先日,下記のようなアクセスがあるとblogにちらと書いたら,やたらにアクセスが増えた。みんな情報に飢えてるらしい。

xxxxxxxxxxxx – – [09/Jan/2009:16:29:35 +0900] “GET /nonexistenshit HTTP/1.1” 404 292 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5”
xxxxxxxxxxxx – – [09/Jan/2009:16:29:35 +0900] “GET /mail/bin/msgimport HTTP/1.1” 404 296 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5”
xxxxxxxxxxxx – – [09/Jan/2009:16:29:36 +0900] “GET /bin/msgimport HTTP/1.1” 404 291 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5”
xxxxxxxxxxxx – – [09/Jan/2009:16:29:36 +0900] “GET /rc/bin/msgimport HTTP/1.1” 404 294 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5”
xxxxxxxxxxxx – – [09/Jan/2009:16:29:37 +0900] “GET /roundcube/bin/msgimport HTTP/1.1” 404 301 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5”

xxxxxxxxxxxx – – [09/Jan/2009:16:29:38 +0900] “GET /webmail/bin/msgimport HTTP/1.1” 404 299 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5”

 ボチボチ皆さん気がついたようなんだけど,よく分からんのよね。つーことでちらと調べてみたことを書きつけておく。詳細が分かればまたここに追加しておきます。


 まず,何を狙っているのかを調べてみた。どうやらRoundCube Webmailという奴を狙っているようである。ワシは使ったことがないのだが,ThunderbirdをWebインターフェースにしたようなScreen shotを見ると魅力的なもののようだ。ただ,2007年にもJPCERT/CCで脆弱性の指摘があること,ver.no.が低いことから(まだβレベルか?),狙い目と思われているのかなぁという気がする。
 で,何がアクセスを仕掛けているのか,という点であるが,今のところよく分からない。Windows上のFirefox 3.0.5でアクセスしているように見えるけど,セキュリティ調査会社らしいんだが,こちらの指摘によると,どうもLinuxに感染しているbotではないか,ということらしい。ホントだったら一大事だが,調査中だそうだし,まだ何とも言えないよなぁ。
 何にせよ,上記記事にもあるように
 ・RoundCubeを使っているなら使用をやめるか,最新版(0.2以上)をインストールする
は最低やっておいた上で
 ・自分とこのLinuxサーバがbotのたまり場になっていないかチェックする
必要があるよな。
 続報,どっかにでないかなぁ。情報お待ちしております。

T.Kouya

Share
Published by
T.Kouya

Recent Posts

12/1(日) 駿府・晴

 猛暑の夏の名残が11月まで続…

3週間 ago

11/17(日) 駿府・晴

 (色々)^nあった物事が一応…

1か月 ago

8/9(金) 徳島→駿府・晴

 昨日の宮崎県沖地震が南海トラ…

5か月 ago

7/28(日) 駿府・酷暑

 梅雨明け前から35℃越えの日…

5か月 ago