过去几周,我每天都看到越来越多的此类探测。我想弄清楚他们在寻找什么漏洞,但通过网络搜索却一无所获。
以下是我早上在 Logwatch 电子邮件中收到的内容示例:
总共检测到 XX 次可能成功的探测(以下 URL 包含与一个或多个字符串列表匹配的字符串,这些字符串表明可能存在漏洞):
/MyBlog/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP 响应 200
/index2.php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP 响应 200
/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP 响应 301
/index2.php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP 响应 200
//index2.php?option=com_myblog&Itemid=1&task=../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP 响应 200
这是来自当前 CentOS 5.4 / Apache 2 盒的所有更新。
我手动尝试输入一些内容,看看它们会得到什么,但这些内容似乎都只是返回网站的主页。该服务器仅托管几个 Joomla! 网站...但这似乎不是针对 Joomla 的(据我所知)。
有人知道他们在探测什么吗?我只是想确保我已经覆盖了它(或没有安装)。这些条目的升级让我有点担心。
答案1
他们正在尝试读取环境的环境字符串。这可以从 /proc/self/envion 获取,并且他们正在回溯目录树来读取它。看起来 Joomla 在无法处理请求时会返回主页。