MODxが狙われています

プログラム(機能)関連の開発の話題
mtnmso1
メンバー
メンバー
記事: 27
登録日時: 2013年3月27日(水) 12:45

MODxが狙われています

投稿記事by mtnmso1 » 2018年5月17日(木) 08:57

WAFを導入しているサーバーにMODxを入れて運用していますが、どうも狙われているようです

攻撃者は「index-ajax.php」をターゲットに攻撃を仕掛けています。
攻撃方法としてはまずindex-ajaxにPOST送信で「攻撃用スクリプト」GETクエリに「攻撃用スクリプトのローダー」を組み込み、POSTリクエストを投げます。
このとき、攻撃用スクリプトはBASE64で符号化されています。
スクリプトローダーはPOSTで送信されたBASE64データをデコードし、evalします。
デコードされevalされる攻撃用スクリプトは、accesson.phpをassetsディレクトリ内に作成し、これまた攻撃用と思われるファイルを作成します。
保存後、最後に.htaccessファイルを削除します。

見た感じ危険なスクリプトです。

みなさんもお気をつけください。
MODx Version:1.0.13j-r1
(Last Check:2014/05/26)
アバター
yama
管理人
記事: 2958
登録日時: 2009年7月29日(水) 02:50

MODxが狙われています

投稿記事by yama » 2018年5月22日(火) 22:53

ありがとうございます。以下、詳細説明ですが、、
index-ajax.phpを狙ったこの種の攻撃は10年近く前から存在しており、実際にロシアなどを中心に非常に
大きな被害が出ました。このファイルはAjaxSearchとJotでしか使われないので、これらのスニペットを
利用していない場合は削除するとよいと思います。現在同梱されているindex-ajax.phpは無害ですが、
404を返さない限りは脆弱性の可能性を疑わせるためしつこくアタックを受け続ける可能性があります。
mtnmso1
メンバー
メンバー
記事: 27
登録日時: 2013年3月27日(水) 12:45

MODxが狙われています

投稿記事by mtnmso1 » 2018年5月23日(水) 20:38

なるほど
10年前からあったのですか。
すでに対策されているであろうに、攻撃者は暇なんですね。

ありがとうございました
MODx Version:1.0.13j-r1
(Last Check:2014/05/26)