In den letzten Wochen habe ich jeden Tag mehr solcher Tests gesehen. Ich würde gerne herausfinden, nach welcher Schwachstelle sie suchen, konnte aber bei einer Websuche nichts finden.
Hier ist ein Beispiel dessen, was ich in meinen morgendlichen Logwatch-E-Mails bekomme:
Insgesamt wurden XX mögliche erfolgreiche Tests erkannt (die folgenden URLs enthalten Zeichenfolgen, die mit einer oder mehreren der aufgelisteten Zeichenfolgen übereinstimmen, die auf einen möglichen Exploit hinweisen):
/MyBlog/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP-Antwort 200
/index2.php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP-Antwort 200
/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP-Antwort 301
/index2.php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP-Antwort 200
//index2.php?option=com_myblog&Itemid=1&task=../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP-Antwort 200
Dies kommt von einer aktuellen CentOS 5.4/Apache 2-Box mit allen Updates.
Ich habe versucht, einige manuell einzugeben, um zu sehen, was sie bekommen, aber alle scheinen nur die Homepage der Site zurückzugeben. Dieser Server hostet nur einige Joomla!-Sites ... aber dies scheint nicht auf Joomla ausgerichtet zu sein (soweit ich das beurteilen kann).
Weiß jemand, wonach sie suchen? Ich möchte nur sicherstellen, dass ich alles abgedeckt habe (oder nicht installiert habe), was auch immer es ist. Die Eskalation dieser Einträge bereitet mir etwas Sorgen.
Antwort1
Sie versuchen, die Umgebungszeichenfolgen für die Umgebung zu lesen. Diese können aus /proc/self/envion abgerufen werden und sie gehen den Verzeichnisbaum zurück, um sie zu lesen. Es sieht so aus, als ob Joomla auf die Hauptseite zurückgreift, wenn es die Anforderung nicht verarbeiten kann.