Repentinamente busca 'formvars.php'

3

De repente, a partir de la tarde de ayer (gmt + 2), recibo muchos de los "errores sospechosos" de bots que buscan variaciones de este archivo:

/somerealpath/includes/formvars.php

Tengo curiosidad por saber qué es esto, y ¿por qué de repente estas exploraciones?

Todos parecen escanear el mismo par de caminos. Podrían estar recibiendo estos como los primeros xx google hits, pero son exactamente los mismos cada vez.

  • La raíz,
  • un subdirectorio especial
  • un pdf en ese subdirectorio.

Los escaneos provienen de varias direcciones IP, pero todos tienen un agente de usuario:

 "Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405"

¿Cuál, para algún tipo de escaneo de problemas de seguridad parece extraño: por qué todos escanearían con la misma herramienta? ¿Por qué todos utilizan las mismas URL para verificar el archivo?

Dudo que piense que es un ataque dirigido ya que el volumen no es lo suficientemente grande como para causar problemas importantes, y el archivo no existe en ninguna parte, por lo que intentarlo una y otra vez no es útil ...

Podría ser una especie de día cero para algo que venía con una herramienta que incluía la suplantación de identidad por parte del usuario-agente y algún tipo de código "encontrar algunas URL válidas a través de google", ¿pero eso también sería extraño? ¿Y por qué no adivinar algún tipo de /pathwiththelibraryname conjetura en el medio?

Lo único que puedo encontrar con ese nombre de archivo es una especie de webcalendar pero el archivo en sí parece lo suficientemente limpio (solo algunos función), así que dudo que sea eso.

Solo tengo curiosidad por lo que podría ser (y me molesta los errores que crea en mis archivos de registro, pero eso es otra cosa :))

    
pregunta Nanne 25.04.2012 - 17:07
fuente

1 respuesta

4

El archivo /include/formvars.php es utilizado por WebCalendar . Hace aproximadamente 2 días, (23 de abril de 2012) se lanzó una exploit de ejecución remota de código para WebCalendar .

Aunque /include/formvars.php no es el archivo vulnerable real, es una buena manera de verificar que WebCalendar está instalado. Parece que el atacante necesita install/index.php y includes/settings.php , sin embargo, estos archivos son muy comunes, por lo que al verificar si estos archivos están presentes, no hay garantía de que realmente sea una instancia de WebCalendar. Si el archivo /include/formvars.php está presente, es probable que siga con una solicitud POST a install/index.php para inyectar el código PHP y luego una solicitud GET para includes/settings.php para ejecutar la carga útil inyectada.

    
respondido por el rook 25.04.2012 - 18:01
fuente

Lea otras preguntas en las etiquetas