Tweet

localhost からの攻撃

最近,ここの足あと帳のコメントスパムに手こずっている. 書き込みの内容は似通ってるんだけど,アクセス元が広く分散している. botnet とかからやられてるのかしら.

で,access.log を見ててビビったのがこれ.(長いので適当に改行入れてます)

localhost - - [27/Jan/2008:11:40:17 +0900] "POST /~imai/pukiwiki/pukiwiki.php  HTTP/1.0"
200 23234
"http://jr0bak.homelinux.net/~imai/pukiwiki/pukiwiki.php?%C2%AD%A4%A2%A4%C8%C4%A2" 
"Opera/9.0 (Windows NT 5.1; U; en)"

「サーバーに侵入されたか」と思ったが,試しにホントに localhost から書き込みをすると

localhost.localdomain - - [27/Jan/2008:23:02:56 +0900] "POST /~imai/pukiwiki/pukiwiki.php HTTP/1.0"
200 11450
"http://localhost/~imai/pukiwiki/pukiwiki.php" "w3m/0.5.1+cvs-1.968"

となる. /etc/hosts で解決した場合は

127.0.0.1 → localhost.localdomain

となり,ただの「localhost」にはならない.

このサーバ,アクセス解析に analog を使っていて,こいつは逆引きのキャッシュ機能がある. この逆引きキャッシュの中を覗いてみると…

18861840 203.210.242.91 localhost
18902725 203.210.242.91 localhost
19146085 203.160.1.43 localhost
19187845 203.160.1.43 localhost
19229605 203.160.1.43 localhost
19271365 203.160.1.43 localhost
19313125 203.160.1.43 localhost
19350686 203.160.1.43 localhost
19827205 222.253.30.39 localhost
19868549 222.253.30.39 localhost
19909285 222.253.30.39 localhost
19951045 222.253.30.39 localhost
19992805 222.253.30.39 localhost
20018725 203.160.1.43 localhost

なんて記録がある. つまり

DNS で逆引きすると localhost と返すアドレスがある

ということである. そこの DNS サーバが腐ってるのか,乗っ取られたのか…

で,このキャッシュファイル,最初のフィールドは逆引きをした時刻なのだけど,ここを見ると,

2005 年 11 月からこの現象がある

ということになる.

昔から「DNS を完全に信用するな」とは言われてるけど,こういう例を実際に見つけてしまうとやっぱりビビってしまう. というか,これによってセキュリティ上の問題が生じるプログラムもありそうな気もする. 実際,ここらへんのアドレスは bot に乗っ取られたらしいクライアントも存在するわけで.


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2008-01-28 (月) 01:10:38 (4374d)