在過去的幾周里,我每天都看到越來越多的這類探測器。我想弄清楚他們正在尋找什麼漏洞,但無法透過網路搜尋找到任何結果。
以下是我在早上的 Logwatch 電子郵件中收到的範例:
總共偵測到 XX 個可能成功的探測(以下 URL 包含與指示可能利用的字串清單中的一個或多個相符的字串):
/MyBlog/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../. ./../proc/self/environ%00 HTTP 回應200
/index2.php?option=com_myblog&item=12&task=../../../../../../../../ ../../../../../../../../proc/self/environ%00 HTTP 回應200
/?option=com_myblog&Itemid=12&task=../../.. /../../../../../../../../../../../../proc/self/environ%00 HTTP 回應301
/index2。 php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../ ../proc/self/environ%00 HTTP 回應200
//index2.php?option=com_myblog&Itemid=1&task=../../../../../../../../. ./../../../../../../proc/self/environ%00 HTTP 回應200
這是來自目前的 CentOS 5.4 / Apache 2 盒子,包含所有更新。
我手動嘗試輸入一些內容來查看它們會得到什麼,但這些似乎都只是返回網站的主頁。這台伺服器僅託管一些 Joomla!網站...但這似乎不是針對 Joomla(據我所知)。
有人知道他們在調查什麼嗎?我只是想確保無論是什麼我都已經覆蓋(或未安裝)。這些條目的升級讓我有點擔心。
答案1
他們正在嘗試讀取環境的環境字串。這可以從 /proc/self/envion 獲得,並且他們正在返回目錄樹來讀取它。看起來 Joomla 在無法處理請求時正在回退到主頁。