アタックの兆候

いつものように、apacheとかpostfixのリアルタイムに流して、眺めていたら、

srv002.infobox.ru - - [17/May/2009:21:25:31 +0900] "GET //administrator/components/com_serverstat/install.serverstat.php?mosConfig_absolute_path=../../../../../../../../../../../../../etc/passwd%00 HTTP/1.1" 404 446 "-" "libwww-perl/5.805"

というアクセスがあったのに気づいた。
勿論、うちではPHPを使ったツールは殆ど動いていないし、アクセスによっての影響がないのは判っていたのだけど、ちょっと調べてみたら、どうやら3年前に見つかったセキュリティホールを狙ったモノらしいことが判明・・・。

▽ Serverstat component for Mambo------------------------------------
Serverstat component for Mamboは、細工されたURLリクエストをinstall.serverstat.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。

ScanNetSecurity - セキュリティホール情報<2006/09/19>

多分攻撃対象になっているツールを使っているところは、とっくの昔に対策が済んで居るんだろうと思うけど、アタックしようとする方は機械任せで総当たりにやっているのだろうし、「ウチは大丈夫」なんて思わない方がよい、って例なんでしょうなぁ〜。
甘いパスワードが付いたアカウントを探すアクセスは、相変わらずあるし、ホント気を抜けませんな。


トラックバック(0)

コメントする