パスワードを忘れた? アカウント作成
499409 journal

Cubeの日記: 朝から(発信元は外国からだろうから、現地時間では多分夜なんだが・・・)スクリプトキディ対策。

日記 by Cube

perl の libwww (LWP) が UA となっているアクセスがやたら増えている。
発信元のIPはバラバラだけど、perl のバージョン番号と、
要求してくる URL に一定のパターンが見受けられるので

  • スクリプトで発信元IPを詐称した上でアクセス
  • 何らかの踏み台を利用してアクセス
  • ダイアルアップ回線を頻繁に再接続

このうちのいずれかを実行しているものと思われる。

どの穴を突こうとしているのかを調べてみたら・・・
この穴を狙っている模様。

この深刻な穴が実装されているソフト、
「多分PHPで作成されたオープンソースのグループウェアか管理ツールだろうなぁ」と推測はできたものの、
その詳細は知らなかったのでこのソフトについても調べてみたら、
ありました。これでした。

スクリプトキディが要求してくる URL の中には、特定のサイトへの URL が仕込まれている。
ちょっとだけその中身に興味を持ったので、
lynx を使って閲覧してみたら、その実体は PHP のインクルードファイルで、
完全なるバックドア作成スクリプトでしたよ。

あらかじめ、それなりの対策は施しているサーバなので、
放置していても問題ないのだが、
無駄に LOG が増えるのはやはり勘弁して欲しいものですな。

# ちなみに埋め込まれている URL はスウェーデンのWebサーバ宛のモノ(.se で終わる)

この議論は、Cube (1686)によって テキ禁止として作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...