Linux

さくらVPS「dd_ssh」のブルートフォースアタックを受けるdd_ssh blue forth attack

スポンサーリンク
スポンサーリンク

2011/11/30

-Linux
-,

さくらのVPSサーバーでhttpdのerrorlogにこのようなログがあり。

[html]
[error] [client 208.80.194.26] request failed: error reading the headers
[error] [client 69.164.210.111] File does not exist: /var/www/html/w00tw00t.at.blackhats.romanian.anti-sec:)
[error] [client 69.164.210.111] File does not exist: /var/www/html/phpMyAdmin
[error] [client 69.164.210.111] script '/var/www/html/phpmyadmin/scripts/setup.php' not found or unable to stat
[error] [client 69.164.210.111] File does not exist: /var/www/html/pma
[error] [client 69.164.210.111] File does not exist: /var/www/html/myadmin
[error] [client 69.164.210.111] File does not exist: /var/www/html/MyAdmin
[/html]

phpMyAdminの脆弱性を狙ったブルートフォース・アタック(総当り攻撃)だそうです。
ss

スポンサードリンク

攻撃対象

phpMyAdmin 2.11.x - 2.11.9.5 未満
phpMyAdmin 3.x - 3.1.3.1 未満
phpMyAdmin のsetup.phpを用い、saveアクションを介して設定ファイルの中に任意の PHP コードを挿入される可能性があります。

内容

/tmp ディレクトリに dd_ssh というプログラムを設置され、 phpMyAdmin にアクセスする毎に dd_ssh が起動します。
dd_ssh は ssh のブルートフォース攻撃を任意のサーバーに行い、結果的に攻撃者の踏み台サーバーにされてしまう被害が確認されております。

対策

phpMyAdminの最新版へのアップデート
phpMyAdmin のコンフィグファイルを削除する
phpMyAdmin へのアクセスを制限する(IP制限、htaccessによる制限)
phpMyAdmin の脆弱性および対処方法 | スカイアーチネットワークスから引用

phpMyAdminのIP制限方法

phpMyAdmin用Apache設定ファイル作成して内部と特定の外部IPからのみアクセスできるように指定する

[1]phpmyadmin.confを編集

vi /etc/httpd/conf.d/phpmyadmin.conf

[html]
Alias /phpmyadmin /var/www/phpmyadmin

<Location /phpmyadmin>
Order deny,allow
Deny from all
Allow from 127.0.0.1 ← サーバー自身からのアクセスを許可
Allow from 192.168.1. ← 内部ネットワークからのアクセスを許可
Allow from xxx.xxx.xxx.xxx ← 特定の外部IP(xxx.xxx.xxx.xxx)からのアクセスを許可
</Location>
[/html]
IPがわからないときは診断くんを開いて調べる。
REMOTE_ADDRの項目がIPアドレス。

[2]httpd再起動して反映させる

/etc/rc.d/init.d/httpd restart
参考URl

あにょの自宅サーバ構築メモ(CentOS) -
phpMyAdminのsetup.phpの脆弱性を突くサイバー攻撃を確認 - Snufkinski Memo
秀Gの枯木発栄 dd_ssh
implementers - 実装者たち -: dd_ssh なのかな

スポンサードリンク

-Linux
-,

おすすめ「フォトギフト写真カレンダーサービスOKURU」

こどもの大切な記録をさまざまな形で残せるところがすごくいい!! スマホの中の写真を選ぶだけで、オリジナルフォトギフトがお手元に届きます。 特製パッケージに入れてお届けするので、大切なご家族へのプレゼントにもおすすめです。

母の日ギフトなどにも使えます!

「OKURU 」の"ダウンロード"はこちら

 

-Linux
-,

Copyright© LAGRANGE BLOG , 2021 All Rights Reserved.