はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/01/16
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

このページは表示専用です。新規投稿・レスや最新情報はこちらです。

 awstats を狙ったと思われるアクセス
日時: 2005/05/09 14:40
名前: ふむ
参照: http://www.itmedia.co.jp/enterprise/articles/0502/03/news015.html

 事情あって awstats について調べていた者です。突然失礼します。
 2日前、うちのサーバのログに下記のようなアクセス記録がありました。

   GET //cgi-bin/awstats.pl?configdir=|%20id%20| HTTP/1.1

 何のことやら、わからなかったので、リクエストの内容を頼りに検索で調べていたところ、こちらのサイトに行き当たり apache のアクセスログ解析ツールだと知ったのですが、さらに調べると上記のリクエストはバグを悪用した攻撃らしいことがわかりました(URL の記事をご参照ください)。
 余計なことではないかとも思いましたが、こちらを参考にさせていただいたことでもあり、うちのサーバへのアクセスがごく最近のことでこちらのサイトに来る可能性もありそうなので、ご報告まで。
 では。

■ コンテンツ関連情報

 Re: awstats を狙ったと思われるアクセス ( No.1 )
日時: 2005/05/10 11:19
名前: 管理者

ふむ様。はじめまして。

貴重な情報をありがとうございました。
当方のログにも同じアクセス記録がありました。
幸いな事に、当サイトはCGIによる実行を公開していない(cronで内部実行)ので問題はないと思います。
ご心配を頂きまして、大変ありがとうございました。

今後とも、宜しくお願い致します。
 Re: awstats を狙ったと思われるアクセス ( No.2 )
日時: 2005/05/20 12:37
名前: HGlite

これ、なんですかね?
httpd の access_log に記録されていたんですが…。

220.55.132.41 - - [19/May/2005:09:04:38 +0900]
"GET / HTTP/1.0" 200 220 "-"
"Opera/8.0 (Windows NT 5.0; U; en)"
220.55.132.41 - - [19/May/2005:09:05:55 +0900]
"GET /_you_are_craked_/check_tmp_dir_and_/_update_awstats HTTP/1.0" 404 346 "-"
"Opera/8.0 (Windows NT 5.0; U; en)"

・・・やはり「awstats」の脆弱性を突かれてクラックされた模様です。初体験です。

netstat -na|grep 6667 したら、

tcp    0   0 192.168.254.5:4234   194.134.7.195:6667   ESTABLISHED
tcp    0   0 192.168.254.5:4326   194.134.7.195:6667   ESTABLISHED
tcp    0   0 192.168.254.5:1849   161.53.178.240:6667   ESTABLISHED
tcp    0  156 192.168.254.5:4620   211.75.58.114:6667   ESTABLISHED
tcp    0   0 192.168.254.5:1607   211.75.58.114:6667   CLOSE_WAIT

と、覚えのないアドレスが…。

仕方がないので shutdown -h now してサーバをたたみ、
再インストールを決意しました。

ご参考までに、実行されていたコマンドを公開しましょうか?
 Re: awstats を狙ったと思われるアクセス ( No.3 )
日時: 2005/05/20 16:52
名前: 管理者

HGlite様。

・・・なんと言って良いものか、言葉に困ってしまいます。
しかし、クラックされてその影響は何でしょうね?
私の所は以下の様なアクセスが、ほぼ毎日あります。

"GET /awstats/awstats.pl?configdir=|echo%20;echo%20;id;echo%20;echo| HTTP/1.0"
"GET /cgi-bin/awstats.pl?configdir=|echo%20;echo%20;id;echo%20;echo| HTTP/1.0"

それ以外にも、ワームのリクエストが以下の様に数知れずアクセスがありますね。
"POST /_vti_bin/_vti_aut/author.exe HTTP/1.0"
"GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0 HTTP/1.1"
"GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0 HTTP/1.1"
"GET /NULL.printer HTTP/1.0 "

幸いな事に当方は今の所大丈夫そうですが、今後も目を光らせなければなりませんね。

> ご参考までに、実行されていたコマンドを公開しましょうか?
興味がありますが、それを見た悪意のある第三者がいるかもしれません。
そのコマンドが標準的なシェルコマンドであれば別ですが・・・

■ その他

ページ先頭へ


Copyright(©)2004-2018 First home server construction. All Right Reserved.