複数のJoomla!の脆弱性を悪用した攻撃を検知しました。
検知内容から、GitHubで公開されているXAttackerを利用したものと考えられます。
以下は、POSTでバックドア等を作成しようとしたパス一覧です。
URI.
POST /administrator/components/com_extplorer/uploadhandler.php HTTP/1.1
POST /administrator/components/com_rokdownloads/assets/uploadhandler.php HTTP/1.1
POST /com_sexycontactform/fileupload/index.php HTTP/1.1
POST /components/com_facileforms/libraries/jquery/uploadify.php HTTP/1.1
POST /components/com_foxcontact/lib/file-uploader.php?cid={}&mid={}&qqfile=/../../_func.php HTTP/1.1
POST /components/com_foxcontact/lib/uploader.php?cid={}&mid={}&qqfile=/../../_func.php HTTP/1.1
POST /components/com_jbcatalog/libraries/jsupload/server/php HTTP/1.1
POST /index.php?option=com_adsmanager&task=upload&tmpl=component HTTP/1.1
POST /index.php?option=com_fabrik&c=import&view=import&filetype=csv&table=1 HTTP/1.1
POST /index.php?option=com_fabrik&format=raw&task=plugin.pluginAjax&plugin=fileupload&method=ajax_upload HTTP/1.1
POST /index.php?option=com_foxcontact&view=loader&type=uploader&owner=module&id={}&cid={}&mid={}&owner=module&id={}&qqfile=/../../_func.php HTTP/1.1
POST /index.php?option=com_foxcontact&view=loader&type=uploader&owner=component&id={}?cid={}&mid={}&qqfile=/../../_func.php HTTP/1.1
POST /index.php?option=com_jwallpapers&task=upload HTTP/1.1
POST /index.php?option=com_media&view=images&tmpl=component&fieldid=&e_name=jform_articletext&asset=com_content&author=&folder= HTTP/1.1
POST /index.php?option=com_myblog&task=ajaxupload HTTP/1.1
POST /modules/mod_simplefileuploadv1.3/elements/udd.php HTTP/1.1
本ツールはCMSを対象とした検証ツールで、対象のサイトがどのCMSを使用しているかも判定してアクセスしてくれるみたいです。
XAttacker.plを読むと、下記の文字列マッチングで各CMSを判定しています。
Joomla!.
$cms =~/<script type=\"text\/javascript\" src=\"\/media\/system\/js\/mootools.js\"><\/script>| \/media\/system\/js\/|com_content|Joomla!/
WordPress.
$cms =~/wp-content|wordpress|xmlrpc.php/
Drupal.
$cms =~/Drupal|drupal|sites\/all|drupal.org/
Prestashop.
$cms =~/Prestashop|prestashop/
なるべく多くの方をOmotenashiさせていただくためには、上記のような文字列をサイトに含ませておくことが重要だと思います。(デフォルトでは入ってないからね)