RoundCube Attack Bot
Published: 2009/01/11
たぶん2009/1/08 or 9あたりからこういったアクセスが急増しているのではないかと思います。特に9日は現状の10倍以上のアタックを観測しています。
*.*.*.* - - [11/Jan/2009:09:09:04 +0900] "GET /nonexistenshit HTTP/1.1" 404 288 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 *.*.*.* - - [11/Jan/2009:09:09:05 +0900] "GET /mail/bin/msgimport HTTP/1.1" 404 292 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" *.*.*.* - - [11/Jan/2009:09:09:05 +0900] "GET /bin/msgimport HTTP/1.1" 404 287 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" *.*.*.* - - [11/Jan/2009:09:09:05 +0900] "GET /rc/bin/msgimport HTTP/1.1" 404 290 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" *.*.*.* - - [11/Jan/2009:09:09:05 +0900] "GET /roundcube/bin/msgimport HTTP/1.1" 404 297 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" *.*.*.* - - [11/Jan/2009:09:09:06 +0900] "GET /webmail/bin/msgimport HTTP/1.1" 404 295 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" *.*.*.* - - [11/Jan/2009:09:38:48 +0900] "GET /nonexistenshit HTTP/1.1" 404 288 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122Firefox/3.0.5" *.*.*.* - - [11/Jan/2009:09:38:49 +0900] "GET /mail/bin/msgimport HTTP/1.1" 404 292 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
RoundCube WebMailの脆弱性を狙ったもので2007年の脆弱性情報のまんまですね。
多数の攻撃元が観測されていますが、アメリカ、イタリアなどのVPS、ホスティングサービスのサーバーのようで、OSはlinuxです。なぜこのタイミングでこの攻撃が増えたのか不明ですが、この攻撃が増えたことよりも、攻撃元がlinuxであることから、linuxサーバーに対する乗っ取り攻撃が大々的に行われているのではないかという問題の方が大きいのではないかと思います。SQLインジェクションによるWEB改ざんが非常に多い状況は変わりないですが、その影ではいままでどおり、古典的なアカウントハックによる改ざんや、乗っ取り行為も多い状況ですので、フィルタリング、パッチ、簡単なパスワードは設定しないなどの基本的なセキュリティ管理もちゃんとやりましょう。
by jyake