با سلام خدمت دوستان

تازگی ها هشدارِ ایمیلی با عنوان Scanning web upload script file با یک ظاهر خاص و مشخصات خاص تر از طرف آنتی شلر CXS ارسال میشه که خیلی جالبه!

مورد اول اینه که اسکریپت در مسیری آپلود میشه که اصلاً وجود خارجی نداره.
توسط یوزر nobody هم انجام میشه.
و از همه مهم تر محل آپلود اسکریپت از روی یک سایت دیگه هستش که خودش با وردپرس ساخته شده!

فایلی که قرنطینه میشه رو هم بررسیش می کنی، فقط یک تابع echo پی اچ پی داره و کد مخرب دیگه ای توش نیست!!

البته پایین خود ایمیل هم گفته شده که می تونه دلیل این گزارش، مثبت کاذب ModSecurity باشه. ولی یکهویی این قبیل گزارش ها زیاد شد و در صورتی که تا قبل از این نبود!

دوستان می تونند یکم راهنمایی کنند و بگن که چطور میشه جلوی این گونه حملات رو گرفت؟ و اصلاً دلیلش چی می تونه باشه؟


cxs-alert.png

با تشکر ...