このハックボットは、ディレクトリトラバーサルを介して何を達成しようとしましたか?
私はサーバーログを歩いていて、次のことが私を驚かせました:
ACCESS ERROR 404 from IP 62.112.152.161:
Path: /index.php?page=weblog&env=../../../../../../../../etc/passwd%00
ACCESS ERROR 404 from IP 62.112.152.161:
Path: /download.php?dlfilename=../../../../../../../../etc/passwd%00
ACCESS ERROR 404 from IP 62.112.152.161:
Path: /download.php?filename=../../../../../../../../etc/passwd%00
ACCESS ERROR 404 from IP 62.112.152.161:
Path: /agb.php?lang=../../../../../../../../etc/passwd%00
ACCESS ERROR 404 from IP 62.112.152.161:
Path: /angemeldet.php?lang=../../../../../../../../etc/passwd%00
さらに多くのバリエーションがあり、常に同じファイルを取得しようとしました。たとえ "download.php" *があっても成功しませんが、成功した場合はどうすればよいでしょうか。
また、サイトをこのような攻撃に対して脆弱にする可能性のある他のウェブマスターを支援するために、よりグローバルな範囲でこのBOTに対してできることはあるのでしょうか。
残念ながら、HTTPヘッダーは登録されませんでした。
* PHPの最上位ディレクトリがWebサイトのルートである仮想サーバーで実行しています。
皮肉なことに、これはまさに自動セキュリティ分析の研究で研究している種類のものです。
ボットは、PHPアプリケーションの脆弱性を利用してパスワードファイルを読み取ろうとしています。ハッカーは、成功すると、脆弱性をホストしたPHPアプリケーションや、FTP、SMTP、SSHなどの他のPHPアプリケーションやサービスを含むさまざまなリソースへのログインを試みます。等.
IPアドレスやドメイン名をブロックするか、.htaccessファイルで正規表現を使用するか、または(推奨)mod_securityを使用してこれらの試行をブロックできます。
Mod_Securityは、多数の攻撃をカバーするため好まれます。 http://www.modsecurity.org/
これはおそらく、同じ方法でハッキングされた侵害されたシステムです。スクリプトまたは実行可能ファイルを実行している可能性が高く、やがていくつかのサイトにヒットする可能性があります。私のデータベースにはこのIPアドレスからの攻撃がないため、おそらく新しいものです。
IP:62.112.152.161/Netdiscounter GmbH自律システム-ドメイン名:441.hosttech.eu
他のPHPアプリケーション脆弱性ハック試行エントリがあります:
190.hosttech.eu [ip:82.220.34.55、asn:AS9044、BSE Software GmbH](2012年8月19日)
sh-501.premium.hosttech.eu [ip:176.9.138.35、asn:AS24940、Hetzner Online AG](2013年6月6日木曜日)