前回・1月8日の夜に書いた不審アクセスの件については非常に反響が大きく、翌1月9日には当サイト始まって以来の1日100超の来客があり、ほとんどの方がその記事を閲覧しておられました。コトがことだけに、あんまり喜べないですが・・・。
その後、情報収集したところ、このアクセスはやはりウェブメールソフト「RoundCube Webmail」を標的にしたもののようです。いわゆるボットネットによる攻撃らしいとの報告がネット上に上がっていました。
アクセスのパターンは、以下のとおり。
/nonexistenshit
/mail/bin/msgimport
/bin/msgimport
/rc/bin/msgimport
/roundcube/bin/msgimport
/webmail/bin/msgimport
上記6つが一組となってリクエストされるようです。これは脆弱性のあるファイルの存在を調べるスキャナーと推測され、スキャンの対象となったサイトに実際に msgimport(もしくは msgimport.sh ?)というファイルがあると攻撃を仕掛けてくるようです。このため、「RoundCube Webmail」を使用しているサイトの管理者は早急にこのファイルを削除するべきとの意見も見られました。
さて、当サイトの状況ですが、このスキャナーによる最初のアクセスは1月8日14時に記録されており、当初ほど頻繁ではなくなりましたが本日1月11日に至っても思い出したようにアクセスがあります。やはり上記6つのアクセスパターンが連続して同一IPアドレスからリクエストされる形でスキャンされています。
最初のアクセスから本日19時までのアクセス件数はちょうど50件。発信元の9割方が北米・欧州でした。ちなみに日本発信はなし。
リクエストにはドメイン名ではなく、すべてIPアドレスが使われており、ネット上の報告からも「RoundCube Webmail」を使っていそうな特定のサイト(PHPを使用しているサイトとか)を狙ったものではなく、手当たりしだいスキャンしている様子がうかがえます。また、情報を求めて当サイトにいらした方の数を考慮すると、かなり大規模に活動しているのではないでしょうか。まったく迷惑な話で。