さくらVPS「dd_ssh」のブルートフォースアタックを受けるdd_ssh blue forth attack

2011/11/30

さくらのVPSサーバーでhttpdのerrorlogにこのようなログがあり。

[html]
[error] [client 208.80.194.26] request failed: error reading the headers
[error] [client 69.164.210.111] File does not exist: /var/www/html/w00tw00t.at.blackhats.romanian.anti-sec:)
[error] [client 69.164.210.111] File does not exist: /var/www/html/phpMyAdmin
[error] [client 69.164.210.111] script '/var/www/html/phpmyadmin/scripts/setup.php' not found or unable to stat
[error] [client 69.164.210.111] File does not exist: /var/www/html/pma
[error] [client 69.164.210.111] File does not exist: /var/www/html/myadmin
[error] [client 69.164.210.111] File does not exist: /var/www/html/MyAdmin
[/html]

phpMyAdminの脆弱性を狙ったブルートフォース・アタック（総当り攻撃）だそうです。

スポンサードリンク

攻撃対象

phpMyAdmin 2.11.x - 2.11.9.5 未満
phpMyAdmin 3.x - 3.1.3.1 未満
phpMyAdmin のsetup.phpを用い、saveアクションを介して設定ファイルの中に任意の PHP コードを挿入される可能性があります。

内容

/tmp ディレクトリに dd_ssh というプログラムを設置され、 phpMyAdmin にアクセスする毎に dd_ssh が起動します。
dd_ssh は ssh のブルートフォース攻撃を任意のサーバーに行い、結果的に攻撃者の踏み台サーバーにされてしまう被害が確認されております。

対策

phpMyAdminの最新版へのアップデート
phpMyAdmin のコンフィグファイルを削除する
phpMyAdmin へのアクセスを制限する(IP制限、htaccessによる制限)
phpMyAdmin の脆弱性および対処方法 | スカイアーチネットワークスから引用

phpMyAdminのIP制限方法

phpMyAdmin用Apache設定ファイル作成して内部と特定の外部IPからのみアクセスできるように指定する

[1]phpmyadmin.confを編集

vi /etc/httpd/conf.d/phpmyadmin.conf

[html]
Alias /phpmyadmin /var/www/phpmyadmin

<Location /phpmyadmin>
Order deny,allow
Deny from all
Allow from 127.0.0.1　←　サーバー自身からのアクセスを許可
Allow from 192.168.1.　←　内部ネットワークからのアクセスを許可
Allow from xxx.xxx.xxx.xxx　←　特定の外部IP(xxx.xxx.xxx.xxx)からのアクセスを許可
</Location>
[/html]
IPがわからないときは診断くんを開いて調べる。
REMOTE_ADDRの項目がIPアドレス。

[2]httpd再起動して反映させる

/etc/rc.d/init.d/httpd restart

参考URl

あにょの自宅サーバ構築メモ（CentOS） -
phpMyAdminのsetup.phpの脆弱性を突くサイバー攻撃を確認 - Snufkinski Memo
秀Gの枯木発栄 dd_ssh
implementers - 実装者たち -: dd_ssh なのかな

このページの先頭に戻る

LAGRANGE BLOG

スマホ大好き人間です。

2024/02/29

【DTM】「Bloom Drum Breaks」トラックに最適なドラムブレイクが即座に見つかる！

2024/02/28

【DTM】「UAD Helios Type 69 EQ and PreAmp」ブリティッシュロックっぽい音にできる

2024/02/27

【DTM】「klevgrand oneshot」アコースティック・エレクトロ＋パーカッションまで備えたドラム音源

LAGRANGE BLOGの記事をもっと見る

-Linux
-さくらVPS, セキュリティ

comment コメントをキャンセル

2011/8/2

コピペで行うさくらVPSにWordPressをインストールするまで1（user作成~ssh）How to install wordpress in sakuravps use~ssh

コピペでさくらVPSを使用したWEBサーバーを構築する。 Wordpressをインストールするまでを目標とするこの内容はuser作成~sshまで環境：さくらのVPS 512 local : Mac OS 10.6.8 server: CentOS release 5.5 (Final) ※入力部分は[]で囲んで表記細かい解説はのちほど追記予定 ※コピペして使用する場合は自己責任でお願いします。

2008/11/14

Linux基礎知識メモ1 [用語だけでも。。。]Server memo1

用語説明はリンク元抜粋 GUI & CUI windowsはGUI【グラフィカルユーザインターフェース】 (Graphical User Interface) のインターフェイスです。一方UNIX系はCUI 【キャラクタユーザインターフェース】 (Character-based User Interface) のインターフェイスです。 UNIX系OS自体はGUI機能を持っていないことが多いが、X Window Systemというソフトウェアを組み込んでGUI機能を追加する場合があります GUI & CU ...

