CakePHP의 이상한 캐시 파일

Question

이 문제입니다 :

CakePHP의 캐시 /보기에 이상한 캐시 파일을 생성하는

"2f400_shtml.php" "d_allow_url_include_3don_d_auto_prepend_file_3d_2f_2f_2f_2f_2f_2f_2f_2f_2f_2f_2f_2fetc_2fpasswd"

확실히 무슨 이해하지 않는다, 요청에서이 파일을 검토하면이 파일의 서버를 비 직렬화합니다.

"query";a:1:{s:10:"/400_shtml";s:0:"";} 

누군가 이미이 문제가 있었습니까?

프로덕션 서버에서 발생하지만 내 로컬 환경에서는 발생하지 않습니다.

이러한 공격을 시도 할 수 있습니까?

감사합니다. 귀하의 의견에 감사드립니다.

Answer 1

네, 누군가 당신의 사이트를 망치는 것처럼 보입니다. 그들이 /etc/passwd 파일에 액세스하려는 것 같습니다.

누군가 Cake에서 캐시 파일을 만들도록 URL을 지정했습니다. Cake는 히트 한 URL을 URL 인코딩하여 특수 문자를 밑줄로 바꿉니다.

그래서 요청에/문자가 많이 포함되었을 것입니다.

아파치 access.log의 파일에서 봐, 그리고 당신이 요청하는 사람들의 종류를 만들어왔다 명확하게 볼 수 있습니다 :

일예

cat <apache_logs_dir>/access.log | grep passwd 

두 번째 것과 비슷한 요청을 표시합니다.

나는 그들이 아파치는 사용자가 원하는 디렉토리에 액세스 할 수 있도록 아마 시간이 어떤 성공을 :)

그것이 없었 자신을 확인하기 위해 그것을 시도 할 것입니다. 나는이에 대한 <directory> 태그를 사용할 수 있다고 생각 :

http://httpd.apache.org/docs/2.2/mod/core.html#directory

구글 주위에 보면 (나는 단지 개봉 IIS를 사용하는 경우 유사한 기능을 조사해야합니다, 당신은 아파치를 사용하는 가정입니다) 링크에서

http://blog.sucuri.net/2012/05/php-cgi-vulnerability-exploited-in-the-wild.html

추출 :

누군가가이 취약점을 악용하려고 할 수있는 것 같습니다

The PHP guys are recommending the following .htaccess hack to block those attacks: 

    RewriteEngine on 
    RewriteCond %{QUERY_STRING} ^[^=]*$ 
    RewriteCond %{QUERY_STRING} %2d|\- [NC] 
    RewriteRule .? – [F,L]