最近我发现我的 rails 应用程序出现了很多类似的奇怪请求:
Processing ApplicationController#index (for 189.30.242.61 at 2009-12-14 07:38:24) [GET]
Parameters: {"_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???"}}
ActionController::RoutingError (No route matches "/browse/brand/nike ///" with {:method=>:get}):
它看起来像是自动化的,因为我收到了很多,并注意到它们试图发送的奇怪参数:
_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???
这是恶意的吗?如果是,我该怎么办?
答案1
如果你在韩国服务器上打开参考文档(我可能不应该这样做,但我这样做了;)它显示:
<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>
在网上搜索后发现,这似乎是针对 Joomla、Wordpress 和/或 Firestats 的漏洞(不同网站提及的目标不同)。如果您正在运行其中任何一个,请确保升级到最新版本。
更多信息请点击这里:http://urbanoalvarez.es/blog/2009/09/24/feelcomz-rfi/和这里:http://tech.sweetnam.eu/2009/06/firestats-wordpress-exploit/
答案2
这不是一个漏洞:它只是试图找到允许替换$_SERVER['DOCUMENT_ROOT']PHP 变量的易受攻击的服务器。
工作原理如下:如果服务器存在漏洞,则会在页面上打印“FeeLCoMz”。发送请求的脚本会检测到它,并将该网站添加到服务器数据库中,这些服务器很快就会成为自豪的僵尸网络成员 :)
答案3
Sean Earp 上面粘贴的代码只是一个测试代码,用于查看您的系统是否易受攻击。然后,如果您的系统易受攻击,主要攻击就会到来。您的系统处于攻击者的控制之下。攻击者将您的系统变成他的朋友的 IRC 服务器,并与其他人共享您的所有文件。或将您的系统用作攻击其他 IP 号码的受害者。或删除您的所有信息,或窃取您的密码,或伪造您的客户端数据等。有一篇文章远程代码注入攻击的剖析 其中给出了一些真实攻击代码的示例。
我也关注了一段时间,想知道 FeelComz 是谁。我发现一个穷困的印度尼西亚孩子整天整夜地在 irc 网站上玩游戏。他在一个名为 Friendster 的印度尼西亚网站上有一个个人页面。他似乎在感谢你在海啸后对他的国家提供的援助。