最近發現伺服器HTTP Service上面老是有404的Log,仔細看一下都是掃描PHPMyAdmin目錄,上網查詢了一下發現原來是八月份被公佈的PHPMyAdmin漏洞,這個漏洞可以讓駭客透過PHPMyAdmin資料夾下面script/setup.php遠端執行php程式碼,從網路上的行為看起來,這支bot應該是修改去年被公佈的同一隻程式漏洞的exploit code修改而來,這支exploit code已經可以利用google關鍵字搜尋結果進行PHPMyAdmin的目錄猜測以及攻擊,攻擊過後會在/tmp植入dd_ssh這支bot,這支bot會對SSH登入密碼進行暴力破解,同時會將Server加入C&C的Control中,下面這篇文章對這次的攻擊有滿詳細的說明,有興趣的人可以參考看看。

IRC-based Botnet (phpmyadmin injection)

Botnet Trend: phpMyAdmin & SSH Attacks

 

 

 

 

 

phpmyadmin2.11.9.4 phpmyadmin-2.11.9.5 phpmyadmin_current

創作者介紹
創作者 nsysumis94 的頭像
nsysumis94

Nightmare的胡言亂語

nsysumis94 發表在 痞客邦 留言(2) 人氣()


留言列表 (2)

發表留言
  • robertso119
  • 人生有如洶湧的波濤,如果沒有岩石的阻擋,怎能激起美麗的浪花?