cNotes 検索 一覧 カテゴリ

phpMyAdminへの攻撃

Published: 2009/12/03

少し前からあった攻撃のようですが、ここのところたくさん観測されるようになっています。

phpmyadminを使っているwebサーバーのアクセスログにこのようなログが残っているようでしたら注意しましょう。

パターンは3つあります。

1.phpmyadminの存在を調べるやつ。

目的:phpMyAdminが存在しているかどうかのチェック

 "GET //phpMyAdmin/ HTTP/1.1" 404 288 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
 "GET //phpmyadmin/ HTTP/1.1" 200 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
 "GET //mysql/ HTTP/1.1" 403 287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

2.setup.phpを探すやつ。

目的:phpmyadminのsetup.phpが存在するかどうかのチェック。

 "HEAD /phpmyadmin/scripts/setup.php HTTP/1.1" 200 - "-" "Mozilla/5.0
  (Windows; U; Windows NT 5.1; en; rv:1.8.1.8) Gecko/20071008 Firefox/2.0.0.8"

3.phpMyAdminの環境設定を行う「config.inc.php」への「p=phpinfo()」をクエリに含めたアクセス。

目的:config.inc.phpに対してphpinfo()が実行できるかどうかをチェック。

 "GET //phpmyadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 200 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
 "GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
 "GET //admin/config/config.inc.php?p=phpinfo();HTTP/1.1" 404 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
 "GET //dbadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
 "GET //mysql/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
 "GET //php-my-admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 311 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
 "GET //myadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
 "GET //PHPMYADMIN/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 309 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
 "GET //phpMyAdmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 309 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
 "GET //p/m/a/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

これらはどれも攻撃可能かどうかの状態チェックしているものなので、なにかしら情報を返していなければセーフですが、応答してしまっている場合、次の段階の攻撃に移行しますので注意を。

特定のバージョンの脆弱性をついているらしいのですが調査中。。。

対策は、

  • setup.phpやconfig.inc.phpは削除してしまう
  • phpMyAdminのディレクトリへのIPアドレスなどでのアクセス制限
  • phpmyadminは最新版にアップデートするなど

を実施しましょう。

[カテゴリ:botnet観察日記]

by jyake