January 9, 2009

RoundCube Attack Botについて

 先日,下記のようなアクセスがあるとblogにちらと書いたら,やたらにアクセスが増えた。みんな情報に飢えてるらしい。

xxxxxxxxxxxx - - [09/Jan/2009:16:29:35 +0900] "GET /nonexistenshit HTTP/1.1" 404 292 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xxxxxxxxxxxx - - [09/Jan/2009:16:29:35 +0900] "GET /mail/bin/msgimport HTTP/1.1" 404 296 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xxxxxxxxxxxx - - [09/Jan/2009:16:29:36 +0900] "GET /bin/msgimport HTTP/1.1" 404 291 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xxxxxxxxxxxx - - [09/Jan/2009:16:29:36 +0900] "GET /rc/bin/msgimport HTTP/1.1" 404 294 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xxxxxxxxxxxx - - [09/Jan/2009:16:29:37 +0900] "GET /roundcube/bin/msgimport HTTP/1.1" 404 301 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xxxxxxxxxxxx - - [09/Jan/2009:16:29:38 +0900] "GET /webmail/bin/msgimport HTTP/1.1" 404 299 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"

 ボチボチ皆さん気がついたようなんだけど,よく分からんのよね。つーことでちらと調べてみたことを書きつけておく。詳細が分かればまたここに追加しておきます。

 まず,何を狙っているのかを調べてみた。どうやらRoundCube Webmailという奴を狙っているようである。ワシは使ったことがないのだが,ThunderbirdをWebインターフェースにしたようなScreen shotを見ると魅力的なもののようだ。ただ,2007年にもJPCERT/CCで脆弱性の指摘があること,ver.no.が低いことから(まだβレベルか?),狙い目と思われているのかなぁという気がする。

 で,何がアクセスを仕掛けているのか,という点であるが,今のところよく分からない。Windows上のFirefox 3.0.5でアクセスしているように見えるけど,セキュリティ調査会社らしいんだが,こちらの指摘によると,どうもLinuxに感染しているbotではないか,ということらしい。ホントだったら一大事だが,調査中だそうだし,まだ何とも言えないよなぁ。

 何にせよ,上記記事にもあるように

 ・RoundCubeを使っているなら使用をやめるか,最新版(0.2以上)をインストールする

は最低やっておいた上で

 ・自分とこのLinuxサーバがbotのたまり場になっていないかチェックする

必要があるよな。

 続報,どっかにでないかなぁ。情報お待ちしております。

Posted by tkouya at January 9, 2009 8:44 PM