localhost からの攻撃 †最近,ここの足あと帳のコメントスパムに手こずっている. 書き込みの内容は似通ってるんだけど,アクセス元が広く分散している. botnet とかからやられてるのかしら. で,access.log を見ててビビったのがこれ.(長いので適当に改行入れてます) localhost - - [27/Jan/2008:11:40:17 +0900] "POST /~imai/pukiwiki/pukiwiki.php HTTP/1.0" 200 23234 "http://jr0bak.homelinux.net/~imai/pukiwiki/pukiwiki.php?%C2%AD%A4%A2%A4%C8%C4%A2" "Opera/9.0 (Windows NT 5.1; U; en)" 「サーバーに侵入されたか」と思ったが,試しにホントに localhost から書き込みをすると localhost.localdomain - - [27/Jan/2008:23:02:56 +0900] "POST /~imai/pukiwiki/pukiwiki.php HTTP/1.0" 200 11450 "http://localhost/~imai/pukiwiki/pukiwiki.php" "w3m/0.5.1+cvs-1.968" となる. /etc/hosts で解決した場合は 127.0.0.1 → localhost.localdomain となり,ただの「localhost」にはならない. このサーバ,アクセス解析に analog を使っていて,こいつは逆引きのキャッシュ機能がある. この逆引きキャッシュの中を覗いてみると… 18861840 203.210.242.91 localhost 18902725 203.210.242.91 localhost 19146085 203.160.1.43 localhost 19187845 203.160.1.43 localhost 19229605 203.160.1.43 localhost 19271365 203.160.1.43 localhost 19313125 203.160.1.43 localhost 19350686 203.160.1.43 localhost 19827205 222.253.30.39 localhost 19868549 222.253.30.39 localhost 19909285 222.253.30.39 localhost 19951045 222.253.30.39 localhost 19992805 222.253.30.39 localhost 20018725 203.160.1.43 localhost なんて記録がある. つまり
ということである. そこの DNS サーバが腐ってるのか,乗っ取られたのか… で,このキャッシュファイル,最初のフィールドは逆引きをした時刻なのだけど,ここを見ると,
ということになる. 昔から「DNS を完全に信用するな」とは言われてるけど,こういう例を実際に見つけてしまうとやっぱりビビってしまう. というか,これによってセキュリティ上の問題が生じるプログラムもありそうな気もする. 実際,ここらへんのアドレスは bot に乗っ取られたらしいクライアントも存在するわけで. |