www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(4)

Web ハニーポットの Glastopf で phpMyAdmin を狙った攻撃を発見しました.

 

2013-10-12 18:xx:x,503 (glastopf.glastopf) 50.x.x.x requested GET /w00tw00t.at.blackhats.romanian.anti-sec:%29 on x.x.x.x

2013-10-12 18:xx:x,048 (glastopf.glastopf) 50.x.x.x requested GET /phpMyAdmin/scripts/setup.php on x.x.x.x

2013-10-12 18:xx:x,080 (glastopf.glastopf) 50.x.x.x requested GET /pma/scripts/setup.php on x.x.x.x

2013-10-12 18:xx:x,517 (glastopf.glastopf) 50.x.x.x requested GET /myadmin/scripts/setup.php on x.x.x.x

2013-10-12 18:xx:x,977 (glastopf.glastopf) 50.x.x.x requested GET /MyAdmin/scripts/setup.php on x.x.x.x


※一部の情報を意図的に伏せています.

phpMyAdmin とは PHP で作られている,MySQL の管理ツールです.

上記のログは phpMyAdmin の割りと古い脆弱性を狙った攻撃で,もしやんごとなき事情により,2系や3系のバージョンを使っている場合は要注意です.今回は脆弱性の有無を確認する,調査行為の攻撃だけしか来ていませんでした.

この手の調査行為は,攻撃ツールを用いて自動的な様々なディレクトリを探査されます.もし調査中に1つでも脆弱なバージョンの phpMyAdmin があったとしたら,スクリプトを不正に実行される恐れがあります.(ページ下部に参考情報あり)

 

Glastopf のデフォルト設定のログ出力だと Host ヘッダが残らないので,どのような User-Agent だったか,特徴的なヘッダが付いてないかとかを確認できないですね...何か出力設定があるのだろうか...

 

参考情報

phpMyAdminにおける任意スクリプト実行可能な脆弱性の検証 (ockeghem(徳丸浩)の日記)

phpMyAdminを狙った攻撃観察 (ろば電子が詰まっている)

Written by 森久

10月 12th, 2013 at 11:05 pm