Toata dragostea mea pentru diavola
Published: 2009/09/13
Webサーバー向けに、ある種の脆弱性をスキャンする際に残されるUA情報のひとつです。今年のはじめごろから観測されています。
Toata dragostea mea pentru diavola 「悪魔のすべての私の愛」
ルーマニア語?ちょっと怖い。
こんなバリエーションもありました。
Toata dragostea mea pentru diavola(diavola is a girl,and this is not an pbot or browser...
これなら怖くない?
最初のころは、「RoundCube Attack Bot」で書いたようにRoudCube WebMailの脆弱性を探しているようでしたが
GET /roundcube//bin/msgimport GET /rc//bin/msgimport GET /mss2//bin/msgimport GET /mail//bin/msgimport GET /mail2//bin/msgimport GET /roundcubemail//bin/msgimport GET /rms//bin/msgimport GET /webmail2//bin/msgimport GET /webmail//bin/msgimport GET /wm//bin/msgimport GET /bin/msgimport GET /roundcubemail-0.1//bin/msgimport GET /roundcubemail-0.2//bin/msgimport GET /roundcube-0.1//bin/msgimport GET /round//bin/msgimport GET /cube//bin/msgimport
7月ごろから、オープンソースのECサイト構築システム、オンラインショップ構築システムの「Zen cart」の脆弱性を狙うようになっているようです。
なるほど2009/6/22に脆弱性が公開されて、攻撃ツールが登場したタイミングとぴったり一致しているわけですね。
参考)http://www.zen-cart.com/forum/showthread.php?t=130161
GET /includes/general.js GET /zen/includes/general.js GET /zencart/includes/general.js GET /zen-cart/includes/general.js GET /cart/includes/general.js GET /shop/includes/general.js GET /store/includes/general.js GET /E-commerce/includes/general.js GET /e-commerce/includes/general.js GET /commerce/includes/general.js
さらに最近では、バグ管理システムの「Mantis」を狙っているようです。
GET /mantis/login_page.php GET /support/mantis/login_page.php GET /turbo/mantis/login_page.php GET /misc/mantis/login_page.php GET /tools/mantis/login_page.php GET /php/mantis/login_page.php GET /mantisbt/login_page.php GET /tracker/login_page.php GET /bugtracker/login_page.php GET /bugtrack/login_page.php GET /support/login_page.php GET /bug/login_page.php GET /bugs/login_page.php GET /login_page.php
login_page狙いのようですが、最近の脆弱性情報はhttp://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-002409.htmlぐらいであんまり関係なさそうですね。ほかの脆弱性があるのでしょうか?気をつけましょう。
古い物も含んでいますが、この攻撃元のIPアドレスとAS、国情報をまとめるとこのような感じ。
43.244.22.32 10013 JP 58.248.253.55 17622 CN 60.190.133.90 4134 CN 60.247.103.41 4847 CN 61.211.239.159 9370 JP 66.90.110.155 30058 US 69.7.239.236 17378 US 74.53.31.50 21844 US 75.148.221.253 33662 US 79.143.113.6 21086 IT 83.137.195.115 34233 NL 83.222.198.83 6854 RU 190.196.23.170 14259 CL 202.104.188.147 4134 CN 202.129.185.83 24532 ID 209.85.72.42 21844 US 212.91.26.10 15694 PL
以前はこの種の攻撃はヨーロッパ発が多かったと思いますが、日本、インドなども含まれており、やはり中国が増えているようです。
攻略されたWebサーバーを踏み台にしてさらにスキャンというパターンが多いのは最近の典型ですね。
日本はSAKURAとFreeBitですか、、
by jyake