RYUさんのサイト、「LinuxとフレッツISDN/フレッツADSL/BフレッツによるInternet Serverの構築」を参考に、AWStats6.0完全日本語版を動かし始めてそろそろまる2ヶ月になる。
この間、
要求されたが存在しなかったURL(HTTPコード404)
のページを調べてみると、awstats.plがどのディレクトリにあるか探るようなアクセスが頻発していたので、なんだか変だなあと思っていた。
そんなこともあって、snort + ACID環境の復活を試みた。
そして、昨日からsnortのチューニングを行っているときに、
WEB-ATTACKS id command attempt
というアラートを調べていると、
GET /cgi-bin/AWStats//awstats.pl?configdir=|echo%20;echo%20;id;echo%20;echo| HTTP/1.1.. (以下省略)
というようなアクセスがその正体であることを突き止め、あちこち検索してみると、AWStatsに深刻な脆弱性があるということが分かった。
現在は、AWStats 6.4が公開されている模様で、これを使えば脆弱性を回避できるそうだが、RYUさんのAWStats6.0完全日本語版から乗り換えるには、いろいろ面倒が予想される。
そこで、再びRYUさんのサイトをのぞいてみると、脆弱性対策を施したawstats.plを公開してくださっているではないか!
管理人のMonoblog: 3つの脆弱性の問題を修正したバージョンを公開
さっそく、ダウンロードさせてもらった。
RYUさんもblog(管理人のMonoblog)を開かれていたので、早速トラックバックさせてもらうことにする。
====================
うちのサイトでは、AWStatsをCGIで動かしているが、ApacheのBASIC認証を使ってアクセス制限をしているので、幸いにも今日まで無事でいられたようである。
なお、RYUさんのawstats.plと本家AWStats6.4のawstats.plのdiffを取ってみたのだが、6.4とはかなり違っている。でも、何はともあれ今のところ無事に動いているので、今夜のところはこれで良しとしよう。
ちなみに、ドイツに暮らす友人がFirefoxを使っているので、6.4のアイコンにあったfirefox.pngにも対応できるように、browser.pmをちょっと触ったりしてみた。
コメント (2)
トラックバックありがとうございます!
じつは初トラックバックなんで、うれしくてしょうがないです。
でも、作法としてどのように対処するかもわからない始末....
#とりあえずコメントに書き込ませて頂きました。
昨日のblogにも書きましたが、configdirは突っついてくる人が後を絶ちません。
まぁ、私の場合は昔から統計結果をサンプルとして公開しているので、あちこちの
検索エンジンにその痕跡が残っているためなのでしょうが....
#現存しないパスへの攻撃が多い多い....
もぐらさんもお気をつけください。
投稿者: Ryu | 2005年03月07日 16:36
日時: 2005年03月07日 16:36
コメントありがとうございます。
トラックバックの作法って、私も最初はよく分かりませんでした。「リンクしましたよ。」というお知らせ機能付きのコメントぐらいの気持ちで書き込めばいいだろうと思います。
ただ、コメントとの違いは、あくまでもこちらのサイトを見てくださる誰かのために書くという点ですね。トラックバックをするときは、相手サイトの元記事へのリンクを明記するというのがマナーだとは思うのですが、今回のはRYUさんのメインサイトの記事を紹介するような、ブログを紹介するような中途半端な書き方になってしまいました。すみません。
しばらくは、ログをにらめっこしながら、configdirを突くアクセスをチェックしていく必要がありそうですね。
今後ともよろしくお願いいたします。
投稿者: もぐらくん | 2005年03月07日 22:40
日時: 2005年03月07日 22:40