web-dev-qa-db-ja.com

サーバーアクセスログにBOT / 0.1(JCEのBOT)からのリクエストが表示されるのはなぜですか?

私のサーバーはBOT/0.1 (BOT for JCE)として識別されるユーザーエージェントでリクエストを取得し続けます最初のリクエストは2013-09-14 22:13:17 CEST、最後のリクエストはまだ約3日前、2014- 08-12 06:05:39 CEST。

  • それらのほとんど(約60%)はHTTP/1.1のGETメソッドを使用し、既に使用しているパスに基づいてサイトのさまざまな場所でindex.phpを取得しようとします。 PHPをまったく使用していないため、常に404ステータスコード(Not Found)または400(Bad Request)で応答します。

  • それらの約40%がHTTP/1.1 POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager…&cid=20…のリクエストです。ここで、

    1. &version=1576および空の文字列(約50%)、または
    2. &method=formおよび

      &6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b
      

      (約50%)、または

    3. めったに&method=formおよび

      &6bc427c8a71281f4fe1f5ac65c1246b5f=cf6dd3cf11223c1250586d0dd5125c8e20b
      

    GETリクエストと同様に、これは私のサイトが使用するURLの後に追加されることがあります。これらのほとんど(75%)は404または400になります。しかし、MwForumのインストール(25%)に達すると、200 OK(1番目のサブタイプの場合)または500 Internal Server Error(2番目と3番目のサブタイプの場合)さえ生成されます。

  • それらの約5%(上記のパーセンテージの「ラウンドオフ」エラー)は完全に不正なリクエストであり、パスとクエリ文字列があるはずのリクエスト行にHTMLコードの一部があります。それらのほとんどはPOSTをMwForumに試します。最初に、私のサイトのページの1つのURLがあり、その後に引用符、HTMLコードがあり、さらに/index.php?option=com_jce&…が追加されたURLがあります。彼らはおそらく愚かなウェブスクレイピングから来ています。

サンプルのログ行:

2014-08-05 22:50:32 93.95.74.25 "HTTP/1.1" GET example.com "/index.php" 400 0 0 "-" "BOT/0.1 (BOT for JCE)" "-"
2014-02-23 08:50:35 202.29.16.241 "HTTP/1.1" POST example.com "/mwforum/topic_show.pl?tid=1485/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b" 500 711 0 "-" "BOT/0.1 (BOT for JCE)" "-"
2014-01-28 15:25:55 94.23.4.47 "class=\"url\" data-dot=\"url\">example.com/mwforum/topic_show.pl?tid=1485</a> </div> </div> </div> <script> JAK.Fulltext.ResultScreenshotResize(\"#resultNumber4\"); </script> </div> <div data-dot=\"4\" data-Elm=\"r4\"> <div class=\"modCont result cr\" id=\"resultNumber5\"> <a href=\"http:/tracker.modx.com/issues/7324\" class=\"fullclick\"></a> <div class=\"screenshot\"> <a id=\"modImgA-5\" href=\"http:/tracker.modx.com/issues/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.1" POST example.com "/mwforum/topic_show.pl?tid=1485\"" 500 711 0 "-" "BOT/0.1 (BOT for JCE)" "-"

ボットはJoomla Content Editor(JCE)を悪用しようとしていますか? JCEもJoomlaもPHP自体も使用していません。 これらのリクエストについてどうすればよいですか?

2
Palec

はい、このボットはJCEを悪用しようとしています。おそらく非常に強力な 公開されているエクスプロイト (+ ミラー )をJCE < 2.0.11。これは本当に時代遅れのバージョンですが、多くのインスタンスはまだ野生です。 JCE 2.0.11は2011-08-29にリリースされましたが、エクスプロイトはリリース後に利用可能になりました(作成者がWordを保持している場合)。

JCEがサイトにインストールされていない場合、これらのログエントリを安全に無視できます。(他の誰かがこの攻撃を隠していない限り、誰にもわかりません…)

JCEの古いバージョンを使用している場合は、すぐにアップグレードし、サイトに害が加えられていないかどうかを確認してください。関連する投稿のTo webmastersセクションUnmask Parasites blog で。

ご覧のとおり、これは無視できない、または取るに足らない脅威を考慮することができないものです。ハッカーがサイトを見つけられないことを願うのは馬鹿げています。今日、ハッカーはわずか10年前にGoogleとほぼ同じくらい効率的にインターネットをスパイダーするためのリソースを持っているため、サイトが気付かれることはほとんどありません。ハッキングを防止する唯一の方法は、積極的に対処することです。すべてのソフトウェアを最新の状態に保ち、サイトを強化します。

この特定のJCE攻撃の場合:

  1. Joomlaサイトを最新バージョンにアップグレードしてください。
  2. JCEを最新バージョンにアップグレードします。 Joomla here の3つのブランチすべてのダウンロードパッケージを見つけることができます。
  3. すべてのファイルアップロードディレクトリ、および.phpファイルを含めるべきではないすべてのディレクトリを保護します。たとえば、次の.htaccessファイルを配置して、PHPファイルの実行を防ぎます。

    <Files *.php>
    deny from all
    </Files>
    
  4. BOT/0.1(JCEのBOT)” User-Agent文字列でリクエストをブロックしてみてください。もちろん、これは本当の保護と見なされるべきではありません。ハッカーはUser-Agent文字列を必要なものに変更できます。しかし、それはいくつかの愚かな迷惑なボットをサイトから遠ざけるのに役立ちます。

  5. 何らかの理由で現在のところサイトをアップグレードできない場合は、悪意のあるトラフィックがサーバーに到達する前にブロックする website firewall の背後に配置することを検討してください。これは、Sucuriで virtual patching と呼ばれるものです CloudProxy

免責事項:私はスクリとは一切関係ありません。

関連する

2
Palec