ozumaの日記: Apache Magica攻撃もルーマニアっぽいですよ 2
日記 by
ozuma
徳丸せんせーのところで紹介されていたCGI版PHPへのアタックが、うちのさくらのVPSのApacheにも来ていたのでちょっとまとめてみた。
*CGI版PHPへのApache Magica攻撃の観察
自分で言うのもアレですが、まだこれ追っている人はほとんどいないようなのでそれなりに役立つ文書かなと。
しかしC&Cサーバの観察もやってみたいのですが、色々とブラックな部分が強すぎてなかなか近寄れませんね。とりあえず今回はFQDNが分かったので、takedownにそなえて定期的にIPアドレスが変わっているらしい? というのを調べておくか。
ちなみに最近はずっとセキュリティエンジニアっぽい活動していますが、なかなか道が開けません。行き詰まり感あるなー。
実はどうしても行きたい会社があってちょっと活動していましたが、残念ながら上手くいきませんでした。でもめげずに頑張ります。
こんなのあるんだ (スコア:0)
うちはPHP/5.5.5だけど、どうなるのかなと思って、わざわざCGI版作ってエンコードされたURL打ってみたら、/cgi-bin/phpが無かったので不発。
わざわざ/cgi-bin作ってリンク張ったのにどうして?と思ったらphp呼んでるのね。
php-cgiに変えても良かったけど、php-cgiからphpにリンク貼り替えてもう一度トライしたら、ログにこんなん吐かれた。
Tiny Tiny RSSのupdate.phpの更新作業の為に、CLI版phpを作って使っていたけど微妙だな。
ttrssはmod_phpだし、update.phpもCGI版じゃなくCLI版使ってるわけで、今回の件とは直接関係ないけど怖くなった。
phpも相変わらず脆弱性の塊なんだな。
Re:こんなのあるんだ (スコア:1)
今回は/cgi-bin/phpに直接攻撃できるので、攻撃者もわざわざphpスクリプトを探す必要が無くて便利なためか(?)、結構あちこち事前スキャンが始まってるみたいです。
CLI版なら、今回の脆弱性の根幹である「GET引数のパラメタがそのままPHPパラメタに渡ってしまう」が無いので大丈夫なはずですが、今後の研究に期待(?)ですね。お気を付けてー