Cubeの日記: 朝から(発信元は外国からだろうから、現地時間では多分夜なんだが・・・)スクリプトキディ対策。
日記 by
Cube
perl の libwww (LWP) が UA となっているアクセスがやたら増えている。
発信元のIPはバラバラだけど、perl のバージョン番号と、
要求してくる URL に一定のパターンが見受けられるので
- スクリプトで発信元IPを詐称した上でアクセス
- 何らかの踏み台を利用してアクセス
- ダイアルアップ回線を頻繁に再接続
このうちのいずれかを実行しているものと思われる。
どの穴を突こうとしているのかを調べてみたら・・・
この穴を狙っている模様。
この深刻な穴が実装されているソフト、
「多分PHPで作成されたオープンソースのグループウェアか管理ツールだろうなぁ」と推測はできたものの、
その詳細は知らなかったのでこのソフトについても調べてみたら、
ありました。これでした。
スクリプトキディが要求してくる URL の中には、特定のサイトへの URL が仕込まれている。
ちょっとだけその中身に興味を持ったので、
lynx を使って閲覧してみたら、その実体は PHP のインクルードファイルで、
完全なるバックドア作成スクリプトでしたよ。
あらかじめ、それなりの対策は施しているサーバなので、
放置していても問題ないのだが、
無駄に LOG が増えるのはやはり勘弁して欲しいものですな。
# ちなみに埋め込まれている URL はスウェーデンのWebサーバ宛のモノ(.se で終わる)
朝から(発信元は外国からだろうから、現地時間では多分夜なんだが・・・)スクリプトキディ対策。 More ログイン