Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2014年12月23日

/etc/passwd を暴こうとする攻撃を受けました

logwatch のログを確認していたら、以下のようなログが出てきました。

 A total of 1 sites probed the server 

    xxx.xxx.xxx.xxx

 A total of 1 possible successful probes were detected (the following URLs

 contain strings that match one or more of a listing of strings that

 indicate a possible exploit):

    /?_SERVER[DOCUMENT_ROOT]=../../../../../../../../../../../etc/passwd%00 HTTP

 Response 301

どうも、/etc/passwd を暴こうとしたようです。

Response 301 なので大丈夫ではないかと思うのですが、念のためネットで調べてみると、Response 200 でも問題ないようなので大丈夫そうです。

仮に /etc/passwd が漏洩していても、このサーバーには秘密鍵がないとログインできないので問題ないといえば問題ないのですが、気持ちのいいものではないですね。

よくログを確認してみると、ModSecurity でもこのアクセスを拒否していました。一安心ですね。

403 Forbidden

 /?_SERVER[DOCUMENT_ROOT]=../../../../../.. ... ./etc/passwd%00: 1 Time(s)

最近のログを見ていると、ModSecurity でアクセス拒否しているリクエストが増えています。

WAF (Web Application Firewall) の導入は、早めに検討した方がよさそうです。


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA