Improvvisamente esegue la scansione di "formvars.php"

3

All'improvviso, a partire da circa ieri sera (gmt + 2), ottengo un sacco di ... quelli che sospetto siano - "successi" dei robot che stanno cercando varianti di questo file:

/somerealpath/includes/formvars.php

Sono curioso di sapere di cosa si tratta, e perché così improvvisamente queste scansioni?

Sembrano tutti scansionare lo stesso paio di percorsi. Potrebbero ottenere questi come i primi hit di xx google, ma sono sempre gli stessi ogni volta.

  • La radice,
  • una sottodirectory speciale
  • un pdf in quella sottodirectory.

Le scansioni provengono da vari ip, ma hanno tutti useragent:

 "Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405"

Quale, per qualche tipo di scansione di sicurezza-problema sembra strano: perché dovrebbero tutti eseguire la scansione con lo stesso strumento? Perché usano tutti gli stessi URL per verificare il file?

Dubito che sia un attacco mirato in quanto il volume non è abbastanza grande da causare grossi problemi e il file non esiste da nessuna parte, quindi tentare ancora e ancora non è utile ...

Potrebbe essere una sorta di giorno zero per qualcosa che è venuto con uno strumento che includeva lo spoofing degli user-agent e una sorta di codice "trova alcuni URL validi attraverso Google", ma sarebbe anche strano? E perché non indovinare una specie di /pathwiththelibraryname di indovinare tra?

L'unica cosa che posso trovare con quel nome file è una sorta di webcalendar ma il file stesso sembra abbastanza pulito (solo alcuni funzione), quindi dubito che sia così.

Sono solo curioso di sapere cosa potrebbe essere (e infastidito dagli errori che crea nei miei file di log, ma questa è un'altra cosa :))

    
posta Nanne 25.04.2012 - 17:07
fonte

1 risposta

4

Il file /include/formvars.php è utilizzato da WebCalendar . Circa 2 giorni fa (23 aprile 2012) è stato rilasciato un exploit di esecuzione di codice in modalità remota per WebCalendar .

Sebbene /include/formvars.php non sia il vero file vulnerabile, è un buon modo per verificare che WebCalendar sia installato. Sembra che l'autore dell'attacco abbia bisogno di install/index.php e includes/settings.php , tuttavia questi file sono molto comuni, quindi controllando se questi file sono presenti non c'è alcuna garanzia che sia effettivamente un'istanza di WebCalendar. Se il file /include/formvars.php è presente, probabilmente seguirà una richiesta POST a install/index.php per iniettare il codice PHP e quindi una richiesta GET a includes/settings.php per eseguire il carico utile immesso.

    
risposta data 25.04.2012 - 18:01
fonte

Leggi altre domande sui tag