Apacheアクセスログ「../..//proc/self/environ%0000」

この記事は2013年2月5日に書かれたものです。内容が古い可能性がありますのでご注意ください。


Apacheのアクセスログにこのようなログが残っていました。

たて続けて4度ほど、若干リクエストは異なりますが、似たようなログがありました。

 

*************

177-73-233.241.static.idc19.net.br – – [26/Jan/2013:10:11:49 +0900] “GET /comment//index.php?option=com_ckforms&controller=../../../../../../../../../../../../../..//proc/self/environ%0000 HTTP/1.1″ 404 216 “-” “Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0”

*************

 

これは、PHPの脆弱性をついた「ディレクトリトラバーサル」攻撃をうけたことによるログです。

結論から言えば、HTTPレスポンスで「404 Not Found」が発生していますので、攻撃は失敗に終わっています。

レスポンスが「200」のときは攻撃が成功したことを意味するので要注意です。

 

ディレクトリトラバーサルとは、Webサイト運営者がアクセスされることを意図しないファイル(一般的にはOSシステムファイルなど)へのアクセスを試みる攻撃のことです。

Linuxでは、/etc/passwdというパスワード保存用のファイルなどがよくターゲットになるようですが、今回は/proc/self/environが狙われたようです。

 

このファイルは環境変数を保存しているファイルで、仮に攻撃者の手に渡ってしまってもさほど問題になりませんが、セキュリティホールがあることを露呈してしまうことになるので、引き続き攻撃を受けることが予想されます。

 

参考にさせていただいたHP

http://blog.cles.jp/item/2743

http://www.lifewithunix.jp/notes/2012/10/22/footer-inc-php-and-_amlconfig/

  • このエントリーをはてなブックマークに追加

PAGE TOP