先日,下記のようなアクセスがあるとblogにちらと書いたら,やたらにアクセスが増えた。みんな情報に飢えてるらしい。
xxxxxxxxxxxx – – [09/Jan/2009:16:29:35 +0900] “GET /nonexistenshit HTTP/1.1” 404 292 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5”
xxxxxxxxxxxx – – [09/Jan/2009:16:29:35 +0900] “GET /mail/bin/msgimport HTTP/1.1” 404 296 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5”
xxxxxxxxxxxx – – [09/Jan/2009:16:29:36 +0900] “GET /bin/msgimport HTTP/1.1” 404 291 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5”
xxxxxxxxxxxx – – [09/Jan/2009:16:29:36 +0900] “GET /rc/bin/msgimport HTTP/1.1” 404 294 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5”
xxxxxxxxxxxx – – [09/Jan/2009:16:29:37 +0900] “GET /roundcube/bin/msgimport HTTP/1.1” 404 301 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5”
xxxxxxxxxxxx – – [09/Jan/2009:16:29:38 +0900] “GET /webmail/bin/msgimport HTTP/1.1” 404 299 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5”
ボチボチ皆さん気がついたようなんだけど,よく分からんのよね。つーことでちらと調べてみたことを書きつけておく。詳細が分かればまたここに追加しておきます。
まず,何を狙っているのかを調べてみた。どうやらRoundCube Webmailという奴を狙っているようである。ワシは使ったことがないのだが,ThunderbirdをWebインターフェースにしたようなScreen shotを見ると魅力的なもののようだ。ただ,2007年にもJPCERT/CCで脆弱性の指摘があること,ver.no.が低いことから(まだβレベルか?),狙い目と思われているのかなぁという気がする。
で,何がアクセスを仕掛けているのか,という点であるが,今のところよく分からない。Windows上のFirefox 3.0.5でアクセスしているように見えるけど,セキュリティ調査会社らしいんだが,こちらの指摘によると,どうもLinuxに感染しているbotではないか,ということらしい。ホントだったら一大事だが,調査中だそうだし,まだ何とも言えないよなぁ。
何にせよ,上記記事にもあるように
・RoundCubeを使っているなら使用をやめるか,最新版(0.2以上)をインストールする
は最低やっておいた上で
・自分とこのLinuxサーバがbotのたまり場になっていないかチェックする
必要があるよな。
続報,どっかにでないかなぁ。情報お待ちしております。