cNotes 検索 一覧 カテゴリ

Parallels Plesk Panelを狙うスキャン

Published: 2013/06/30

cPanelやPleskが利用可能なクラウドサービスやホスティングサービスがありますが、このような管理用のコンパネツールに脆弱性があると、サービス利用者のサーバーがごっそりまるごと乗っ取られる可能性があり、たとえばとあるVPSサービスで1つのIPを共用している100個のサイトがすべて改竄被害をうけているような状況を見かけることがあります。

最近Linux上の Parallels Plesk Panel バージョン 9.0〜9.2.3 などのphppath/PHP の脆弱性を利用して攻撃者が任意のコードを実行できる可能性があるということで、修正された最新バージョンに上げることが推奨されています。

複数のサーバーで確認したところ2013/4/10にアクセスを試みた形跡があり、その後しばらく間をあけて6/8〜6/29まで以下のようなアクセスが続いています。

とくに10日以降のものは脆弱性情報が出たことを契機に攻撃?調査?が始まった感じ?

 88.208.201.3 - - [17/Jun/2013:05:48:24 +0900] "GET /phppath/php HTTP/1.0" 404 296 "-" "-"
 85.214.126.93 - - [21/Jun/2013:18:32:36 +0900] "GET /phppath/php HTTP/1.0" 404 296 "-" "-"
 199.217.114.114 - - [24/Jun/2013:15:35:53 +0900] "POST /phppath/%70%68%70?%2D
 %64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66
 %65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61
 %74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73
 %3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+
 %61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E
 %70%75%74+%2D%6E HTTP/1.0" 404 296 "-" "-"

最後の行の例は解読するとこのようなコードになりCVE-2012-1823を利用しようとしているようです。

 /phppath /php?-d+allow_url_include=on+-d+safe_mode=off+-d+suhosin.simulation=on+-d+disable_
 functions=""+-d+open_basedir=none+-d+auto_prepend_file=php://input+-n 

アクセス元はバラバラ。

IP逆引きASAS NameCountry
206.172.2.111ppp77.minnedosa.techplus.com.577BACOM_-_Bell_CanadaCanada
211.154.142.174NONE4134CHINANET-BACKBONE_No.31Jin-rong_StreetChina
61.152.75.170NONE4812CHINANET-SH-AP_China_Telecom_(Group)China
58.17.89.122NONE4837CHINA169-BACKBONE_CNCGROUP_China169_BackboneChina
85.214.126.93h1402667.stratoserver.net.6724STRATO_STRATO_AGGermany
188.138.91.103zulu455.server4you.de.8972PLUSSERVER-AS_intergenia_AGGermany
93.62.201.19693-62-201-196.ip24.fastwebnet.it.12874FASTWEB_Fastweb_SpAItaly
69.84.41.201dt201.digitecs.com.14089CANNET_-_CanNet_Internet_Services_Inc.UnitedStates
88.208.201.3server88-208-201-3.live-servers.net.15418FASTHOSTS-INTERNET_Fasthosts_Internet_Ltd._Gloucester_UK.UnitedKingdom
88.208.204.41server88-208-204-41.live-servers.net.15418FASTHOSTS-INTERNET_Fasthosts_Internet_Ltd._Gloucester_UK.UnitedKingdom
87.230.101.28mail.allzeit-bereit.org.20773HOSTEUROPE-AS_Host_Europe_GmbHGermany
205.207.165.210210.165.207.205.sta.connection.ca.21570ACI-1_-_Accelerated_Connections_Inc.Canada
78.46.64.21static.21.64.46.78.clients.your-server.de.24940HETZNER-AS_Hetzner_Online_AGGermany
86.36.38.206jgargani-storage.qatar.cmu.edu.29384Qatar_Foundation_for_Education_Science_and_Community_DevelopmentQatar
199.217.114.114static-ip-199-217-114-114.inaddr.ip-pool.com.30083SERVER4YOU_-_Hosting_Solutions_International_Inc.UnitedStates
67.227.142.244host.darpha.com.32244LIQUID-WEB-INC_-_Liquid_Web_Inc.UnitedStates
93.157.3.54bookingapi.com.47207DIGIRES_Digital_Residence_B.V.Netherlands

攻撃なのか調査なのかわかりませんが、いまだにゆるやかに続いています。

修正された安全なバージョンにバージョンアップしましょう。

[カテゴリ:Webサーバー観察日記]

by jyake