ひとつ解決すると、またひとつ...?
今度は、apacheのerror_logにいっぱいいっぱいログが残っているのを発見しました。
(気付くのが遅いって...)
なぜかrefererが http://blog.kiyo.com (つまりここのサイト)になっているので関係ないとも思われず、こっちにアップすることにしました。
/home/blog/public_html/shop, referer: http://blog.kiyo.com/
[Sun Jul 04 21:08:57 2004] [error] [client 192.146.226.29] script not found or unable to stat
: /var/www/cgi-bin/formmail.pl, referer: http://blog.kiyo.com/
[Sun Jul 04 21:08:59 2004] [error] [client 206.204.190.4] script not found or unable to stat
: /var/www/cgi-bin/contact.cgi, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:04 2004] [error] [client 207.127.8.2] script not found or unable to stat
: /var/www/cgi-bin/mailform.pl, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:06 2004] [error] [client 209.184.108.162] script not found or unable to stat
: /var/www/cgi-bin/formmail.cgi, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:08 2004] [error] [client 12.104.198.106] script not found or unable to stat
: /var/www/cgi-bin/FormMail.pl, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:29 2004] [error] [client 66.193.160.126] script not found or unable to stat
: /home/blog/public_html/mail.cgi, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:30 2004] [error] [client 216.23.208.220] script not found or unable to stat
: /home/blog/public_html/mail.cgi, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:31 2004] [error] [client 213.69.149.153] script not found or unable to stat
: /var/www/cgi-bin/fmail.pl, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:32 2004] [error] [client 63.160.254.40] script not found or unable to stat
: /var/www/cgi-bin/form.cgi, referer: http://blog.kiyo.com/
「MT3.0が生成したhtmlにそんなリンクがあるのかぁ??」
っと、思わずblog.kiyo.com以下のディレクトリを"formmail.cgi"とかでgrepしちゃいました。
でも、ヒットしなかったんです。(当然です!笑)
/var/www/cgi-bin/formmail.plとか
/var/www/cgi-bin/contact.cgiとか
ありそうだけれど、私は置いてないですもん〜笑。
ヒットしなくてもreferer....っということは『でっちあげ』ということですね。
(でなければ、ブラウザのいたずら??それにしては件数多すぎ。)
これはもう故意のアタックとしか考えられないです。
ネット検索してみたら下記のサイトが見つかりました。
FormMail hall of shame
わぁ〜〜、さらされちゃってる!!
やっぱりformmailのセキュリティホールを狙ったアタックだったのですね。
この方は、あったまきて(?)、偽のスクリプトを作っちゃったみたいですね。
そこにPOSTすると、上記のサイトみたいにさらされちゃうワケですね......わぁよくできてる!!
ただのerror_logだと、POSTされた内容はわからないんです....。
(以前はAccessMethodがGETだったようで内容がつかめたみたいですが、敵もさるもの?上のアクセスはPOSTで来ています。)
だからformmail.cgiを設置して、内容を取り込むのは正解だと思います。
自分宛てに詳細のメールを出すように仕込むなんて、すごすぎ。
(私に性格が似ていると思うけれど、実行にうつしちゃうところがすごいです。)
考えることは皆同じ?
私も身に覚えあるけれど...(笑)
というか、上のログでもIPを消していないので、同じことの一部をやってしまっているワケですが。
でも、FormMail攻撃は悪質ですからこのくらいやってもいいと思います。
blog.kiyo.comがターゲットにされたということは、blog.kiyo.comは、www.kiyo.comよりも露出度が高いのでしょうか?
まだまだ試験サイトなのに....。
やっぱりblogはメジャーなのかもしれません。
気をつけないと。
原因はわかったけれど、さて...どうしていいものか。
今はとても忙しいし、でもちょっと考えておきます。
なぁんて悠長に考えていたけれど、パスワード保護している親ばかサイトの中に問題のMatt Wrightのformmail.cgiスクリプトを発見!
とりあえずあわてて直したのでした。
応急処置ですが、recipientを外部からパラメタで受取るのをやめて、固定にしちゃいました。
....って、よく考えてみたら、パスワード保護しているんだから修正は必要なかったかもしれないけれど(笑)。
※kiyo.comサイト開設時、まだ世の中にはフリーのスクリプトもほとんどなくて、Matt Wrightにはかなりお世話になったのです。
投稿者 megu : 2004年07月06日 11:25
コメント
その後↓みたいなのもみつけたのですが、何なのでしょう?
[Mon Jul 12 11:58:14 2004] [error] [client 219.150.146.126] File does not exist:
/var/www/html/scripts
[Mon Jul 12 11:58:18 2004] [error] [client 219.150.146.126] File does not exist:
/var/www/html/MSADC
[Mon Jul 12 11:58:19 2004] [error] [client 219.150.146.126] File does not exist:
/var/www/html/c
[Mon Jul 12 11:58:20 2004] [error] [client 219.150.146.126] File does not exist:
/var/www/html/d
[Mon Jul 12 11:58:21 2004] [error] [client 219.150.146.126] File does not exist:
/var/www/html/scripts
[Mon Jul 12 11:58:22 2004] [error] [client 219.150.146.126] File does not exist:
/var/www/html/_vti_bin
[Mon Jul 12 11:58:32 2004] [error] [client 219.150.146.126] File does not exist:
/var/www/html/_mem_bin
[Mon Jul 12 11:58:36 2004] [error] [client 219.150.146.126] File does not exist:
/var/www/html/msadc
[Mon Jul 12 11:58:37 2004] [error] [client 219.150.146.126] File does not exist:
/var/www/html/scripts
[Mon Jul 12 11:58:40 2004] [error] [client 219.150.146.126] File does not exist:
/var/www/html/scripts
投稿者 megu ![[TypeKey Profile Page]](http://blog.kiyo.com/images/nav-commenters.gif)
: 2004年07月19日 02:06
自己レスです。
↑はどうやらワームらしいです。(やっぱり...といったところ)
Apacheの設定ファイル、httpd.confのワームのログを取るところ
に下記スクリプトを追加しておきました。
SetEnvIf Request_URI "^/_mem_bin/" warm nolog
SetEnvIf Request_URI "^/_vti_bin/" warm nolog
SetEnvIf Request_URI "^/c/" warm nolog
SetEnvIf Request_URI "^/d/" warm nolog
SetEnvIf Request_URI "^/msadc/" warm nolog
SetEnvIf Request_URI "^/MSADC/" warm nolog
SetEnvIf Request_URI "^/scripts/" warm nolog
SetEnvIf Request_URI "^/default.ida" warm nolog
CustomLog /var/log/httpd/worm_log combined env=worm
とすることでworm_logというファイルにログが出力されます。
nologを指定しているので、通常のaccess_logには出力されません。
投稿者 megu : 2004年07月19日 03:10
お久しぶりでございます。
tugaa blogのtugaaでございます。
うちにもformmailのセキュリティホールを狙ったアタックが、
やってきました。
晒します。同じIPはありませんでしたが、
とりあえず、迷惑ですね。
投稿者 tugaa : 2004年07月26日 20:39
