MODxが狙われています

プログラム(機能)関連の開発の話題
mtnmso1
メンバー
メンバー
記事: 26
登録日時: 2013年3月27日(水) 12:45

MODxが狙われています

投稿記事by mtnmso1 » 2018年5月17日(木) 08:57

WAFを導入しているサーバーにMODxを入れて運用していますが、どうも狙われているようです

攻撃者は「index-ajax.php」をターゲットに攻撃を仕掛けています。
攻撃方法としてはまずindex-ajaxにPOST送信で「攻撃用スクリプト」GETクエリに「攻撃用スクリプトのローダー」を組み込み、POSTリクエストを投げます。
このとき、攻撃用スクリプトはBASE64で符号化されています。
スクリプトローダーはPOSTで送信されたBASE64データをデコードし、evalします。
デコードされevalされる攻撃用スクリプトは、accesson.phpをassetsディレクトリ内に作成し、これまた攻撃用と思われるファイルを作成します。
保存後、最後に.htaccessファイルを削除します。

見た感じ危険なスクリプトです。

みなさんもお気をつけください。
MODx Version:1.0.13j-r1
(Last Check:2014/05/26)