ページ 11

MODxが狙われています

Posted: 2018年5月17日(木) 08:57
by mtnmso1
WAFを導入しているサーバーにMODxを入れて運用していますが、どうも狙われているようです

攻撃者は「index-ajax.php」をターゲットに攻撃を仕掛けています。
攻撃方法としてはまずindex-ajaxにPOST送信で「攻撃用スクリプト」GETクエリに「攻撃用スクリプトのローダー」を組み込み、POSTリクエストを投げます。
このとき、攻撃用スクリプトはBASE64で符号化されています。
スクリプトローダーはPOSTで送信されたBASE64データをデコードし、evalします。
デコードされevalされる攻撃用スクリプトは、accesson.phpをassetsディレクトリ内に作成し、これまた攻撃用と思われるファイルを作成します。
保存後、最後に.htaccessファイルを削除します。

見た感じ危険なスクリプトです。

みなさんもお気をつけください。

MODxが狙われています

Posted: 2018年5月22日(火) 22:53
by yama
ありがとうございます。以下、詳細説明ですが、、
index-ajax.phpを狙ったこの種の攻撃は10年近く前から存在しており、実際にロシアなどを中心に非常に
大きな被害が出ました。このファイルはAjaxSearchとJotでしか使われないので、これらのスニペットを
利用していない場合は削除するとよいと思います。現在同梱されているindex-ajax.phpは無害ですが、
404を返さない限りは脆弱性の可能性を疑わせるためしつこくアタックを受け続ける可能性があります。

MODxが狙われています

Posted: 2018年5月23日(水) 20:38
by mtnmso1
なるほど
10年前からあったのですか。
すでに対策されているであろうに、攻撃者は暇なんですね。

ありがとうございました