cNotes 検索 一覧 カテゴリ

Toata dragostea mea pentru diavola

Published: 2009/09/13

Webサーバー向けに、ある種の脆弱性をスキャンする際に残されるUA情報のひとつです。今年のはじめごろから観測されています。

 Toata dragostea mea pentru diavola
 「悪魔のすべての私の愛」

ルーマニア語?ちょっと怖い。

こんなバリエーションもありました。

 Toata dragostea mea pentru diavola(diavola is a girl,and this is not an pbot or browser...

これなら怖くない?

最初のころは、「RoundCube Attack Bot」で書いたようにRoudCube WebMailの脆弱性を探しているようでしたが

 GET /roundcube//bin/msgimport
 GET /rc//bin/msgimport
 GET /mss2//bin/msgimport
 GET /mail//bin/msgimport
 GET /mail2//bin/msgimport
 GET /roundcubemail//bin/msgimport
 GET /rms//bin/msgimport
 GET /webmail2//bin/msgimport
 GET /webmail//bin/msgimport
 GET /wm//bin/msgimport
 GET /bin/msgimport
 GET /roundcubemail-0.1//bin/msgimport
 GET /roundcubemail-0.2//bin/msgimport
 GET /roundcube-0.1//bin/msgimport
 GET /round//bin/msgimport
 GET /cube//bin/msgimport

7月ごろから、オープンソースのECサイト構築システム、オンラインショップ構築システムの「Zen cart」の脆弱性を狙うようになっているようです。

なるほど2009/6/22に脆弱性が公開されて、攻撃ツールが登場したタイミングとぴったり一致しているわけですね。

参考)http://www.zen-cart.com/forum/showthread.php?t=130161

 GET /includes/general.js
 GET /zen/includes/general.js
 GET /zencart/includes/general.js
 GET /zen-cart/includes/general.js
 GET /cart/includes/general.js
 GET /shop/includes/general.js
 GET /store/includes/general.js
 GET /E-commerce/includes/general.js
 GET /e-commerce/includes/general.js
 GET /commerce/includes/general.js

さらに最近では、バグ管理システムの「Mantis」を狙っているようです。

 GET /mantis/login_page.php
 GET /support/mantis/login_page.php
 GET /turbo/mantis/login_page.php
 GET /misc/mantis/login_page.php
 GET /tools/mantis/login_page.php
 GET /php/mantis/login_page.php
 GET /mantisbt/login_page.php
 GET /tracker/login_page.php
 GET /bugtracker/login_page.php
 GET /bugtrack/login_page.php
 GET /support/login_page.php
 GET /bug/login_page.php
 GET /bugs/login_page.php
 GET /login_page.php

login_page狙いのようですが、最近の脆弱性情報はhttp://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-002409.htmlぐらいであんまり関係なさそうですね。ほかの脆弱性があるのでしょうか?気をつけましょう。

古い物も含んでいますが、この攻撃元のIPアドレスとAS、国情報をまとめるとこのような感じ。

 43.244.22.32   10013  JP    
 58.248.253.55   17622  CN    
 60.190.133.90   4134  CN    
 60.247.103.41   4847  CN    
 61.211.239.159   9370  JP    
 66.90.110.155   30058  US    
 69.7.239.236   17378  US    
 74.53.31.50   21844  US    
 75.148.221.253   33662  US    
 79.143.113.6   21086  IT    
 83.137.195.115   34233  NL    
 83.222.198.83   6854  RU
 190.196.23.170   14259  CL
 202.104.188.147   4134  CN    
 202.129.185.83   24532  ID    
 209.85.72.42   21844  US    
 212.91.26.10   15694  PL

以前はこの種の攻撃はヨーロッパ発が多かったと思いますが、日本、インドなども含まれており、やはり中国が増えているようです。

攻略されたWebサーバーを踏み台にしてさらにスキャンというパターンが多いのは最近の典型ですね。

日本はSAKURAとFreeBitですか、、

[カテゴリ:botnet観察日記]

by jyake