Parallels Plesk Panelを狙うスキャン
Published: 2013/06/30
cPanelやPleskが利用可能なクラウドサービスやホスティングサービスがありますが、このような管理用のコンパネツールに脆弱性があると、サービス利用者のサーバーがごっそりまるごと乗っ取られる可能性があり、たとえばとあるVPSサービスで1つのIPを共用している100個のサイトがすべて改竄被害をうけているような状況を見かけることがあります。
最近Linux上の Parallels Plesk Panel バージョン 9.0〜9.2.3 などのphppath/PHP の脆弱性を利用して攻撃者が任意のコードを実行できる可能性があるということで、修正された最新バージョンに上げることが推奨されています。
複数のサーバーで確認したところ2013/4/10にアクセスを試みた形跡があり、その後しばらく間をあけて6/8〜6/29まで以下のようなアクセスが続いています。
とくに10日以降のものは脆弱性情報が出たことを契機に攻撃?調査?が始まった感じ?
88.208.201.3 - - [17/Jun/2013:05:48:24 +0900] "GET /phppath/php HTTP/1.0" 404 296 "-" "-" 85.214.126.93 - - [21/Jun/2013:18:32:36 +0900] "GET /phppath/php HTTP/1.0" 404 296 "-" "-" 199.217.114.114 - - [24/Jun/2013:15:35:53 +0900] "POST /phppath/%70%68%70?%2D %64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66 %65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61 %74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73 %3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+ %61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E %70%75%74+%2D%6E HTTP/1.0" 404 296 "-" "-"
最後の行の例は解読するとこのようなコードになりCVE-2012-1823を利用しようとしているようです。
/phppath /php?-d+allow_url_include=on+-d+safe_mode=off+-d+suhosin.simulation=on+-d+disable_ functions=""+-d+open_basedir=none+-d+auto_prepend_file=php://input+-n
アクセス元はバラバラ。
IP | 逆引き | AS | AS Name | Country |
---|---|---|---|---|
206.172.2.111 | ppp77.minnedosa.techplus.com. | 577 | BACOM_-_Bell_Canada | Canada |
211.154.142.174 | NONE | 4134 | CHINANET-BACKBONE_No.31Jin-rong_Street | China |
61.152.75.170 | NONE | 4812 | CHINANET-SH-AP_China_Telecom_(Group) | China |
58.17.89.122 | NONE | 4837 | CHINA169-BACKBONE_CNCGROUP_China169_Backbone | China |
85.214.126.93 | h1402667.stratoserver.net. | 6724 | STRATO_STRATO_AG | Germany |
188.138.91.103 | zulu455.server4you.de. | 8972 | PLUSSERVER-AS_intergenia_AG | Germany |
93.62.201.196 | 93-62-201-196.ip24.fastwebnet.it. | 12874 | FASTWEB_Fastweb_SpA | Italy |
69.84.41.201 | dt201.digitecs.com. | 14089 | CANNET_-_CanNet_Internet_Services_Inc. | UnitedStates |
88.208.201.3 | server88-208-201-3.live-servers.net. | 15418 | FASTHOSTS-INTERNET_Fasthosts_Internet_Ltd._Gloucester_UK. | UnitedKingdom |
88.208.204.41 | server88-208-204-41.live-servers.net. | 15418 | FASTHOSTS-INTERNET_Fasthosts_Internet_Ltd._Gloucester_UK. | UnitedKingdom |
87.230.101.28 | mail.allzeit-bereit.org. | 20773 | HOSTEUROPE-AS_Host_Europe_GmbH | Germany |
205.207.165.210 | 210.165.207.205.sta.connection.ca. | 21570 | ACI-1_-_Accelerated_Connections_Inc. | Canada |
78.46.64.21 | static.21.64.46.78.clients.your-server.de. | 24940 | HETZNER-AS_Hetzner_Online_AG | Germany |
86.36.38.206 | jgargani-storage.qatar.cmu.edu. | 29384 | Qatar_Foundation_for_Education_Science_and_Community_Development | Qatar |
199.217.114.114 | static-ip-199-217-114-114.inaddr.ip-pool.com. | 30083 | SERVER4YOU_-_Hosting_Solutions_International_Inc. | UnitedStates |
67.227.142.244 | host.darpha.com. | 32244 | LIQUID-WEB-INC_-_Liquid_Web_Inc. | UnitedStates |
93.157.3.54 | bookingapi.com. | 47207 | DIGIRES_Digital_Residence_B.V. | Netherlands |
攻撃なのか調査なのかわかりませんが、いまだにゆるやかに続いています。
修正された安全なバージョンにバージョンアップしましょう。
by jyake