Hacking

有人試圖入侵我的網站,想了解日誌

  • September 10, 2012

我有一個託管在 CentOS 6 上的 wordpress 站點。看到以下訪問日誌後,我檢查了伺服器,似乎還可以。誰能解釋一下這個人想做什麼?他們得到了他們想要的嗎?

我已禁用 allow_url_include,並將 open_basedir 限制為 web dir 和 tmp(/etc 不在路徑中)。

190.26.208.130 - - [05/Sep/2012:21:24:42 -0700] "POST http://my_ip/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n HTTP/1.1" 200 32656 "-" "Mozilla/5.0"

先看看CVE-2012-1823

上面的 URL 被解碼為:

http://my_ip/?-d allow_url_include=On+-d auto_prepend_file=../../../../../../../../../../../../etc/passwd� -n/?-d allow_url_include=On+-d auto_prepend_file=../../../../../../../../../../../../etc/passwd� -n

?-d allow_url_include=On:他試圖在 php-cgi 呼叫中添加一個額外的參數:

$ php-cgi -h
Usage: php [-q] [-h] [-s] [-v] [-i] [-f <file>]
      php <file> [args...]
 -d foo[=bar]     Define INI entry foo with value 'bar'

+-d auto_prepend_file=../../../../../../../../../../../../etc/passwd� -n:然後將他的文件添加為要執行的程式碼。不知道他為什麼在這裡使用路徑遍歷攻擊而不是使用他的程式碼或php://input.

-n最後否定php.ini

$ php-cgi -h
Usage: php [-q] [-h] [-s] [-v] [-i] [-f <file>]
      php <file> [args...]
 -n               No php.ini file will be used

PS:如果您沒有將 PHP 作為 CGI 腳本執行,則無需擔心。

引用自:https://serverfault.com/questions/424798