ゼロデイ攻撃を受けたお話

  • このエントリーをはてなブックマークに追加
  • Pocket

先日導入したLogentriesを見ていたらnginxのエラーログに見慣れないものがあったのでご紹介。

いつもはphpMyAdminへのアタックとか~/adminとかのバックオフィスを狙った攻撃が多い中、珍しくURLパラメータが付いてるリクエストがきたので目に止まった。

どうも、Pleskの脆弱性を狙ったゼロデイ攻撃らしい。

もちろん使っていないサービスのため被害も何もないが後学のために残す。

エラーログ

こんなnginxのエラーログを発見。

ほぼ同時刻に4つのリクエストがきてたのでおそらくスクリプトのパラレル実行かと思われる。

パラメータが付いてるがエンコードされてるので何やらさっぱり。

さっそくデコード。

ふむ。 さっぱりわからない。

というわけでググる。

トレンドマイクロのサイトが引っかかった。

Pleskを狙ったゼロデイ脆弱性とは

Pleskの脆弱性を狙った攻撃らしい。
はて、Pleskとはなんぞ?

Plesk

公式ページを見てみる。
「ふれすく」と読むらしい。

Plesk は、今日のウェブサイトおよびウェブアプリケーションホスティングでのインフラの利用形態に対応しており、シンプルなウェブ管理を実現します。

なるほどわからん。
つまり何をしてくれるか詳しく!

Plesk 12 が実現すること:

  • 様々な規模の専用サーバや仮想サーバのセキュリティとウェブサーバ管理を強化
  • アンカー機能によって、WordPress ツールキットや、サーバからサイトまで保護するセキュリティコアなど、顧客が重視する機能を特定のユーザ層に提供
  • Kaspersky、Atomicorp、CloudFlare、MagicSpam、Yola などのアドオン機能を提供することによって、収益を拡大

うーむ。
とにかくサーバ管理のツールなのかな。

というか、公式サイトが重くてまったく見る気が起きない。
サーバ管理の前にもう少しユーザビリティを気にしたらどうかね。

詳しく書いてある記事を発見。

Pleskがすごく便利になってきました。
http://guide.websites.jp/2015/02/695.html

要はAWSとかニフティとかにあるコンパネツールっぽいものらしい。

オープンソースとかパブリックドメインなら実際に触ってみようと思ったけど、月定額でお金がかかるようなのであきらめた。

なら、AWS使ったほうが早いし。
そもそも脆弱性付かれてるツールだし。

黒いウィンドウを使わなくてもWebサーバの管理ができます!
と謳ってる(?)けど、いくら便利な世の中になったとはいえ自宅のPCを外部に公開したこともない人がそれをやるのはどうかと思うよ。

USA!USA!

だいぶ話がそれたので戻る。

ゼロデイ攻撃以外にも辞書攻撃っぽいログがあったのでご紹介。

全部同一IPでどうもUSAのカンザスシティからお越しのお客様のようだ。

本当かどうかはわかんないけどね。

相変わらずphpMyAdminの脆弱性を狙った攻撃。
なんか僕のサーバだとUSAからが多い。

いつもはブラジルとか中華とかロシアとかからお越しの方が多いんだけども。

今のところアタック成功のログも見当たらないのであまり気にしてないし、 そもそもMyAdmin入れてるマシンを公開しないし。

ここら辺の話だと完全に攻撃者が悪いワケだが、Web系だと「攻撃を許す状態」にしてることが悪いというね。

世知辛ェ。。。。

  • このエントリーをはてなブックマークに追加
  • Pocket

SNSでもご購読できます。

コメントを残す

*