今天发现一个IP地址为 124.114.229.80 的电脑正在扫描我的服务器漏洞,服务器防火墙进行了拦截。
就是扫描幻灯片插件 RevSlider 的漏洞,使用类似于这个 URL 地址 http://localhost/admin-ajax.php?action=revslider_show_image&img=..%2Fwp-config.php 。 利用插件的这个漏洞可以远程下载服务器上任意文件。
很是奇怪,我从来没有安装过什么幻灯片插件,实在无法容忍这种缺德的乱扫行为。于是打算禁止该行为。
查看上面的 URL 链接,不难发现,这个网址是 http://localhost/admin-ajax.php ,后面问号跟着查询字符串,字符串中还有一个 .. ,很不寻常。所以,可以从该查询字符串下手,例如禁止查询字符串中的 .. 和 revslider 关键字。
在 Windows 主机上面,可以这样禁止,代码如下:
- <system.webServer>
- <security>
- <requestFiltering>
- <denyQueryStringSequences>
- <add sequence=".." />
- <add sequence="revslider" />
- </denyQueryStringSequences>
- </requestFiltering>
- </security>
- </system.webServer>
