メニュー 蕭寥亭 検索

開店休業の記

Morfeus 某について

 3年前にここで取り上げたサーバーへの不正アクセス、Morfeus Fucking Scanner( USER-AGENT の文字列が そうなっているため、ここでは便宜的に以下そう呼びます。)についての記事には、今でもちょくちょく検索経由でアクセスがあります。当サイトのちょっとしたヒット記事になっていますね。おそらくは現在も Morfeus Fucking Scanner の活動が続いているからでしょう。そして不正アクセスに気づいたサーバー管理者さんが、ネット検索を使った調査をして、その結果、当サイトにたどりつくと。

 せっかくなので、当サイトにおけるその後の状況をご報告させていただきましょう。

 最初に Morfeus Fucking Scanner のアクセスがあったのは、ちょうど今から3年前、2007年の3月で延べ60回以上のアクセスがありました。当時は Wikiwig 、phpBB 、WebCalendar 等、PHP を使った Web アプリの脆弱性を衝こうとしていると思われる挙動を示していました。ただ、翌月になるとパタッと来なくなりましたが。

 ログの記録によれば、次に来たのは翌年3月になってからで、その次がその年(2008年)の9月。それ以降は散発的にアクセスがあります。今年に入っても何度かありました。ただ、ウチのサイトのアクセス状況を見る限り、2008年9月以降は目標を soapCaller.bs というファイルに絞って活動しているようです。このファイルはコンテンツ管理システムの Drupal で使われているとのことです。Drupal も PHP で記述されています。

 関係あるかどうかはわからないのですが、USER-AGENT の文字列が "Morfeus strikes again." となっている不正アクセスが今年に入ってから現れています。こちらの狙いはWebメールアプリの RoundCube のようで、/roundcube/README といったファイルをリクエストしてきます( RoundCube も PHP で記述されており、これを狙った攻撃についても、以前ここで取り上げたことがあります)。

 IPAの2009年上期の調査報告にも、Drupal と RoundCube に対する不正アクセスが増加している旨の記載がありましたので、ウチだけの話ではなさそうです。