Tweet


* localhost からの攻撃 [#w22309b0]
最近,ここの[[足あと帳]]のコメントスパムに手こずっている.
書き込みの内容は似通ってるんだけど,アクセス元が広く分散している.
botnet とかからやられてるのかしら.

で,access.log を見ててビビったのがこれ.(長いので適当に改行入れてます)
 localhost - - [27/Jan/2008:11:40:17 +0900] "POST /~imai/pukiwiki/pukiwiki.php  HTTP/1.0"
 200 23234
 "http://jr0bak.homelinux.net/~imai/pukiwiki/pukiwiki.php?%C2%AD%A4%A2%A4%C8%C4%A2" 
 "Opera/9.0 (Windows NT 5.1; U; en)"

「サーバーに侵入されたか」と思ったが,試しにホントに localhost から書き込みをすると
 localhost.localdomain - - [27/Jan/2008:23:02:56 +0900] "POST /~imai/pukiwiki/pukiwiki.php HTTP/1.0"
 200 11450
 "http://localhost/~imai/pukiwiki/pukiwiki.php" "w3m/0.5.1+cvs-1.968"

となる.
/etc/hosts で解決した場合は
 127.0.0.1 → localhost.localdomain

となり,ただの「localhost」にはならない.

このサーバ,アクセス解析に analog を使っていて,こいつは逆引きのキャッシュ機能がある.
この逆引きキャッシュの中を覗いてみると…

 18861840 203.210.242.91 localhost
 18902725 203.210.242.91 localhost
 19146085 203.160.1.43 localhost
 19187845 203.160.1.43 localhost
 19229605 203.160.1.43 localhost
 19271365 203.160.1.43 localhost
 19313125 203.160.1.43 localhost
 19350686 203.160.1.43 localhost
 19827205 222.253.30.39 localhost
 19868549 222.253.30.39 localhost
 19909285 222.253.30.39 localhost
 19951045 222.253.30.39 localhost
 19992805 222.253.30.39 localhost
 20018725 203.160.1.43 localhost

なんて記録がある.
つまり
> DNS で逆引きすると localhost と返すアドレスがある

ということである.
そこの DNS サーバが腐ってるのか,乗っ取られたのか…

で,このキャッシュファイル,最初のフィールドは逆引きをした時刻なのだけど,ここを見ると,
> 2005 年 11 月からこの現象がある

ということになる.

昔から「DNS を完全に信用するな」とは言われてるけど,こういう例を実際に見つけてしまうとやっぱりビビってしまう.
というか,これによってセキュリティ上の問題が生じるプログラムもありそうな気もする.
実際,ここらへんのアドレスは bot に乗っ取られたらしいクライアントも存在するわけで.

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS