カテゴリー
Linux

【魔法少女アパッチ☆マギカ】Logwatch → Apache アクセスログ → URL デコードにて Apache Magica を特定するまでの道のり♪

ポイント

  • logwatch や HTTP アクセスログに「/cgi-bin/php」とあった場合、それは魔法少女アパッチ☆マギカ攻撃の痕跡かもしれません。

ちなみに、わたくしたちの logwatch を確認しますと、少なくとも 11月22日から攻撃が始まり、12月10日も続いていますの。

今回、魔法少女アパッチ☆マギカ攻撃の臭いから、魔法少女アパッチ☆マギカ攻撃であると判断するまでの手法のメモを残します。

Logwatch(詳細レベル最高位 10)レポートに魔法少女アパッチ☆マギカの痕跡を見かけましたの♪

魔法少女アパッチ☆マギカさまかしら?ごきげんよう。ペコリ。

################### Logwatch 7.3 (03/24/06) ####################
        Processing Initiated: Tue Dec 10 02:00:15 2013
        Date Range Processed: yesterday
                              ( 2013-Dec-09 )
                              Period is day.
      Detail Level of Output: 10
              Type of Output: unformatted
           Logfiles for Host: oki2a24.com
  ##################################################################

…略…

--------------------- httpd Begin ------------------------

…略…

Requests with error response codes
    404 Not Found

…略…

       /category/journey/': 1 Time(s)
       /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F ... 76%3D%30+%2D%6E: 1 Time(s)
       /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F ... 76%3D%30+%2D%6E: 1 Time(s)
       /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75 ... 76%3D%30+%2D%6E: 1 Time(s)
       /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75 ... 76%3D%30+%2D%6E: 1 Time(s)
       /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75% ... 76%3D%30+%2D%6E: 1 Time(s)
       /contact.php: 1 Time(s)

…略…

Apache のアクセスログを grep 確認しましたわ♪

なんの加工もいたしません。Logwatch に出力された魔法少女アパッチ☆マギカと思しき部分の省略部分「 … 」の前まででアクセスログを検索するだけですの。

grep '/cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F' /var/log/httpd/access_log

ごきげんよう。はじめまして、エンコードされておりますのでこの段階では断定できませんけれども、おそらくそうなのでございましょう。。。

210.245.90.27 - - [09/Dec/2013:19:56:24 +0900] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 213 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"

iPad からのアクセスなのでございますね。こちらのページでも、iPad をご使用でしたね。好きなのですね、iPad。

URL デコードをして魔法少女の皮をひんむいてやりますの♪

デコード、と検索しまして URL エンコード・デコードするサイト適当に探しますの。わたくしたちは今回こちらのサイトを使用させていただきました。

そこで先程のアクセスログをコピーしましてデコードいたしました。

210.245.90.27 – – [09/Dec/2013:19:56:24  0900] “POST /cgi-bin/php-cgi?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions=”” -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n HTTP/1.1″ 404 213 “-” “Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25”

赤字の部分が 魔法少女アパッチ☆マギカの呪文部分だそうですの。わたくし、残念ながら理解出来はおりませんけれども少なくとも一致しましたので Apache Magica 攻撃であると判断いたしました。

判定の元とさせていただきましたのは、こちらのページです。大変有難く存じます。わたくしたち、魔法を使えるように、、、もっと、、、勉強、、、しなければなりませんねっ。

おわりに

魔法少女アパッチ☆マギカ攻撃を理解するためには次のページが参考になると思いますの♪

こちらのページを軸に、各パラメータの意味、効果を突き止めて、もっと勉強したいですわ♪

以上です。

コメントを残す