嗨,我只是检测到一个奇怪的行为,当我的服务器上的一个特定的URL
/index.php?view=article&catid=29&id=24&format=pdf
它渲染C99Shell似乎是一个横向攻击,但我无法弄清楚到底是哪里得到包括…它只发生在该URL
你可以帮我吗?
编辑
没有什么已经双重检查数据库和pipe理员我第一次检测到的URL是
/index.php?view=article&catid=29%3Athe-cms&id=26%3Aextensions&format=pdf&option= com_content&Itemid=37/?option=com_rokdownloads&controller=../../../../../../../. ./../../../../..//proc/self/environ%0000 HTTP Response 200" thene i realize that with the article and the category was more than enough to display that any suggestion? 这是一个c99shell安装在你的joomla网站,可能是编码。 这将是很难检测是否编码。 您可以通过更改php.ini中的某些设置来检测文件的安装位置。 我这样做来检测:
将php.ini设置更改为disable_functions,并禁用ini_get。 这些shell依靠这个函数来找出哪些是你的php设置。
复制您的日志的url,并将其放入浏览器中。 然后去你的日志在Apachefind哪个文件抱怨ini_get是禁用它。
转到该文件并打开它,你会看到你有一个文件编码,删除,然后再试一次。
其他人使用命令find来检测这些shell。 在我的情况下,这是它的工作。 我build议你应该加强你的apache,php.ini和安装mod安全。 这些将会有很大的帮助。
inputJoomlapipe理员
在类别29中检查文章html源代码为24。