如何在PHP中使用“../../[…]../../ETC/PASSWD”对服务器进行可能的攻击? -- linux 领域 和 security 领域 和 php 领域 linux 应用 相关 的问题

What to do about a possible attack on my server with “../../[…]../../ETC/PASSWD” in PHP?


1
vote

问题

中文

我正在运行由 one.com 托管的Web服务器(没有 root ),我曾经编码了一个小的"工具" ,该工具可以从"正常" 用户中产生有趣的字母通过PHP $ _GET输入。这个东西是2000年,但人们仍然使用它,所以我一直在线。

由于担心服务器受到攻击,因此我记录了所有包含大量特殊字符或"系统文件夹" 或其他* nix命令名称的输入-现在,几年后,我实际上收到了一个奇怪的信息输入:

  ../../../../../../../../../../../../../../../../../ETC/PASSWD   

我什至没有注意到我猜它是否不会自动下载(这是一个 .txt ,我将所有输入推入其中,通常直接在Chrome中显示,但是这次启动了为此下载一个文件-尽管我显示的 .txt 比Chrome中的要大得多,但不必下载它,但可能与文件大小有关

问题是:我应该担心吗?这看起来像是自动攻击吗?您是否曾经收到过类似的信息?我明白了,但今天的服务器真的很容易受此简单的攻击吗?另外,为什么还要打印文件内容呢?我的脚本将输入作为字符串处理,因此不应以这种方式读取系统文件。

Google列出了 $_GET URL( [h264 @ 0x56524c25dea0] Invalid NAL unit 0, skipping. [h264 @ 0x56524c25dea0] error while decoding MB 32 2, bytestream -7 [h264 @ 0x56524c216260] Invalid NAL unit 0, skipping. [h264 @ 0x56524c216260] error while decoding MB 46 16, bytestream -5 [h264 @ 0x56524c25dea0] Invalid NAL unit 8, skipping. [h264 @ 0x56524c25dea0] error while decoding MB 36 1, bytestream -13 [aac @ 0x56524c1e6ea0] Number of bands (57) exceeds limit (44). Error while decoding stream #0:1: Invalid data found when processing input [aac @ 0x56524c1e6ea0] channel element 3.10 is not allocated Error while decoding stream #0:1: Invalid data found when processing input ... [aac @ 0x56524c1e6ea0] Number of bands (48) exceeds limit (44). Error while decoding stream #0:1: Invalid data found when processing input [aac @ 0x56524c1e6ea0] Error decoding AAC frame header. Error while decoding stream #0:1: Error number -50531338 occurred [aac @ 0x56524c1e6ea0] Input buffer exhausted before END element found Error while decoding stream #0:1: Invalid data found when processing input [aac @ 0x56524c1e6ea0] decode_pce: Input buffer exhausted before END element found Error while decoding stream #0:1: Invalid data found when processing input [null @ 0x56524c1e7d20] Application provided invalid, non monotonically increasing dts to muxer in stream 1: 12351488 >= 12350464 [null @ 0x56524c1e7d20] Application provided invalid, non monotonically increasing dts to muxer in stream 1: 12351488 >= 12351488 0 ),因此,如果它是机器人浏览/尝试所有结果,我不会像有人那样担心告诉我,我可能会受到一些饼干的攻击。

英文原文

I am running a web server (no root) hosted by one.com and I once coded a little xe2x80x9ctoolxe2x80x9d that makes funny letters out of a xe2x80x9cnormalxe2x80x9d user input though PHP `$_GET. This stuff is so 2000 but people still use this so I kept it online.

Being afraid of attacks on the server I log all the input that includes an extraordinary amount of special characters or includes names of xe2x80x9csystem foldersxe2x80x9d or other *nix commands - and now, after a couple of years I actually received a weird input:

../../../../../../../../../../../../../../../../../ETC/PASSWD 

I wouldnxe2x80x99t even have noticed I guess if it didnxe2x80x99t download automatically (it is a .txt I am pushing all that input onto and usually it displayed directly in Chrome but this time it started a download for this - might have something to do with file size although I displayed .txtxe2x80x99s much larger than that in Chrome without having to download it already)

The question is: Should I be worried? Does this look like an automated attack? Have you received similar input once? I get what itxe2x80x99s saying but are todayxe2x80x99s servers really vulnerable to this simple thing? Also, why should it print the content of the file then? My script processes the input as a string and therefore no system file should be read this way.

The $_GET URL (DOMAIN/a.php/?get=test) is listed at Google so if it was a bot browsing/trying all results I wouldnxe2x80x99t feel as concerned as I was if someone told me that I am probably being targeted by some crackers.

        

回答列表

2
 
vote
vote
最佳答案
 

问题是:我应该担心吗?这看起来像自动的吗 攻击?您是否曾经收到过类似的信息?我明白了 但是今天的服务器真的容易受到这种简单事情的影响吗?还, 为什么要打印文件内容呢?我的脚本过程 输入为字符串,因此不应读取任何系统文件 方式。

不用担心。这不是攻击,而是脚本或探测服务器的内容。所有站点/服务器都会一直受到调查,由于缺乏更好的用语,您不能以任何方式亲自使用此类内容,否则您会发疯的。

在这种特定情况下,在使用 /etc/shadow 进行实际密码存储的任何系统上,对于 /etc/passwd 的狩猎都是非常基本的而且毫无意义的。我相信,自1993年以来,该服务器几乎占所有服务器的99.999%。

我不会担心,但是,也许您可​​以通过将PHP脚本编码为"防火墙" ,以防止系统读取运行目录之外的任意文件,从而放心使用。

该如何处理?不看代码就很难说,但是总的原理是,您可以抓住给出的所有输入,然后清理它以适合您的数据输入需求。不需要的数据中的所有格式都会被丢弃。

但是总的来说,我不会因为这样的事情而睡不着。

 

The question is: Should I be worried? Does this look like an automated attack? Have you received similar input once? I get what itxe2x80x99s saying but are todayxe2x80x99s servers really vulnerable to this simple thing? Also, why should it print the content of the file then? My script processes the input as a string and therefore no system file should be read this way.

No worries. This is not an attack but a script or something probing your server. All sites/servers are being probed all the time and you canxe2x80x99txe2x80x94for lack of a better termxe2x80x94take this kind of stuff personally in any way or youxe2x80x99d go nuts.

And in this specific case hunting for /etc/passwd is quite rudimentary and nonsense on any system that uses /etc/shadow for actual password storage. Which accounts for pretty much 99.999% of all servers out there since about 1993 I believe.

I wouldnxe2x80x99t be worried but that said, maybe you could ease your mind by coding your PHP script to xe2x80x9cfirewallxe2x80x9d against the system reading arbitrary files outside of itxe2x80x99s running directory.

How to do that in your case? Hard to say without seeing your code, but the general philosophy is you grab whatever input is given and then clean it to suit your data input needs. Any formatting in that data that you donxe2x80x99t need just gets trashed.

But in general I would no lose sleep over stuff like this.

 
 

相关问题

0  pdftotext将空格转换为百分比,将破折号转换为6  ( Pdftotext converts spaces to percents and dashes to sixes ) 
pdftotext以某种方式将特定pdf的所有空格字符("" )转换为百分号("%" ),将所有破折号("-" )转换为六(" 6" )。 任何想法如何防止这种行为?或如何诊断呢? 很抱歉,我目前无法共享pdf。这可能使回答这个问题太困难了。但是基于这些怪异的字符替换,也许有人仍然可以做出很好的猜测。 pdfto...

0  Linux桌面运行缓慢,硬盘点亮,但无法从顶部,iostat和vmstat找出原因  ( Linux desktop slow hard disk is lighting but cannot figure the reason from top ) 
我试图弄清楚为什么有时候HD灯和计算机变得非常慢,但是我无法弄清原因。下面是我的iostat,vmstat和top -n1。有什么想法吗? <(command)9 ...

0  如何允许同一组中的用户chmod一个文件?  ( How to allow a user in a same group chmod a file ) 
我有一个非常简单的用例,但不知怎么用。 我有一个用户部署,它属于 www-data 组。 当我尝试对文件进行chmod 777(如下所示)时,出现权限错误。 www-data www-data 31 Jul 26 09:46 f1f839b7e0e635d46129a4c4073e76a9 当部署属于同...

0  是否可以在不同大小/型号的SSD之间成功克隆(带有dd)Linux OS磁盘?  ( Is it possible to successfully clone with dd a linux os disk between different ) 
我在相当旧的SSD上安装了CentOS。 SSD在系统日志中指示硬件问题。 我怀疑以下问题的答案是 否 ,特别是由于超级块和引导扇区的放置,但是- 是否可以在不同大小/型号的SSD之间成功地(用dd克隆)Linux OS磁盘? 具体来说,下面的方法可以吗? $ dd if=/dev/oldSSD of=/de...

