Calculer Girl
  1. Calculer Girl
  3. Que sont les requêtes GET `/ t.php` envoyées au serveur de production?
Intereting Posts
Les identifiants de threads et de processus sont-ils uniques? Dans le terminal Comment les lettres majuscules sont-elles créées et existe-t-il un moyen facile de les générer vous-même? répertoires nginx sans barre oblique Commande shell pour supprimer les caractères ^ M du fichier texte Comment exécuter cron job toutes les heures et 10 minutes Recharger nginx & php5-fpm ne met pas à jour les modifications apscopes à php.ini comportement ambigu des variables de session Configuration de nginx / ruby ​​/ thin server IIS – Vous n’êtes pas autorisé à afficher ce message d’erreur de page .htaccess redirige le paramètre vers le sous-répertoire Comment créer un service Windows en C ++ / QT? Ecrire un script pour supprimer des fichiers datant de 7 jours sur le serveur “Pas un tel fichier ou répertoire” essayant d’exécuter le binary Linux sur un appareil Android CreateDesktop () avec vista et UAC sur (C, windows) Le réglage de la finesse des processus (priorité) n’a aucun effet sur Linux Accéder à phpMyAdmin à partir d’un ordinateur distant – GUIDE étrange

Que sont les requêtes GET `/ t.php` envoyées au serveur de production?

J’ai récemment publié une page d’accueil sur mon nouveau site hébergé sur DigitalOcean. J’utilise Node JS et nginx.

Ces requêtes ciblant /t.php , POST /wls-wsat/CoordinatorPortType , POST /user/register? .

Est-ce une tentative de piratage?

Voici les journaux nginx – 

 80.123.42.103 - - [24/Apr/2018:16:38:54 +0000] "GET /t.php?c=%5B%7B%22k%22%3A%22%5Cb%22%2C%22t%22%3A9874541096%7D%5D HTTP/1.1" 404 144 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0" 80.123.42.103 - - [24/Apr/2018:16:38:54 +0000] "GET /t.php?c=%5B%7B%22k%22%3A%22%5Cb%22%2C%22t%22%3A9874541264%7D%5D HTTP/1.1" 404 144 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0" 80.13.73.224 - - [24/Apr/2018:08:47:10 +0000] "POST /wls-wsat/CoordinatorPortType HTTP/1.1" 400 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" 80.13.73.224 - - [24/Apr/2018:08:47:10 +0000] "POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1" 404 153 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" 80.13.73.224 - - [24/Apr/2018:08:47:10 +0000] "GET / HTTP/1.1" 200 3508 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36" 80.13.73.224 - - [24/Apr/2018:08:47:10 +0000] "GET / HTTP/1.1" 200 3508 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36" 80.13.73.224 - - [24/Apr/2018:08:47:11 +0000] "GET /rss.php?mode=recent HTTP/1.1" 404 146 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"

Vous avez absolument raison!

Quelqu’un cherchait des vulnérabilités possibles sur votre système. Par exemple, la ligne /user/register est liée à la vulnérabilité CVE-2018-7600 , ce qui permet l’exécution à distance de code arbitraire si vous utilisez certaines versions de Drupal. La ligne /wls-wsat/CoordinatorPortType est probablement liée à la vulnérabilité CVE-2017-10271 qui permet de prendre en charge certains serveurs Oracle WebLogic. En ce qui concerne /t.php , je ne peux malheureusement pas trouver d’informations dues à l’indexation des ordures des moteurs de recherche modernes, mais nous pouvons raisonnablement supposer qu’elles sont liées à une autre vulnérabilité qui fournit un access root illimité.

Cela pourrait être un scan ciblé, mais il pourrait aussi s’agir d’un script Kiddie jetant un large filet et en espérant que quelque chose rest. Je suppose que ce sont ces derniers car ils semblent adopter une approche de fusil de chasse pour obtenir un access root à différents types de systèmes.

Vous n’avez probablement rien à craindre, mais pour être sûr, je vous encourage à valider que votre logiciel est à jour avec tous les correctifs de sécurité et à s’assurer qu’aucune de ces requêtes n’a d’impact sur votre système ( Par exemple, assurez-vous que si vous exécutez Drupal, il existe au moins une version corrigée correctement.