[Tep-j-general] include_once攻撃

Back to archive index

hamada bungu****@leo*****
2007年 10月 17日 (水) 08:43:15 JST


こんにちわ。

On Tue, 16 Oct 2007 22:29:25 +0900
k-shimada <k-shi****@koto-*****> wrote:

> ですが、cronで自動生成しなきゃいけない理由が分かりませんでした。。。

当方のアクセスするIPが“固定IPではない”からです。

当方だけは/adminにアクセス出来ないといけない訳ですが、その当方のIPは固定
ではなく、いつどう変わるか解らないので、一定時間毎に当方のIPを確認し、そ
れに対してだけallowしてます。

PHPだと

> $ip = $_SERVER["REMOTE_ADDR"];
> 
> if ($ip <> NULL) {
> 
> 	$fp = fopen("admin/.htaccess", "w");
> 	
> 	flock($fp,2);		//書き込みに備えてファイルロック
> 
> 	fwrite($fp, 'order deny,allow' . "\n");
> 	fwrite($fp, 'deny from all' . "\n");
> 	fwrite($fp, "\n");
> 	fwrite($fp, 'allow from ' . $ip . "\n");
> 	fwrite($fp, "\n");
> 
> 	flock($fp,3);		//ファイルロック解除
> 	fclose($fp);
> 
> 
> }

たとえば↑こーゆコードに対してブラウザでアクセスすれば、アクセスして来た
元に対してのみallowするようになると思います。

当方が実際にやってる仕掛けは、ちょっと違いますけど。

「攻撃」なのかどうか解りませんが、最近「%25」を検索する自動クエリも見掛
けるようになりました。

> 84.220.47.86 - - [16/Oct/2007:22:06:57 +0900] "GET /catalog/index.php?main_page=advanced_search_result&search_in_description=1&keyword=%25 HTTP/1.1" 404 918 "-" "Mozilla/5.0"

↑こんなの。

これ、クエリの内容からたぶんZenCartを狙ったものだと思う(MS1Jでは404)ん
すが、なにがしたいのか良くわかりません。

なにか脆弱性があるのかなぁ?


はまだ




Tep-j-general メーリングリストの案内
Back to archive index