我的 Apache 访问日志中出现了以下内容:
“GET /work//?module=www§ion=working=../../../../../../../../../../../../../../../../../../../../../../../../..//proc/self/environ%0000 HTTP/1.1” 200 5187 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12\”,\“Mozilla/5.0 (Windows; U; Windows NT 5.1; pl-PL; rv:1.8.1.24pre) Gecko/20100228 K-Meleon/1.5.4\",\"Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/540.0 (KHTML,类似 Gecko) Chrome/9.1.0.0 Safari/540.0\",\"Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.5 (KHTML,类似 Gecko) Comodo_Dragon/4.1.1.11 Chrome/4.1.249.1042 Safari/532.5\",\"Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US; rv:1.9.0.16) Gecko/2009122206 Firefox/3.0.16 Flock/2.5.6\",\"Mozilla/5.0 (Windows;U;Windows NT 6.0;en-US)AppleWebKit/533.1(KHTML,如 Gecko)Maxthon/3.0.8.2 Safari/533.1\",\"Mozilla/5.0(Windows;U;Windows NT 6.0;en-US;rv:1.8.1.8pre)Gecko/20070928 Firefox/2.0.0.7 Navigator/9.0RC1\",\"Opera/9.99(Windows NT 5.1;U;pl)Presto/9.9.9\",\"Mozilla/5.0(Windows;U;Windows NT 6.1; zh-HK) AppleWebKit/533.18.1 (KHTML,类似 Gecko) Version/5.0.2 Safari/533.18.5\",\"Seamonkey-1.1.13-1(X11; U; GNU Fedora fc 10) Gecko/20081112\",\"Mozilla/5.0 (兼容; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Zune 4.0; Tablet PC 2.0; InfoPath.3; .NET4.0C; .NET4.0E)\",\"Mozilla/4.0 (兼容; MSIE 7.0; Windows NT 6.1;WOW64;SLCC2;.NET CLR 2.0.50727;.NET CLR 3.5.30729;.NET CLR 3.0.30729;Media Center PC 6.0;MS-RTC LM 8;.NET4.0C;.NET4.0E;InfoPath.3)”
如果我尝试该 URL,我会得到 404 错误,而不是上述请求收到的 200 错误。有什么方法可以确认 200 是真实的而不是欺骗的?
有关客户端的长信息来自哪里?
答案1
这是一个众所周知的老的joomla 漏洞如图所示。它的工作原理是将 CGI 环境变量塞入 PHP 代码中,然后说服有缺陷的 joomla 模块加载环境文件。
据推测,无论是谁编写了试图在您的服务器上进行扫描的扫描仪,都会向您提供乱码。
如果这确实是来自您的日志的未更改粘贴,则该查询有 200 个响应,但缺少的是查询所针对的虚拟主机。一些扫描仪会尝试找出虚拟主机的主机名,但许多扫描仪只会查询 IP 地址和/或完全忽略 Host: 标头。