人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

apacheのアクセスログの中に下記のようなモノが幾つかあります。

アタックされていると思うのですが、どんな事をされているのでしょうか?
また、どのように対処したらよいでしょうか?

ちなみにログに書かれている「phplist」というものは入れていません。
phpのバージョンは「5.1.6」。
php,iniの「allow_url_fopen」は「off」。「allow_url_include」という項目はありません。

▼ログの内容(以下のような表記がいくつもある)
216.98.154.122 - - [27/Feb/2011:22:50:57 +0900] "GET //phplist/lsts/admin/index.php?_SERVER[ConfigFile]=../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1" 301 -

●質問者: tetlis
●カテゴリ:インターネット ウェブ制作
✍キーワード:Apache ETC GET HTTP INDEX
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● deflation
●35ポイント

メール配信システム「PHPList」を使ってスパムメールをバラ蒔こうという目的だと思います。

PHPListがインストールされていないなら、無視して良いでしょう。


2 ● JULY
●35ポイント

このセキュリティホールを使おうとしているのかなぁ。

phplist forums • View topic - New release 2.10.9 - security update

このセキュリティホールを使うと、サーバ上のファイルを表示させる事が出来るらしく、質問文にあるログだと、UNIX 系 OS のアカウント情報ファイルである /etc/passwd の中身を取得しようとしたものでしょう。

deflation さんがおっしゃる通り、そもそも PHPList が入っていないのなら心配する必要はありません。アタックする側は、基本的には「下手な鉄砲も数撃ちゃ当たる」で、実際に問題の PHPList が入っているかいないかはお構いなしです。

もし、入っているのであれば、PHPList を最新のものにアップデートする必要があります。「../」が繰り返されているのは、適当に親ディレクトリにさかのぼって試しているだけで、もし、問題のある PHPList を使っていると、「../」の数を変えながら試しているうちに、/etc/passwd の中身が表示されてしまう、という事になります。

もし、サーバが Windows 系であれば、/etc/passwd というファイルは無いので、問題は起きませんが、/etc/passwd の代わりに、別のファイルを指定される可能性もあるので、Windows だから安心、という訳ではありません。

ちょっと気になるのは、ログに記録されている HTTP のステータスが「301」な事で、単純に「/phplist/lsts/admin/index.php」に該当する物が無ければ、「404」になりそうな気がするのですが...

HTTPステータスコード - Wikipedia

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