我为第一个计时器的大帖子道歉.我无法找到/tmp/phpXXX在我的服务器上创建的文件的原因.似乎有些网站(以下数据中的BAD GUY IP)正在向我的网站发送帖子以获取Joomla漏洞(我没有安装Joomla).攻击尝试上传gif文件,然后将gif文件重命名为php文件."gif"文件中的代码是一个木马控制面板.我很确定攻击者无法将gif文件重命名为php文件.
我的问题是如何/tmp/phpXXX在我的网站上创建文件?为什么/tmp/phpXXX文件会粘在一起?似乎图像上传和重命名失败,因此应该清理临时文件.我试图复制攻击帖子对我的网站没有运气创建/tmp/phpXXX文件.
似乎如果我能理解为什么/tmp/phpXXX文件会粘在它上面会帮助我理解我的网站上是否有真正的漏洞.
谢谢阅读!
我的网站由雅虎托管
我在/tmp目录中找到了特洛伊木马的临时文件.它看起来像是一个Joomla JCE漏洞攻击(我没有安装Joomla)请参阅:http://forum.joomla.org/viewtopic.php
?f = 432&t = 740054创建的文件是随机文件名(即phpXXX )
这些文件包含以下内容(我能够删除刻度线之间的坏东西)
GIF89aGiam
<?php eval(gzinflate(str_rot13(base64_decode('')))); ?>
我将/ tmp/phpXXX文件时间与我的access.log文件中的某些帖子相关联
这是最近的一些帖子......
BAD GUY IP - - [25/Feb/2014:22:09:15 -0800] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 200 12608 "-" "BOT/0.1 (BOT for JCE)" "www.MYSITE.com"
BAD GUY IP - - [25/Feb/2014:22:09:22 -0800] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 200 12608 "-" "BOT/0.1 (BOT for JCE)" "www.MYSITE.com"
BAD GUY IP - - [25/Feb/2014:22:10:03 …