En las últimas semanas he visto más y más de estas sondas cada día. Me gustaría averiguar qué vulnerabilidad están buscando, pero no he podido encontrar nada con una búsqueda en la web.
Aquí hay una muestra de lo que recibo en mis correos electrónicos matutinos de Logwatch:
Se detectó un total de XX posibles sondas exitosas (las siguientes URL contienen cadenas que coinciden con una o más de una lista de cadenas que indican un posible exploit):
/MiBlog/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../. ./../proc/self/environ%00 Respuesta HTTP 200
/index2.php?option=com_myblog&item=12&task=../../../../../../../../ ../../../../../../../../proc/self/environ%00 Respuesta HTTP 200
/?option=com_myblog&Itemid=12&task=../../.. /../../../../../../../../../../../../proc/self/environ%00 Respuesta HTTP 301
/index2. php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../ ../proc/self/environ%00 Respuesta HTTP 200
//index2.php?option=com_myblog&Itemid=1&task=../../../../../../../../. ./../../../../../../proc/self/environ%00 Respuesta HTTP 200
Esto proviene de una caja actual de CentOS 5.4/Apache 2 con todas las actualizaciones.
Intenté ingresar algunos manualmente para ver qué obtienen, pero todos parecen regresar a la página de inicio del sitio. ¡Este servidor solo aloja algunos Joomla! sitios... pero esto no parece estar dirigido a Joomla (hasta donde yo sé).
¿Alguien sabe qué están investigando? Sólo quiero asegurarme de que sea lo que sea lo tengo cubierto (o no instalado). La escalada de estas entradas me tiene un poco preocupado.
Respuesta1
Están intentando leer las cadenas de entorno del entorno. Esto se puede obtener de /proc/self/envion, y están retrocediendo en el árbol de directorios para leerlo. Parece que Joomla vuelve a la página principal cuando no puede procesar la solicitud.