Какая ошибка, которую этот хакер хочет использовать?

Ответ 1

К уязвимости, к которой стремится злоумышленник, возможно, относится какое-то дистанционное включение файлов, использующее PHP include и подобные функции/конструкцию, которые позволяют загрузить (удаленный ) и выполнить его содержимое:

Предупреждение о безопасности

Удаленный файл может быть обработан на удаленном сервере (в зависимости от расширения файла и факта, если удаленный сервер запускает PHP или нет), но он все равно должен создать допустимый PHP script, потому что он будет обрабатываться на локальном сервер. Если файл с удаленного сервера должен обрабатываться и выводиться только, readfile() работает гораздо лучше. В противном случае необходимо обеспечить особую осторожность, чтобы защитить удаленный script, чтобы создать допустимый и нужный код.

Обратите внимание, что использование readfile позволяет избежать только того, что загруженный файл выполняется. Но по-прежнему можно использовать его для загрузки другого содержимого, которое затем печатается непосредственно пользователю. Это можно использовать для печати простого содержимого файлов любого типа в локальной файловой системе (т.е. Path Traversal) или для ввода кода на страницу (т.е. Вставка кода). Поэтому единственной защитой является проверка значения параметра перед его использованием.

См. также Руководство по разработке OWASPs в разделе "Файловая система - Включает и удаленные файлы" для получения дополнительной информации.

Ответ 2

Очевидный, просто неактифицированный. Он проверяет, выполняется ли код.
Если он найдет свою подпись в ответе, он узнает, что ваш сайт готов запустить любой код, который он отправляет.

Чтобы предотвратить такие атаки, нужно строго дезинфицировать имена файлов, если они отправляются через HTTP-запросы.

Быстрая и дешевая проверка может быть выполнена с помощью функции basename():

if (empty($_GET['page'])) 
    $_GET['page']="index.php";
$page = $modules_dir.basename($_GET['page']).".php";
if (!is_readable($page)) {
    header("HTTP/1.0 404 Not Found");
    $page="404.html";
}
include $page;

или с использованием некоторого регулярного выражения.

Существует также очень полезная директива конфигурации PHP, называемая

allow_url_include

который по умолчанию установлен в off в современных версиях PHP. Таким образом, он автоматически защищает вас от таких атак.

Ответ 3

Он пытается заставить ваш сайт запустить свой файл. Вероятно, это будет атака XSS? Не совсем знакомы с условиями (Edit: RFI - Удаленное включение файлов).

Скорее всего, он не знает, что он делает. Если это способ проникнуть в WordPress, он будет очень популярен.

Ответ 4

Похоже, что атака предназначена для печати "ShiroHige" на уязвимых сайтах.

Идея заключается в том, что вы используете include, но не дезинфицируете свой вход, тогда выполняется php в этом текстовом файле. Если это сработает, он может отправить любой php-код на ваш сайт и выполнить его.

Список похожих файлов можно найти здесь. http://tools.sucuri.net/?page=tools&title=blacklist&detail=072904895d17e2c6c55c4783df7cb4db

Ответ 5

Я думаю, что это только первый тест, если ваш сайт уязвим для внешних включений. Если эхо печатается, он знает, что можно ввести код.

Ответ 6

Вы не очень подробно рассказываете о ситуации и оставляете много возможностей для воображения.

Я предполагаю, что он пытается использовать allow_url_fopen. И сейчас он просто тестирует код, чтобы посмотреть, что он может сделать. Это первая волна!

Ответ 7

Я думаю, что это всего лишь вредоносный URL. Как только я ввел его в свой браузер, антивирус Avast утверждал, что это вредоносный URL-адрес. Так что php-код может обманывать, или он может просто тестироваться. Другая возможность заключается в том, что хакер не имеет плохих намерений и просто хочет показать, что он может преодолеть вашу безопасность.