Nas últimas semanas venho vendo mais e mais desses testes todos os dias. Gostaria de descobrir qual vulnerabilidade eles estão procurando, mas não conseguiram transformar nada em uma pesquisa na web.
Veja uma amostra do que recebo dos meus e-mails da Logwatch matutina:
A total of XX possible successful probes were detected (the following URLs contain strings that match one or more of a listing of strings that indicate a possible exploit):
/MyBlog/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200
/index2.php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200
/?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 301
/index2.php?option=com_myblog&item=12&task=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200
//index2.php?option=com_myblog&Itemid=1&task=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200
Isso vem de uma caixa atual do CentOS 5.4 / Apache 2 com todas as atualizações.
Eu manualmente tentei inserir alguns para ver o que eles recebem, mas todos parecem apenas retornar a página inicial do site. Este servidor está apenas hospedando alguns Joomla! sites ... mas isso não parece ser alvo Joomla (tanto quanto eu posso dizer).
Alguém sabe o que está procurando? Eu só quero ter certeza de que seja o que for que eu tenha coberto (ou não instalado). A escalação dessas entradas me preocupa um pouco.
Tags security apache-2.2 centos