目にしています。彼らが探している脆弱性が何なのか知りたいのですが、Web 検索では何も見つかりません。
以下は、私が朝の Logwatch メールで受け取る内容のサンプルです。
合計 XX 件の成功した可能性のあるプローブが検出されました (次の URL には、可能性のあるエクスプロイトを示す文字列のリストの 1 つ以上に一致する文字列が含まれています)。
/MyBlog/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP レスポンス 200
/index2.php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP レスポンス 200
/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTPレスポンス 301
/index2.php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP レスポンス 200
//index2.php?option=com_myblog&Itemid=1&task=../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP レスポンス 200
これは、すべての更新が適用された現在の CentOS 5.4 / Apache 2 ボックスからのものです。
いくつか手動で入力して、何が表示されるか確認してみましたが、すべてサイトのホームページが返されるだけのようです。このサーバーはいくつかの Joomla! サイトをホストしているだけですが、これは Joomla を対象としているようには見えません (私が知る限り)。
彼らが何を調査しているのか知っている人はいますか? それが何であれ、それをカバーしている (またはインストールしていない) ことを確認したいだけです。 これらのエントリがエスカレートしていることに少し不安を感じています。
答え1
環境の環境文字列を読み取ろうとしています。これは /proc/self/envion から取得でき、ディレクトリ ツリーを遡って読み取ろうとしています。Joomla は、リクエストを処理できないときにメイン ページにフォールバックしているようです。