先日、僕が公開しているVPSサーバーのログを眺めていましたらこのような攻撃を受けていました。
GET /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP HTTP/1.1" 301 362 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
HelloThinkPHPって何?とググってみましたらズバリな記事を発見しました。
中国では有名なローカルフレームワークの1つ「ThinkPHP」を使ったサーバーに直にこのリクエストを送りつければ乗っ取れるという非常に簡単な脆弱性を狙ったものだそうです。
2018年の記事なので既に対処済みのサーバーも多いと思うのですが未だにbotが古いサーバーを探し回っているのですね。
以前の記事にもこのようなフレームワークを狙った攻撃について書いた事がありますが、一様に同じ構造を持ち尚かつ有名なフレームワークは一度脆弱性が発見されるとこのようなbotが巡回して芋づる式に被害を受けてしまいます。
日本ではワードプレスを使ったブログ運営が主流になっていますがワードプレスも定期的にアップデートしておかないと古いプラグイン等で乗っ取り被害が出ている事もありますので人ごとではありません。
今回は注意喚起ということで簡単に纏めさせていただきました。