[Tep-j-general] Re: spy.gif ってなんでしょうか?

アーカイブの一覧に戻る

Mineaki Gotoh gij****@peak*****
2004年 12月 28日 (火) 04:15:48 JST


株式会社ピークの後藤です。

ここに書くのは実に久しぶりですが。


>> 昨日から、異常にアクセスが増えて、調べてみたところ、
>> 以下のように、OSCで利用するPHPへのアクセスに対して、
>> 何か不正を働こうとしているようです。
>
>このアクセスパターンはPerl.Santyワームだと思います。
>
>http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-perl.santy.html
>
>このワームはgoogleでviewtopic.phpを検索し、攻撃して来ます。phpBB、もしく
>は上記名のファイルはありませんか?

あいにくですが違います。

名前は知りませんが、Perl.Santy とはまったく別もので、はるかに恐ろしい
ワームです。

より詳しい情報は、XOOPS日本サイトに書いておきました。

http://jp.xoops.org/modules/newbb/viewtopic.php?topic_id=6704&forum=11#forumpost33757

Santyであれば、phpBBだけがターゲットなので簡単ですが、このワームは

include(変数);

という、PHPにありがちな脆弱性を狙うものなので、ありとあらゆるスクリプ
トに感染する恐れがあります。例え、完全自作でソース非公開のスクリプト
でも、です。


osCommerceだけで言えば、おそらく本体はそれなりにしっかりした作りでしょ
うが、Contributions となると色々な意味で玉石混淆だと思います。それら
の中にこの脆弱性がない、という保証はありません。

Santyだから関係ないなどと決めつけず、まずは /tmp に変なファイルが無い
か、確認した方が良いと思います。





Tep-j-general メーリングリストの案内
アーカイブの一覧に戻る