apacheのアクセスログの中に下記のようなモノが幾つかあります。


アタックされていると思うのですが、どんな事をされているのでしょうか?
また、どのように対処したらよいでしょうか?

ちなみにログに書かれている「phplist」というものは入れていません。
phpのバージョンは「5.1.6」。
php,iniの「allow_url_fopen」は「off」。「allow_url_include」という項目はありません。

▼ログの内容(以下のような表記がいくつもある)
216.98.154.122 - - [27/Feb/2011:22:50:57 +0900] "GET //phplist/lsts/admin/index.php?_SERVER[ConfigFile]=../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1" 301 -

回答の条件
  • 1人2回まで
  • 13歳以上
  • 登録:2011/02/28 10:50:36
  • 終了:2011/03/07 10:55:03

回答(2件)

id:deflation No.1

deflation回答回数1036ベストアンサー獲得回数1262011/02/28 12:51:02

ポイント35pt

メール配信システム「PHPList」を使ってスパムメールをバラ蒔こうという目的だと思います。

PHPListがインストールされていないなら、無視して良いでしょう。

id:JULY No.2

JULY回答回数966ベストアンサー獲得回数2472011/02/28 16:35:30

ポイント35pt

このセキュリティホールを使おうとしているのかなぁ。

phplist forums • View topic - New release 2.10.9 - security update

このセキュリティホールを使うと、サーバ上のファイルを表示させる事が出来るらしく、質問文にあるログだと、UNIX 系 OS のアカウント情報ファイルである /etc/passwd の中身を取得しようとしたものでしょう。

deflation さんがおっしゃる通り、そもそも PHPList が入っていないのなら心配する必要はありません。アタックする側は、基本的には「下手な鉄砲も数撃ちゃ当たる」で、実際に問題の PHPList が入っているかいないかはお構いなしです。

もし、入っているのであれば、PHPList を最新のものにアップデートする必要があります。「../」が繰り返されているのは、適当に親ディレクトリにさかのぼって試しているだけで、もし、問題のある PHPList を使っていると、「../」の数を変えながら試しているうちに、/etc/passwd の中身が表示されてしまう、という事になります。

もし、サーバが Windows 系であれば、/etc/passwd というファイルは無いので、問題は起きませんが、/etc/passwd の代わりに、別のファイルを指定される可能性もあるので、Windows だから安心、という訳ではありません。

ちょっと気になるのは、ログに記録されている HTTP のステータスが「301」な事で、単純に「/phplist/lsts/admin/index.php」に該当する物が無ければ、「404」になりそうな気がするのですが...

HTTPステータスコード - Wikipedia

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません