Назад | Перейти на главную страницу

Joomla C99Shell при запросе URL статьи

Привет, я просто обнаружил странное поведение на своем сервере, когда определенный URL-адрес

/index.php?view=article&catid=29&id=24&format=pdf

он отображает C99Shell, похоже на поперечную атаку, но я не могу понять, где, черт возьми, это включено ... это произошло только с этим URL-адресом

Вы можете помочь мне?

редактировать

ничего уже не проверено дважды на db и администратор, URL-адрес, который я впервые обнаружил, был

/index.php?view=article&catid=29%3Athe-cms&id=26%3Aextensions&format=pdf&option= com_content&Itemid=37/?option=com_rokdownloads&controller=../../../../../../../. ./../../../../..//proc/self/environ%0000 HTTP Response 200" thene i realize that with the article and the category was more than enough to display that any suggestion? 

Это c99shell, установленный на вашем сайте joomla и, вероятно, закодированный. Будет сложно определить, закодирован ли он. Вы можете определить, где установлен файл, изменив некоторые настройки в php.ini. Я сделал это, чтобы обнаружить:

  1. измените настройку php.ini на disable_functions, и я отключу ini_get. Эти оболочки полагаются на эту функцию, чтобы узнать, какие у вас настройки php.

  2. скопируйте этот URL-адрес ваших журналов и поместите его в свой браузер. Затем перейдите в свои журналы в apache, чтобы узнать, какой файл жалуется, что ini_get его отключил.

  3. Перейдите к этому файлу (-ам) и откройте его, и вы увидите, что у вас есть файл, который закодирован, удален и повторите попытку.

Другие люди используют команду найти для обнаружения этих снарядов. В моем случае это сработало. Я советую усилить apache, php.ini и установить безопасность модов. Это очень поможет.

Войдите в администратор Joomla
Проверьте исходный HTML-код статьи с идентификатором 24 в категории 29.

Вы, наверное, стали жертвой RFI-атаки, попробуйте http://kanchan2kewl.blogspot.com/2009/11/c99shell-hacking-protection.html обнаружить вредоносный код