Tips

Apacheアクセスログ「../..//proc/self/environ%0000」

Apacheのアクセスログにこのようなログが残っていました。

たて続けて4度ほど、若干リクエストは異なりますが、似たようなログがありました。

 

*************

177-73-233.241.static.idc19.net.br – – [26/Jan/2013:10:11:49 +0900] “GET /comment//index.php?option=com_ckforms&controller=../../../../../../../../../../../../../..//proc/self/environ%0000 HTTP/1.1″ 404 216 “-” “Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0”

*************

 

これは、PHPの脆弱性をついた「ディレクトリトラバーサル」攻撃をうけたことによるログです。

結論から言えば、HTTPレスポンスで「404 Not Found」が発生していますので、攻撃は失敗に終わっています。

レスポンスが「200」のときは攻撃が成功したことを意味するので要注意です。

 

ディレクトリトラバーサルとは、Webサイト運営者がアクセスされることを意図しないファイル(一般的にはOSシステムファイルなど)へのアクセスを試みる攻撃のことです。

Linuxでは、/etc/passwdというパスワード保存用のファイルなどがよくターゲットになるようですが、今回は/proc/self/environが狙われたようです。

 

このファイルは環境変数を保存しているファイルで、仮に攻撃者の手に渡ってしまってもさほど問題になりませんが、セキュリティホールがあることを露呈してしまうことになるので、引き続き攻撃を受けることが予想されます。

 

参考にさせていただいたHP

http://blog.cles.jp/item/2743

http://www.lifewithunix.jp/notes/2012/10/22/footer-inc-php-and-_amlconfig/

Linux認定資格 LPICを取るなら・・

Linux資格 「LPIC Lv1」徹底解説 連載目次

Recent News

Recent Tips

Tag Search