2010/9/13

【CentOS】キーボード配列の変更how to keyboard positions for Cent OS

テキスト入力時、キーの位置があっているのに入力したい文字とことなる文字が入る場合、キーボード配列設定が日本語配列になっていないことが原因テキスト入力時、キーの位置があっているのに入力したい文字とことなる文字が入る場合、キーボード配列設定が日本語配列になっていないことが原因

2010/7/8

VirtualBoxにUbuntu Server EditionをインストールHow to install Ubuntu Server Edition in VirtualBoxUbuntu

Ubuntu Server Editionをインストール mac OSX 10.5.8にOracle VirtualBox 3.2.6をインストールして、 VirtualBoxにUbuntu Server Editionをインストールします。 VirtualBoxのような仮想環境を使用するとき VirtualBoxを起動する端末をホスト、VirtualBox内で起動する端末をゲストと言う。 Ubuntuとは　Debian Linuxを下地にし開発されたLInux. ・無償で利用できる。・インストール時 ...

2009/9/29

さくらのレンタルサーバーにリモートログインする手順How to remote login to sakura rental server

さくらのレンタルサーバーにリモートログインする手順表記△は半角スペースリモートログインを行うためのコマンドにはtelnetコマンド，rlogin コマンド，sshコマンドの3つがありますさくらサーバーではsshの許可しかされていないのでsshを使用ツール環境　MacOSX 10.5.8 Terminal.app(sshクライアント) [1]Terminal.app を起動して以下のコマンドを入力して Enter キーを押下。 $ssh△ftpユーザー名@ftpサーバ名 [2]パスワード入力 [3 ...

2008/11/19

Linux基礎知識メモ3 [用語だけでも。。。

Linux基礎知識メモ3 説明はリンク先より抜粋したものがあります。ブートローダー PCの電源を入れたときにOSを起動するまでの流れをブートと言います。ブートローダーとはブートするためのプログラムを差します。 DHCPとは【Dynamic Host Configuration Protocol】 - 意味・解説： IT用語辞典 TCP/IPプロトコルにおいてIPアドレスから「ネットワークID」部分と「ホストID」部分を分離するために使われる値ネットマスクとは【サブネットマスク】 - 意味・解説 ...

2012/1/7

splitコマンドでファイル分割するLunix command split

error_logを見たかったけれどもファイルサイズが大きすぎて開けないので対処。

2010/8/24

Ubuntuのバージョンを調べるUbuntu version

cat /etc/lsb-release ■表示内容 DISTRIB_ID=Ubuntu DISTRIB_RELEASE=10.04 DISTRIB_CODENAME=lucid DISTRIB_DESCRIPTION="Ubuntu 10.04 LTS"

2010/8/18

[:ja]ファイル数が多すぎてrmできない[:en]How to use linux command rm[:]

ファイル数が多すぎてrmできない場合、 %rm *cachefile /bin/rm: Argument list too long. と「Argument list too long.」表示され、ファイルの削除ができない。 rmを実行する場合はxargsを併用する・カレントディレクトリの全ファイル削除 %ls | xargs rm ・”cache_xxxxxxx”というファイルだけを消したい場合 find . -name “cache_*” -print | xargs rm 参照：-bash: /b ...

2011/8/15

(98)Address already in use: が出てApacheが再起動できないときの対処How to not restart apache (98)Address already in use:

Apache再起動したら下記エラーがでて再起動に失敗。 [plain] /etc/rc.d/init.d/httpd restart httpd を停止中: [失敗] httpd を起動中: (98)Address already in use: make_sock: could not bind to address [::]:80 (98)Address already in use: make_sock: could not bind to address 0.0.0.0:80 no listeni ...

HTML5のplaceholderplaceholder of html5

『Angry King Kong』をやってみた-巨大生物を操って人間と戦うゲーム Angry King Kong for iPhone review