在检查我的网站日志时，正如每个人都应该做的标准操作，我发现了一个非故意的蜜罐。

问：尝试黑入 rss 提要的目的是什么，这可能吗？

为了展示这些攻击尝试有多么糟糕，快速查看您的网站的日志应该会突出显示一些针对漏洞扩展的基本攻击尝试。

这个网站使用出色的 feedgator 工具来获取 VEL 列表并将其插入到内容项目/文章/帖子中。显然，这些最终会在某个搜索引擎中出现。

进行第一次利用搜索的脚本小丑可能会看到这些结果并尝试黑入这些链接。
这是他们的第一个错误，没有使用好的机器人或手动检查这些链接是否有效。

那么这些攻击看起来是什么样的呢？
日志检查将显示类似以下内容。

&controller=../../../../../../../../../../../proc/self/environ%0000

我的日志检查显示，最近扫描这个 rss 到内容提要的人尝试利用已知的 vel 项目（这些项目在网站上没有使用）
因此，这表明在您的 htaccess 文件中使用 proc 防御是一个明智的想法，但是请记住，每次升级 joomla 时都要更新您的 htaccess，因为它们有时会发生变化。

我个人认为“最好”的攻击是这样的
*.php?option=com_juliaportfolio

以下是您的 htacccess 中的 proc defender 代码。

## 这尝试阻止最常见的针对 Joomla! 的 `尝试` 类型的攻击
# # proc/self/environ? 不可能！ RewriteCond %{QUERY_STRING} proc\/self\/environ [OR]
# 阻止任何试图通过 URL 设置 mosConfig 值的脚本
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]

以下是他们出现在日志中的示例，它们被修剪以便于阅读，但请注意 libwww 机器人，它被评论 在这个话题中。403 代码表示它们被阻止。

/joomla/news//index.php?option=com_properties&controller=../../../../../../../../../../../../../../.
Http 状态码：403
日期：5月13日 08:59:15
Http 版本：HTTP/1.1 字节大小：798 代理：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2) Gecko/20100115 Firefox/3.6

/joomla/news//index.php?option=com_juliaportfolio&controller=../../../../../../../../../../../../../../../
Http 状态码：403
日期：5月13日 05:10:31
Http 版本：HTTP/1.1 字节大小：706 引用：- 代理：libwww-perl/5.834