Последние несколько недель я вижу все больше и больше таких зондов каждый день. Я хотел бы выяснить, какую уязвимость они ищут, но не смог ничего найти с помощью веб-поиска.
Вот пример того, что я получаю в своих утренних письмах Logwatch:
Всего было обнаружено XX возможных успешных зондирований (следующие URL-адреса содержат строки, соответствующие одной или нескольким строкам из списка, указывающего на возможный эксплойт):
/MyBlog/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP-ответ 200
/index2.php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP-ответ 200
/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP-ответ 301
/index2.php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP-ответ 200
//index2.php?option=com_myblog&Itemid=1&task=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP-ответ 200
Это происходит с текущей версии CentOS 5.4 / Apache 2 со всеми обновлениями.
Я вручную пытался ввести несколько, чтобы посмотреть, что они получат, но все они, похоже, просто возвращают домашнюю страницу сайта. Этот сервер просто размещает несколько сайтов Joomla!... но, похоже, это не нацелено на Joomla (насколько я могу судить).
Кто-нибудь знает, что они проверяют? Я просто хочу убедиться, что я это покрыл (или не установил). Эскалация этих записей меня немного беспокоит.
решение1
Они пытаются прочитать строки окружения для окружения. Это можно получить из /proc/self/envion, и они возвращаются назад по дереву каталогов, чтобы прочитать это. Похоже, что Joomla возвращается к главной странице, когда не может обработать запрос.