メニュー 蕭寥亭 検索

開店休業の記

不審アクセス雑感

 年の瀬にふさわしい話題なのか、ってな疑問はありますが、新サーバー導入以降の当サイトに対する不審アクセスの状況なんぞを。

 8月1日の新サーバー導入から今日現在まででほぼ5ヶ月ってことになりますが、その間の不審アクセスを集計しましたところ、3686件でした。これってよそと比べると多いんでしょうか、少ないんでしょうか? 比較のしようがないのでよくわかりませんが、同じ期間のカウンター数より多いってのがムカつきます(怒)。

 傾向としましては、php のウェブアプリの脆弱性を狙った攻撃が大半でした。具体的なアプリ名を挙げると WebCalendar 、phpMyAdmin 、Wikiwig 、phpBB 、phpAlbum 、phpThumb といったところ。phpAlbum はなぜか Perl で書かれた AWStats への攻撃とセットになっていることが多かったです。ご利用の方はご注意を。

 他に今月に入ってから目につくものとして、ディレクトリトラバーサルと組み合わせて /proc/self/environ%00 をリクエストするというもの。このリクエストが成功した場合、HTTPヘッダの User-Agent にセットされたコマンドが実行されることがあるそうです。わたしのところに来たリクエストの HTTPヘッダの User-Agent は <?php system("id"); ?> となっていました。これまた、ご注意。

 同一IPから複数の不審アクセスが連続することが多く、通常は10件前後ぐらいなのですが、今月に入って1000件以上連続してアクセスしてきたバカタレがいまして(上記の /proc/self/environ%00 攻撃)、一気に不審アクセスの総計が増えてしまいました(怒)。コレを含めて2500件以上が今月です。今月、いったい何があったんだ? 仕事納めか? 年末調整か?

 発信元IPアドレスは合計で192ヶ所。34の国・地域からアクセスがありました。わりとバラけていて、特定の国・地域から集中的にアクセスがあったという印象はありません。

 日本国内からの不審アクセスはさほどはないのですが、ウチのサイトには置いていない crossdomain.xml というファイルをリクエストする事例が多いのが気になります。この crossdomain.xml というファイルは Flash によるドメイン外からのアクセスの可否を設定をするものらしいのですが、設定内容次第では CSRF 脆弱性が生じる危険があるとされています。

 "Morfeus Fucking Scanner" なんかも相変わらず来ていますが件数はそう多くはなく、むしろ "ZmEu" とか "Made by ZmEu @ WhiteHat Team - www.whitehat.ro" なんていう UserAgent のがけっこう来てたな。他に自己顕示系ヘンテコ UserAgent では "MaMa CaSpEr" とか "Toata dragostea mea pentru iEdi" ってのがありました。Google の Bot を偽装していた奴もいたな(発信元はスペイン・・・)。ほとんどは一般のブラウザということになっていました。"libwww-perl/*.**" もチョボチョボと。

 こんなとこです。

 では、脈絡がありませんが、良いお年を!