最近「phpmyadmin アタック」などで訪れる方が結構いるので、気になって調べたら前回と異なるアタックがあることを知り、昨日ログを見てみたところ案の定というか当日アタックした形跡がありました。
参考にしたページは下記になります。
狙われるphpMyAdmin、攻撃のきっかけは? - @IT
その時のログが下記となります。
エラーログ
[Mon May 02 04:16:22 2011] [error] [client 70.38.31.149] Invalid URI in request GET HTTP/1.1 HTTP/1.1
[Mon May 02 04:16:22 2011] [error] [client 70.38.31.149] client denied by server configuration: /var/www/phpmyadmin/scripts/setup.php
[Mon May 02 04:16:23 2011] [error] [client 70.38.31.149] File does not exist: /home/xxx/public_html/phpMyAdmin
「client denied by server configuration」とあるのを見ると、どうやら/phpmyadmin/scripts/setup.phpにアクセスしようとしたものの、phpmyadminを外部公開していないためApacheに弾かれた模様です。
そしてアクセスログにもアクセスを試みたログが残っていました。
70.38.31.149 – – [02/May/2011:04:16:22 +0900] “GET HTTP/1.1 HTTP/1.1” 400 226 “-” “Toata dragostea mea pentru iEdi”
70.38.31.149 – – [02/May/2011:04:16:22 +0900] “GET /phpmyadmin/scripts/setup.php HTTP/1.1” 403 230 “-” “Toata dragostea mea pentru iEdi”
70.38.31.149 – – [02/May/2011:04:16:23 +0900] “GET /phpMyAdmin/scripts/setup.php HTTP/1.1” 404 226 “-” “Toata dragostea mea pentru iEdi”
このアタックはphpmyadminの脆弱性を付いたもので、アクセスに成功するとそこからコマンドを送信し、返答があるのかどうか確認するようです。
ちなみに今回アクセスはワームによるものと思われます。すでに同様のアタックで踏み台にされたマシーンとかだったりするのかも知れません。
[ad#ad_footer]
コメント
コメントを投稿