Alguém tenta hackear meu site, quer entender o log

Question

Alguém tenta hackear meu site, quer entender o log

#1 resposta do (4 votos)

2

Eu tenho um site wordpress hospedado no CentOS 6. Depois de ver o seguinte log de acesso, eu verifiquei o servidor, parece ok. Alguém pode explicar o que esse cara está tentando fazer? Eles conseguiram o que querem?

Eu desativei allow_url_include e restringi open_basedir para web dir e tmp (/ etc não está no caminho).

190.26.208.130 - - [05/Sep/2012:21:24:42 -0700] "POST http://my_ip/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n HTTP/1.1" 200 32656 "-" "Mozilla/5.0"

hacking

por garconcn 06.09.2012 / 07:01

1 resposta

Tags hacking

Quais portas TCP usar? tcpdump falhou com permissão negada em centos ao usar com a opção de arquivo girado

score 4 · Accepted Answer

Dê uma olhada em CVE-2012-1823 primeiro.

O URL acima é decodificado como:

http://my_ip/?-d allow_url_include=On+-d auto_prepend_file=../../../../../../../../../../../../etc/passwd� -n/?-d allow_url_include=On+-d auto_prepend_file=../../../../../../../../../../../../etc/passwd� -n

?-d allow_url_include=On : ele está tentando adicionar um parâmetro extra na chamada php-cgi:

$ php-cgi -h
Usage: php [-q] [-h] [-s] [-v] [-i] [-f <file>]
       php <file> [args...]
  -d foo[=bar]     Define INI entry foo with value 'bar'

+-d auto_prepend_file=../../../../../../../../../../../../etc/passwd� -n : prefixar o arquivo como código a ser executado. Não sei por que ele usa o ataque Path Traversal aqui em vez de usar seu código ou php://input . / p>

-n no final para negar o php.ini :

$ php-cgi -h
Usage: php [-q] [-h] [-s] [-v] [-i] [-f <file>]
       php <file> [args...]
  -n               No php.ini file will be used

PS: Não precisa se preocupar se você não estiver usando o PHP como um script CGI.