Nas últimas semanas, tenho visto mais e mais dessas sondas a cada dia. Gostaria de descobrir qual vulnerabilidade eles estão procurando, mas não consegui descobrir nada com uma pesquisa na web.
Aqui está um exemplo do que recebo em meus e-mails matinais do Logwatch:
Um total de XX possíveis sondagens bem-sucedidas foram detectadas (os seguintes URLs contêm strings que correspondem a uma ou mais de uma lista de strings que indicam uma possível exploração):
/MeuBlog/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../. ./../proc/self/environ%00 Resposta HTTP 200
/index2.php?option=com_myblog&item=12&task=../../../../../../../../ ../../../../../../../../proc/self/environ%00 Resposta HTTP 200
/?option=com_myblog&Itemid=12&task=../../.. /../../../../../../../../../../../../proc/self/environ%00 Resposta HTTP 301
/index2. php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../ ../proc/self/environ%00 Resposta HTTP 200
//index2.php?option=com_myblog&Itemid=1&task=../../../../../../../../. ./../../../../../../proc/self/environ%00 Resposta HTTP 200
Isso vem de uma caixa atual do CentOS 5.4/Apache 2 com todas as atualizações.
Tentei inserir alguns manualmente para ver o que eles obtêm, mas todos parecem retornar apenas a página inicial do site. Este servidor está hospedando apenas alguns Joomla! sites... mas isso não parece ter como alvo o Joomla (até onde eu sei).
Alguém sabe o que eles estão investigando? Eu só quero ter certeza de que, seja o que for, estou coberto (ou não instalado). A escalada dessas entradas me preocupa um pouco.
Responder1
Eles estão tentando ler as strings do ambiente. Isso pode ser obtido em /proc/self/envion, e eles estão voltando na árvore de diretórios para lê-lo. Parece que o Joomla está voltando para a página principal quando não consegue processar a solicitação.