エラーログでalert出てるとhtaccessが作られている時間を調べて
その時間のアクセスログを調べた
83.103.119.239 – – [21/Sep/2011:16:44:36 +0900] “GET /phpMyAdmin/scripts/setup.php HTTP/1.0” 200 13705 “-” “Mozilla/5.0 (Windows)”
83.103.119.239 – – [21/Sep/2011:16:44:36 +0900] “GET /phpMyAdmin/scripts/setup.php HTTP/1.1” 200 13759 “-” “Mozilla/5.0 (Windows)”
moa.sakura.ne.jp 83.103.119.239 – – [21/Sep/2011:16:44:49 +0900] “POST /phpMyAdmin/scripts/setup.php HTTP/1.0” 200 457420 “-” “Mozilla/5.0 (Windows)”
83.103.119.239 – – [21/Sep/2011:16:44:58 +0900] “POST /phpMyAdmin/scripts/setup.php HTTP/1.1” 200 457974 “-” “Mozilla/5.0 (Windows)”
とあり、/phpMyAdmin/scripts/setup.phpに攻撃されてるぽい。
でこの間攻撃された時間からログを見てみる。同じIPから同じ攻撃。
かつてのphpmyadminの脆弱性に攻撃されていた。
使ってないのでphpmyadminをサーバから削除し、アタックしてきたIPをアクセス制限した。
【対策】
最低限下記のいずれかを行う。
1.phpMyAdmin を最新バージョンへアップデートする。(phpMyAdmin | Download phpMyAdmin software for free at SourceForge.net)
2.phpMyAdmin へアクセスできるIPを制限する。(「/etc/httpd/conf.d/phpmyadmin.conf」また「.htaccess」など)
3.phpMyAdmin へのアクセスに認証を設ける。(「/etc/httpd/conf.d/phpmyadmin.conf」または「.htaccess」など)
4.phpMyAdmin 配下の 「setup.php」を削除またはパーミッション変更などによりアクセス不可とする。
5.phpMyAdmin 配下の「configディレクトリ」を削除またはパーミッション変更などによりアクセス不可とする。
参考:http://d.hatena.ne.jp/snufkinski/20100206/1265434884
コメント