2013年6月11日火曜日

360webscan攻撃(仮称)を観測しました

本日、HASHコンサルティング株式会社セキュリティ・オペレーション・センター(HASH-C SOC)では、奇妙な攻撃リクエストを観測しました。それは、以下のようなURLによるものです。
http://example.jp/?s=/abc/abc/abc/$%7B@print(md5(base64_decode(MzYwd2Vic2Nhbg)))%7D/
s=以下をパーセントデコードすると下記となります。
/abc/abc/abc/${@print(md5(base64_decode(MzYwd2Vic2Nhbg)))}/
{ } で囲まれた部分はPHPのスクリプトのように見えますが、2箇所文法違反があります。

  • MzYwd2Vic2Nhbg がクォートされていない
  • } の前にセミコロンがない

このうち、MzYwd2Vic2Nhbgのクォートに関しては @ 演算子によりエラー抑止され、'MzYwd2Vic2Nhbg' とみなされます。これをbase64デコードすると、360webscan となります。このため、この攻撃を仮に「360webscan攻撃」と名づけました。
PHPスクリプトに、足りないセミコロンを補って実行すると以下となります。
$ php
<?php
@print(md5(base64_decode(MzYwd2Vic2Nhbg)));
ed1e83f8d8d90aa943e4add2ce6a4cbf
360webscan と ed1e83f8d8d90aa943e4add2ce6a4cbf を検索すると、前者は多数、後者は10件ほどヒットします。見たところ、中国語のサイトが多いようです。

この攻撃の意図は分かりませんが、パラメータとしてPHPスクリプトの断片を渡しているからには、これを実行するためのバックドアを作成する攻撃が先にあり、その攻撃の正否を確認するためのリクエストなのかもしれません…が、まったく違う可能性もあります。

この攻撃(?)に対する監視を継続したいと思います。


3 件のコメント:

  1. このコメントはブログの管理者によって削除されました。

    返信削除
  2. ブログ主、こんにちは。
    この問題について、私は中国の奇虎会社(Qihu360)の同僚に聞きました。
    これはハッカー攻撃ではありません。奇虎会社の360セキュリティチームのウェブセキュリティの検測とリスクアセスメントのスキャンです。
    ご迷惑をおかけして申し訳ございません。

    返信削除
  3. コメントありがとうございます。攻撃ではないとのこと、了解しました。たしかに、脆弱性を突いた攻撃ではないようですね。
    しかし、Googleなどの検索エンジンに残っており、外部からの攻撃が続く中、少々迷惑なアクセスであるように思えますが、どうなのでしょうか?

    返信削除

フォロワー