我一直在我的apache访问日志中获得以下内容:
“GET /work//?module=www§ion=working=../../../../../../../../../../../../。 ./../../../../../../../../../../..//proc/self/environ%0000 HTTP / 1.1“200 5187” “Mozilla / 5.0(Windows; U; Windows NT 5.1; en-US; rv:1.9.2.12)Gecko / 20101026 Firefox / 3.6.12 \”,\“Mozilla / 5.0(Windows; U; Windows NT 5.1;苹果WebKit / 540.0(KHTML,如Gecko); Mozilla / 5.0(X11; U; Linux x86_64; en-US)AppleWebKit / Chrome / 9.1.0.0 Safari / 540.0 \“,\”Mozilla / 5.0(Windows; U; Windows NT 5.1; en-US)AppleWebKit / 532.5(KHTML,如Gecko)Comodo_Dragon / 4.1.1.11 Chrome / 4.1.249.1042 Safari / 532.5“,”Mozilla / 5.0(X11; U; Linux i686(x86_64); en-US; rv:1.9.0.16)Gecko / 2009122206 Firefox / 3.0.16 Flock / 2.5.6 \“,\”Mozilla / 5.0(Windows; U; Windows NT 6.0; en-US)AppleWebKit / 533.1(KHTML,像Gecko)Maxthon / 3.0.8.2 Safari / 533.1 \“,\”Mozilla / 5.0(Windows; U; Windows NT 6.0; US; rv:1.8.1.8pre)Gecko / 20070928 Firefox / 2.0.0.7 Navigator / 9.0RC1 \“,\”Opera / 9.99(Windows NT 5.1; U; pl)Presto / 9.9。 9“,”Mozilla / 5.0(Windows; U; Windows NT 6.1; zh-HK)AppleWebKit / 533.18.1(KHTML,如Gecko)Version / 5.0.2 Safari / 533.18.5 \“,\”Seamonkey-1.1.13-1(X11; U; GNU Fedora fc 10)Gecko / 20081112 “,”Mozilla / 5.0(兼容; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident / 5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Zune 4.0; Tablet PC 2.0; InfoPath.3; .NET4.0C; .NET4.0E)\“,\”Mozilla / 4.0(兼容; MSIE 7.0; Windows NT 6.1; WOW64; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MS-RTC LM 8; .NET4.0C; .NET4.0E; InfoPath.3)“
如果我尝试的url,我得到一个404而不是200上面的请求收到。 有没有一种方法可以确认200是真实的,没有欺骗?
客户的长信息来自哪里?
这是一个已知的旧 joomla漏洞, 如在这里看到的 。 它通过用PHP代码填充CGI环境variables,然后说服bug的joomla模块加载环境文件。
大概,谁写了扫描仪,试图在你的服务器提供了你的胡言乱语。
如果这实际上是来自日志的一个未改变的粘贴,那么该查询有200个响应,但缺less查询所针对的虚拟主机。 一些扫描器试图找出虚拟主机的主机名,但是许多扫描器只是查询IP地址并且/或者将主机:头完全留下。