web-dev-qa-db-fra.com

Qu'est-ce que ce hack-bot essayait de réaliser via la traversée de répertoires?

Je parcourais les journaux de mon serveur et ce qui suit m'a un peu assommé:

ACCESS ERROR 404 from IP 62.112.152.161:
    Path: /index.php?page=weblog&env=../../../../../../../../etc/passwd%00

ACCESS ERROR 404 from IP 62.112.152.161:
    Path: /download.php?dlfilename=../../../../../../../../etc/passwd%00

ACCESS ERROR 404 from IP 62.112.152.161:
    Path: /download.php?filename=../../../../../../../../etc/passwd%00

ACCESS ERROR 404 from IP 62.112.152.161:
    Path: /agb.php?lang=../../../../../../../../etc/passwd%00

ACCESS ERROR 404 from IP 62.112.152.161:
    Path: /angemeldet.php?lang=../../../../../../../../etc/passwd%00

Il y avait beaucoup plus de variations, toujours en essayant d'obtenir le même fichier. Ils ne réussiraient pas même s'il y avait un "download.php" *, mais je suis curieux de savoir ce que cela ferait s'ils le faisaient.
Je me demande aussi si je peux faire quelque chose contre ce BOT dans un contexte plus global, afin d’aider d’autres webmasters dont le site pourrait être vulnérable contre de telles attaques.

Malheureusement, les en-têtes HTTP n'étaient pas enregistrés.

* Je travaille sur un serveur virtuel où le répertoire principal de PHP est la racine du site.

2
Tomáš Zato

Ironiquement, c’est exactement le genre de choses que j’étudie dans le cadre de mes recherches sur l’analyse automatisée de la sécurité.

Le bot tente de tirer parti d'une vulnérabilité d'application PHP pour lire votre fichier de mots de passe. En cas de succès, le pirate informatique tenterait de se connecter à diverses ressources, notamment à l’application PHP hébergeant la vulnérabilité, ainsi qu’à d’autres applications et services PHP tels que FTP, SMTP, SSH, etc. etc.

Vous pouvez bloquer l'adresse IP et/ou le nom de domaine, utiliser une expression régulière dans votre fichier .htaccess ou utiliser (préféré) mod_security pour bloquer ces tentatives.

Mod_Security est préféré car il couvre une multitude d'attaques. http://www.modsecurity.org/

C'est probablement un système compromis qui a été piraté de la même manière. Il est probable qu’il exécute un script ou un exécutable et risque de frapper plusieurs sites avant longtemps. Je n'ai pas et attaques de cette adresse IP dans ma base de données, donc c'est probablement nouveau.

IP: 62.112.152.161/Netdiscounter GmbH système autonome - Nom de domaine: 441.hosttech.eu

J'ai d'autres entrées de tentative de piratage de vulnérabilités d'applications PHP pour:

190.hosttech.eu [ip: 82.220.34.55, asn: AS9044, BSE Software GmbH] (dim. 19 août 2012)

sh-501.premium.hosttech.eu [ip: 176.9.138.35, asn: AS24940, Hetzner Online AG] (jeu. 6 juin 2013)

2
closetnoc