我们有一个生产 Drupal 服务器提供内容,但点击寻呼机链接时,某些页面会损坏。我们发现 URL 被替换为无法识别的关键字。例如,
对于 URL
www.foo.com/poems/case/index.html?search_api_views_fulltext=&page=2
URL 更改为
www.foo.com/poems/case/index.html/命令?search_api_views_fulltext=&page=2
同样,最近几天,cmd.php 有时会被 /contact 和 /www.googletagmanager.com/ns.html 取代。
单击链接时,Drupal 日志会成功获取,如下所示。从表面上看,我们怀疑存在 SQL 注入。您觉得如何?
www.foo.com/poem/case/index.html/contact?search_api_views_fulltext=&page=21&%3Bamp%25252525253bamp%2525252525253b%2525252525253bamp%2525252525253bpage=1&%3Bamp%2525252525253bamp%2525252525253b%2525252525253bpage=1&%3Bamp%2525252525253bamp%2525252525253bpage=3&%3Bamp%2525252525253bpage=2&%3Bpage=3 HTTP/1.1" 200 19997
答案1
这听起来可能是某人尝试各种漏洞的副作用(对于网站探测 WP 漏洞的事件来说,这很常见)并意外毒害了呈现内容的缓存。
此类问题的一些示例: https://www.drupal.org/node/2847972 https://www.drupal.org/node/2819197
我也有点困惑,为什么你的任何路径都会有 index.html - 这只是一个别名吗?
答案2
单击寻呼机链接时,某些页面会损坏
这听起来像是
- 生成寻呼机的代码有问题 - 它是核心代码还是贡献代码?它似乎有问题,但并不一定代表存在安全漏洞。
- 缓存代码损坏