在过去的几周里,我每天都看到越来越多的这些探针。 我想弄清楚他们正在寻找什么漏洞,但一直没有能够通过networkingsearch来解决任何问题。
以下是我在早上的Logwatch电子邮件中获得的样本:
检测到共有XX个可能的成功探测器(以下URL包含与指示可能的漏洞利用的string列表中的一个或多个匹配的string):
/MyBlog/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../。 ./../proc/self/environ%00 HTTP响应200
/index2.php?option=com_myblog&item=12&task=../../../../../../../../../../../../../ ../../../proc/self/environ%00 HTTP响应200
/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../../ ../proc/self/environ%00 HTTP响应301
/index2.php?option=com_myblog&item=12&task=../../../../../../../../../../../../../ ../../proc/self/environ%00 HTTP响应200
//index2.php?option=com_myblog&Itemid=1&task=../../../../../../../../../../../../ .. /../../proc/self/environ%00 HTTP响应200
这是来自目前CentOS 5.4 / Apache 2的所有更新。
我已经手动尝试input几个来看看他们得到什么,但这些都似乎只是返回该网站的主页。 这个服务器只是托pipe几个Joomla! 网站…但这似乎并没有针对Joomla(据我所知)。
任何人都知道他们在探索什么? 我只是想确定它是否覆盖(或未安装)。 这些条目的升级让我有点担心。
他们正在尝试阅读环境的环境string。 这可以从/ proc / self / envion中获得,然后他们回到目录树来读取它。 它看起来像Joomla回落到主页面,当它无法处理请求。