awstats を狙ったと思われるアクセス

????????????????????¨????°???¨??§????????°???????¨??????￢???????????°?????±??????????????§??????

awstats を狙ったと思われるアクセス

????????? 2005/05/09 14:40
????????? ふむ
?????§??? http://www.itmedia.co.jp/enterprise/articles/0502/03/news015.html

　事情あって awstats について調べていた者です。突然失礼します。　２日前、うちのサーバのログに下記のようなアクセス記録がありました。　　　GET //cgi-bin/awstats.pl?configdir=|%20id%20| HTTP/1.1 　何のことやら、わからなかったので、リクエストの内容を頼りに検索で調べていたところ、こちらのサイトに行き当たり apache のアクセスログ解析ツールだと知ったのですが、さらに調べると上記のリクエストはバグを悪用した攻撃らしいことがわかりました（URL の記事をご参照ください）。　余計なことではないかとも思いましたが、こちらを参考にさせていただいたことでもあり、うちのサーバへのアクセスがごく最近のことでこちらのサイトに来る可能性もありそうなので、ご報告まで。　では。

■ コンテンツ関連情報

Re: awstats を狙ったと思われるアクセス ( No.1 )

????????? 2005/05/10 11:19
????????? 管理者

ふむ様。はじめまして。貴重な情報をありがとうございました。当方のログにも同じアクセス記録がありました。幸いな事に、当サイトはCGIによる実行を公開していない(cronで内部実行)ので問題はないと思います。ご心配を頂きまして、大変ありがとうございました。今後とも、宜しくお願い致します。

Re: awstats を狙ったと思われるアクセス ( No.2 )

????????? 2005/05/20 12:37
????????? HGlite

これ、なんですかね？ httpd の access_log に記録されていたんですが…。 220.55.132.41 - - [19/May/2005:09:04:38 +0900] "GET / HTTP/1.0" 200 220 "-" "Opera/8.0 (Windows NT 5.0; U; en)" 220.55.132.41 - - [19/May/2005:09:05:55 +0900] "GET /_you_are_craked_/check_tmp_dir_and_/_update_awstats HTTP/1.0" 404 346 "-" "Opera/8.0 (Windows NT 5.0; U; en)" ・・・やはり「awstats」の脆弱性を突かれてクラックされた模様です。初体験です。 netstat -na|grep 6667 したら、 tcp　　　　0　　　0 192.168.254.5:4234　　　194.134.7.195:6667　　　ESTABLISHED tcp　　　　0　　　0 192.168.254.5:4326　　　194.134.7.195:6667　　　ESTABLISHED tcp　　　　0　　　0 192.168.254.5:1849　　　161.53.178.240:6667　　 ESTABLISHED tcp　　　　0　　156 192.168.254.5:4620　　　211.75.58.114:6667　　　ESTABLISHED tcp　　　　0　　　0 192.168.254.5:1607　　　211.75.58.114:6667　　　CLOSE_WAIT と、覚えのないアドレスが…。仕方がないので shutdown -h now してサーバをたたみ、再インストールを決意しました。ご参考までに、実行されていたコマンドを公開しましょうか？

Re: awstats を狙ったと思われるアクセス ( No.3 )

????????? 2005/05/20 16:52
????????? 管理者

HGlite様。・・・なんと言って良いものか、言葉に困ってしまいます。しかし、クラックされてその影響は何でしょうね？私の所は以下の様なアクセスが、ほぼ毎日あります。 "GET /awstats/awstats.pl?configdir=|echo%20;echo%20;id;echo%20;echo| HTTP/1.0" "GET /cgi-bin/awstats.pl?configdir=|echo%20;echo%20;id;echo%20;echo| HTTP/1.0" それ以外にも、ワームのリクエストが以下の様に数知れずアクセスがありますね。 "POST /_vti_bin/_vti_aut/author.exe HTTP/1.0" "GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0 HTTP/1.1" "GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0 HTTP/1.1" "GET /NULL.printer HTTP/1.0 " 幸いな事に当方は今の所大丈夫そうですが、今後も目を光らせなければなりませんね。 > ご参考までに、実行されていたコマンドを公開しましょうか？興味がありますが、それを見た悪意のある第三者がいるかもしれません。そのコマンドが標準的なシェルコマンドであれば別ですが・・・

■ その他

ページ先頭へ

Re: awstats を狙ったと思われるアクセス ( No.1 )
????????? 2005/05/10 11:19 ????????? 管理者 `ふむ様。はじめまして。貴重な情報をありがとうございました。当方のログにも同じアクセス記録がありました。幸いな事に、当サイトはCGIによる実行を公開していない(cronで内部実行)ので問題はないと思います。ご心配を頂きまして、大変ありがとうございました。今後とも、宜しくお願い致します。`
Re: awstats を狙ったと思われるアクセス ( No.2 )
????????? 2005/05/20 12:37 ????????? HGlite これ、なんですかね？ httpd の access_log に記録されていたんですが…。 220.55.132.41 - - [19/May/2005:09:04:38 +0900] "GET / HTTP/1.0" 200 220 "-" "Opera/8.0 (Windows NT 5.0; U; en)" 220.55.132.41 - - [19/May/2005:09:05:55 +0900] "GET /_you_are_craked_/check_tmp_dir_and_/_update_awstats HTTP/1.0" 404 346 "-" "Opera/8.0 (Windows NT 5.0; U; en)" ・・・やはり「awstats」の脆弱性を突かれてクラックされた模様です。初体験です。 netstat -na\|grep 6667 したら、 tcp　　　　0　　　0 192.168.254.5:4234　　　194.134.7.195:6667　　　ESTABLISHED tcp　　　　0　　　0 192.168.254.5:4326　　　194.134.7.195:6667　　　ESTABLISHED tcp　　　　0　　　0 192.168.254.5:1849　　　161.53.178.240:6667　　 ESTABLISHED tcp　　　　0　　156 192.168.254.5:4620　　　211.75.58.114:6667　　　ESTABLISHED tcp　　　　0　　　0 192.168.254.5:1607　　　211.75.58.114:6667　　　CLOSE_WAIT と、覚えのないアドレスが…。仕方がないので shutdown -h now してサーバをたたみ、再インストールを決意しました。ご参考までに、実行されていたコマンドを公開しましょうか？
Re: awstats を狙ったと思われるアクセス ( No.3 )
????????? 2005/05/20 16:52 ????????? 管理者 HGlite様。・・・なんと言って良いものか、言葉に困ってしまいます。しかし、クラックされてその影響は何でしょうね？私の所は以下の様なアクセスが、ほぼ毎日あります。 "GET /awstats/awstats.pl?configdir=\|echo%20;echo%20;id;echo%20;echo\| HTTP/1.0" "GET /cgi-bin/awstats.pl?configdir=\|echo%20;echo%20;id;echo%20;echo\| HTTP/1.0" それ以外にも、ワームのリクエストが以下の様に数知れずアクセスがありますね。 "POST /_vti_bin/_vti_aut/author.exe HTTP/1.0" "GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0 HTTP/1.1" "GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0 HTTP/1.1" "GET /NULL.printer HTTP/1.0 " 幸いな事に当方は今の所大丈夫そうですが、今後も目を光らせなければなりませんね。 > ご参考までに、実行されていたコマンドを公開しましょうか？興味がありますが、それを見た悪意のある第三者がいるかもしれません。そのコマンドが標準的なシェルコマンドであれば別ですが・・・