http://example.jp/?s=/abc/abc/abc/$%7B@print(md5(base64_decode(MzYwd2Vic2Nhbg)))%7D/s=以下をパーセントデコードすると下記となります。
/abc/abc/abc/${@print(md5(base64_decode(MzYwd2Vic2Nhbg)))}/{ } で囲まれた部分はPHPのスクリプトのように見えますが、2箇所文法違反があります。
- MzYwd2Vic2Nhbg がクォートされていない
- } の前にセミコロンがない
このうち、MzYwd2Vic2Nhbgのクォートに関しては @ 演算子によりエラー抑止され、'MzYwd2Vic2Nhbg' とみなされます。これをbase64デコードすると、360webscan となります。このため、この攻撃を仮に「360webscan攻撃」と名づけました。
PHPスクリプトに、足りないセミコロンを補って実行すると以下となります。
$ php360webscan と ed1e83f8d8d90aa943e4add2ce6a4cbf を検索すると、前者は多数、後者は10件ほどヒットします。見たところ、中国語のサイトが多いようです。
<?php
@print(md5(base64_decode(MzYwd2Vic2Nhbg)));
ed1e83f8d8d90aa943e4add2ce6a4cbf
この攻撃の意図は分かりませんが、パラメータとしてPHPスクリプトの断片を渡しているからには、これを実行するためのバックドアを作成する攻撃が先にあり、その攻撃の正否を確認するためのリクエストなのかもしれません…が、まったく違う可能性もあります。
この攻撃(?)に対する監視を継続したいと思います。
このコメントはブログの管理者によって削除されました。
返信削除ブログ主、こんにちは。
返信削除この問題について、私は中国の奇虎会社(Qihu360)の同僚に聞きました。
これはハッカー攻撃ではありません。奇虎会社の360セキュリティチームのウェブセキュリティの検測とリスクアセスメントのスキャンです。
ご迷惑をおかけして申し訳ございません。
コメントありがとうございます。攻撃ではないとのこと、了解しました。たしかに、脆弱性を突いた攻撃ではないようですね。
返信削除しかし、Googleなどの検索エンジンに残っており、外部からの攻撃が続く中、少々迷惑なアクセスであるように思えますが、どうなのでしょうか?