確認されているだけでも攻撃が毎分1.5件,PHPアプリ狙う攻撃が大量無差別型に
前回,SQLインジェクション攻撃の増加傾向を紹介した。そのほかにも日本IBMの東京セキュリティオペレーションセンター(以下,東京SOC)では,PHPで作成されたWebアプリケーションを狙った攻撃を大量に確認している。特に,リモート・ファイル・インクルード(RFI)攻撃は非常に多く,東京SOCでは1分当たり1.5件の頻度でRFI攻撃を検知している。これらは自動化された攻撃ツールによる大量無差別型の攻撃だと考えられる。今回は,現在のRFI攻撃の動向を紹介する。 RFI攻撃は,Webアプリケーションのぜい弱性を利用して標的とするサーバーに,外部のサーバーから悪意あるファイルを読み込ませる攻撃である。攻撃者は標的サーバー上で当該ファイルに記述された任意のコードを実行させる。
サーバーも狙われる ~RFI攻撃によるボットの感染~
サーバーを攻撃する手法の一つにリモート・ファイル・インクルード(以下,RFI)攻撃がある。RFIはスクリプト言語のPHPで作成されたWebアプリケーションのぜい弱性を突くことで,リモートからWebページに攻撃コードを挿入し実行させる攻撃である。攻撃者は悪意のあるURLリクエストをWebサーバーに送るだけで,サーバーから情報を盗み出したり,データを改ざんしたりできる。ボットを埋め込む方法としても使われるため,注意が必要である。 今回は実際の検体を基に,RFI攻撃を使って埋め込まれるボットの機能や,ボットに感染した場合の検知・対処方法,そして感染しないための予防法について解説する。 RFI攻撃では以下のようなURLリクエストを送ることで,リモートの悪意あるサーバーXXXXで公開している攻撃コードattack.txtをWebサーバー(example.com)に読み込ませることができる(図1)。こ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
