MODxが狙われています
Posted: 2018年5月17日(木) 08:57
WAFを導入しているサーバーにMODxを入れて運用していますが、どうも狙われているようです
攻撃者は「index-ajax.php」をターゲットに攻撃を仕掛けています。
攻撃方法としてはまずindex-ajaxにPOST送信で「攻撃用スクリプト」GETクエリに「攻撃用スクリプトのローダー」を組み込み、POSTリクエストを投げます。
このとき、攻撃用スクリプトはBASE64で符号化されています。
スクリプトローダーはPOSTで送信されたBASE64データをデコードし、evalします。
デコードされevalされる攻撃用スクリプトは、accesson.phpをassetsディレクトリ内に作成し、これまた攻撃用と思われるファイルを作成します。
保存後、最後に.htaccessファイルを削除します。
見た感じ危険なスクリプトです。
みなさんもお気をつけください。
攻撃者は「index-ajax.php」をターゲットに攻撃を仕掛けています。
攻撃方法としてはまずindex-ajaxにPOST送信で「攻撃用スクリプト」GETクエリに「攻撃用スクリプトのローダー」を組み込み、POSTリクエストを投げます。
このとき、攻撃用スクリプトはBASE64で符号化されています。
スクリプトローダーはPOSTで送信されたBASE64データをデコードし、evalします。
デコードされevalされる攻撃用スクリプトは、accesson.phpをassetsディレクトリ内に作成し、これまた攻撃用と思われるファイルを作成します。
保存後、最後に.htaccessファイルを削除します。
見た感じ危険なスクリプトです。
みなさんもお気をつけください。