지난 몇 주 동안 저는 매일 이러한 탐사선을 점점 더 많이 보았습니다. 그들이 찾고 있는 취약점이 무엇인지 알고 싶지만 웹 검색으로는 아무 것도 찾을 수 없습니다.
다음은 제가 아침에 받은 Logwatch 이메일의 샘플입니다:
총 XX개의 가능한 성공적인 프로브가 감지되었습니다(다음 URL에는 가능한 악용을 나타내는 문자열 목록 중 하나 이상과 일치하는 문자열이 포함되어 있습니다).
/MyBlog/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../. ./../proc/self/environ%00 HTTP 응답 200
/index2.php?option=com_myblog&item=12&task=../../../../../../../../ ../../../../../../../../proc/self/environ%00 HTTP 응답 200
/?option=com_myblog&Itemid=12&task=../../.. /../../../../../../../../../../../../proc/self/environ%00 HTTP 응답 301
/index2. php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../ ../proc/self/environ%00 HTTP 응답 200
//index2.php?option=com_myblog&Itemid=1&task=../../../../../../../../. ./../../../../../../proc/self/environ%00 HTTP 응답 200
이는 모든 업데이트가 포함된 현재 CentOS 5.4/Apache 2 상자에서 제공됩니다.
나는 그들이 무엇을 얻는지 보기 위해 수동으로 몇 가지를 입력하려고 시도했지만, 그것들은 모두 사이트의 홈 페이지만 반환하는 것으로 보입니다. 이 서버는 단지 몇 개의 Joomla!를 호스팅하고 있습니다! 사이트... 하지만 이것은 Joomla를 대상으로 하지 않는 것 같습니다(내가 아는 한).
그들이 무엇을 조사하고 있는지 아는 사람이 있나요? 나는 그것이 무엇이든 내가 그것을 덮었는지(또는 설치하지 않았는지) 확인하고 싶습니다. 이러한 항목이 확대되면서 약간 걱정이 되었습니다.
답변1
그들은 환경에 대한 환경 문자열을 읽으려고 합니다. 이는 /proc/self/envion에서 얻을 수 있으며 이를 읽기 위해 디렉토리 트리를 다시 탐색합니다. Joomla가 요청을 처리할 수 없을 때 기본 페이지로 돌아가는 것 같습니다.