你好,当特定的 URL 出现时,我刚刚在我的服务器上检测到了奇怪的行为
/index.php?view=article&catid=29&id=24&format=pdf
它使 C99Shell 看起来像是一个横向攻击,但我不知道它到底包含在哪里……它只发生在那个 URL 上
你能帮助我吗?
编辑
我没有仔细检查数据库和管理员,我首先检测到的 URL 是
/index.php?view=article&catid=29%3Athe-cms&id=26%3Aextensions&format=pdf&option= com_content&Itemid=37/?option=com_rokdownloads&controller=../../../../../../../. ./../../../../..//proc/self/environ%0000 HTTP Response 200" thene i realize that with the article and the category was more than enough to display that any suggestion?
答案1
这是安装在您的 joomla 站点中的 c99shell,可能已编码。如果已编码,则很难检测。您可以通过更改 php.ini 中的某些设置来检测文件的安装位置。我这样做是为了检测:
将 php.ini 设置更改为 disable_functions,并且我禁用了 ini_get。这些 shell 依靠此函数来找出您的 php 设置。
复制日志的 URL 并将其放入浏览器中。然后转到 apache 中的日志,找出哪个文件抱怨 ini_get 已禁用它。
转到该文件并打开它,您将看到有一个已被编码的文件,请删除并重试。
其他人使用命令寻找检测这些 shell。就我而言,它确实有效。我建议你强化你的 apache、php.ini 并安装 mod security。这些会很有帮助。
答案2
进入 Joomla 管理员
检查类别 29 中 ID 为 24 的文章 html 源代码。
答案3
您可能是 RFI 攻击的受害者,尝试http://kanchan2kewl.blogspot.com/2009/11/c99shell-hacking-protection.html检测恶意代码