1  tomcat访问日志的问题  ( Problems with the tomcat access logs ) 
我需要你的帮助。 我想在SLES 12上的Apache Tomcat Web服务器上记录访问。 它正在运行并正常登录。但是,当我访问该站点时,tomcat正在将8行写入localhost_access_log.txt文件。像这样: <(command)7 现在我的问题: <(command)8 是否有可能...

3  为什么用伪tty跳SSH与转发SSH相比会更快?  ( Why would it be faster to hop ssh with pseudo tty versus forwarding ) 
我注意到,在我办公室的网络上,使用" pseudo-tty" 方法的多跳SSH连接比使用"转发" 方法的性能更好(请参阅最后说明)。为什么会这样呢? 换句话说,为什么: ssh -A -X -tt server1 ssh -X -tt server2 # pseudo-tty 与以下结果相比,性能要好得多...

11  Linux Bash Shell-文件遍历特定范围?  ( Linux bash shell file globbing specific range ) 
我的文件夹中有一堆文件: spreadsheet700.xls 电子表格800.xls 电子表格850.xls 电子表格1005.xls 电子表格2400.xls 如何使用文件范围选择编号以700或更高但小于1000的文件结尾并将它们放入新文件夹中? 我尝试过: cp电子表格* .xls,但通配符全选。预先感谢...

2  Firefox阅读器模式开始引起扬声器的噪音  ( Firefox reader mode begins noise from speakers ) 
我在基于Ubuntu 18.04.2 LTS的MATE Linux上; Firefox 66.0.3。当我单击"切换阅读器视图" 以启用阅读器模式时,扬声器开始播放白噪声。当我关闭浏览器时,它消失了。 可能是什么原因,如何调查发生的情况以及如何阻止它? ...

2  当有人开始讲话时,如何自动开始/停止录音?  ( How to start stop recording automatically when there is someone starts talking ) 
我想在某人开始讲话时开始录制,而在它变得无声时停止录制。 我猜是否有像 ImageMagick 这样的流音频处理工具,所以我可以像这样剥离空白部分: $ rec -t wav - | wavefilter -strip-blank=3sec | lame - >record1.mp3 编辑 此问题的解...

1  如何在Linux中识别风扇型号和其他风扇规格?  ( How can one identify the fan model and other fan specs within linux ) 
我知道我可以拆卸笔记本电脑来查找此信息,但是我很好奇是否可以在/ dev或/ proc目录中或从shell命令中找到它。在/ proc / acpi中没有风扇信息,lshw没有返回任何有用的信息。有什么想法吗? ...

0  GSM PPP没有互联网连接  ( Gsm ppp no internet connection ) 
我已经参考了3-4个有关使用GSM调制解调器设置PPP连接的教程。我有一个Linux操作系统-我将在Mint和Debian上使用它。 https://www.rhydolabz.com/wiki/?p = 16325#comment-50134 https://raspberrypi.stackexchan...

5  通过bash脚本操作系统剪贴板  ( Manipulate system clipboard via bash script ) 
是否可以让bash脚本在系统剪贴板中放置一些文本? (我将Ubuntu和默认的Gnome和Bash一起使用。) ...

3  我可以在PC键盘上的Mac OS X中使用Ubuntu / Linux键盘布局吗?  ( Could i use ubuntu linux keyboard layout in mac os x with a pc keyboard ) 
我是PC上的旧Ubuntu用户,我喜欢法语键盘布局,因为它使我可以轻松键入加重字符。 我找到了一个双赢的键盘布局,但这很像Windows,但效果不是很好。 我找到了xmodmap.fr键盘布局,我想知道是否可以在Mac SL 10.6.5中使用它,也许我可以做xmodmap xmodmap.fr或一种转换为mac布局...

16  安装Debian 7后apt-get请求安装媒体  ( Apt get requests installation media after installing debian 7 ) 
我通过 Debian的图像档案文件。 现在,当我尝试在某些条件下(即 apt-get install make )运行 apt-get 时,出现以下错误: Media change: please insert the disc labeled 'Debian GNU/Linux 7.3.0 _Wheezy_ ...

0  如何在没有at或cron的情况下运行定期排定的作业  ( How to run a periodic scheduled job without at or cron ) 
场景:您有一个无权访问cron 的用户,并且需要安排作业(例如目录的rsync)。不能使用 at ,因为您没有固定的结束日期。 我敢打赌,这里有成千上万种方法可以实现这一目标: ...




© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有


Licensed under cc by-sa 3.0 with attribution required.