I&U Home > うにまま（仮）　・　謎ログの友　・　パスワードコレクション　・　 FormMail Scanners

謎ログ

ハッカー・不正侵入にはウイルスバスター2004で対策！
全国のアルバイト情報 - 楽天仕事市場

ここには2003年の謎ログがあります。2003年以降の謎ログはlogwatch.htmlにあります。

謎ログをカテゴリに分類してみました。

[all] [apache] [exploit] [ftp] [robot] [webalizer] [SEO_SPAM] [others]

inazuma　▲

pl1051.nas926.o-tokyo.nttpc.ne.jp - - [29/Dec/2003:02:00:39 +0900] "GET /mokko/w64_06.gif HTTP/1.1" 200 1838 "http://inazuma/content?Type=Data&KIND=&PARAM=&QUERY=網戸+張替え&WATCH=&EXTRA=&URL=http://iandu.s7.xrea.com/mokko/amido.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
pl1051.nas926.o-tokyo.nttpc.ne.jp - - [29/Dec/2003:02:00:39 +0900] "GET /mokko/arrowu_1.gif HTTP/1.1" 200 944 "http://inazuma/content?Type=Data&KIND=&PARAM=&QUERY=網戸+張替え&WATCH=&EXTRA=&URL=http://iandu.s7.xrea.com/mokko/amido.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

referrer に残った URL。こんなドメインってあり？　と思って調べてみたら、
http://www.misuzilla.org/docs/inazuma
っていうのを見つけた。Ninja　かぁ・・・

/_vti_bin/_vti_aut/author.exe　▲

a212-113-164-98.netcabo.pt - - [27/Dec/2003:06:40:33 +0900] "POST /_vti_bin/_vti_aut/author.exe HTTP/1.0" 302 210 "-" "MSFrontPage/4.0"
a212-113-164-98.netcabo.pt - - [27/Dec/2003:06:40:33 +0900] "POST /_vti_bin/_vti_aut/author.exe HTTP/1.0" 302 210 "-" "MSFrontPage/4.0"
a212-113-164-98.netcabo.pt - - [27/Dec/2003:06:40:33 +0900] "POST /_vti_bin/_vti_aut/author.dll HTTP/1.0" 302 210 "-" "MSFrontPage/4.0"

http://www.google.co.jp/search?q=cache:9_BiW8r3eD8J:www.hostnexus.com/forum/showthread.php%3Fthreadid%3D1999+/_vti_bin/_vti_aut/author.exe&hl=ja&ie=UTF-8
http://www.google.co.jp/search?q=cache:m66_Mw0KdgEJ:www.lec.netnfu.ne.jp/textpj/lmsinfo/fp/security.htm+/_vti_bin/_vti_aut/author.exe&hl=ja&lr=lang_ja&ie=UTF-8

FrontPage Server Extensions に含まれるモジュールで、FrontPage でファイルを作成するときに POST メソッドで要求されるらしい。けど、うちにはインストールしてないぜ、FrontPage Server Extensions。

"Mozilla/4.0 compatible ZyBorg/1.0 Dead Link Checker (wn.zyborg@looksmart.net; http://www.WISEnutbot.com)"　▲

216.88.158.142 - - [25/Dec/2003:00:51:29 +0900] "GET /~genome/links.html HTTP/1.1" 200 6280 "-" "Mozilla/4.0 compatible ZyBorg/1.0 Dead Link Checker (wn.zyborg@looksmart.net; http://www.WISEnutbot.com)"

 $ for i in 12 11 10 09 08 07 06
 > do
 > grep "Dead Link Checker" 2003.$i.* | wc
 > done
     343    7203   78967
      39     837    8917
      53    1120   12023
      35     735    7931
       0       0       0
       0       0       0
       0       0       0
 $

今月だけやけに多いなぁ。

backlinks.seguru.net　▲

64.239.138.76 - - [25/Dec/2003:04:52:10 +0900] "GET / HTTP/1.1" 200 1427 "backlinks.seguru.net/?link-popularity" "Mozilla/5.0 (compatible; Konqueror/2.2.2; Linux 2.2.19; i686)"

goo から Wget されたら　 ▲

202.229.44.68 - - [15/Dec/2003:10:48:13 +0900] "GET /%7Emyhome/index.html HTTP/1.0" 200 2506 "-" "Wget/1.8.2"

Name:    kids06.goo.ne.jp
Address:  202.229.44.68
Aliases:  68.44.229.202.in-addr.arpa

それはキッズgoo 経由でアクセスされたってこと。

usage/bookmarks を探す理由　 ▲

193.55.10.104 - - [02/Dec/2003:01:30:43 +0900] "GET /~ppp/pppkey.html HTTP/1.0" 200 3736 "bookmarks" "Mozilla/4.5 [fr] (Macintosh; U; PPC)"host)
133.39.9.117 - - [06/Dec/2003:18:56:15 +0900] "GET /%7Eggggg/index.html HTTP/1.0" 200 2080 "bookmarks" "Mozilla/4.7 [ja] (Macintosh; U; PPC)"

Webalizer の解析ページを眺めていたら、referrers のところに bookmarks の文字が。
以前変なログがあって、何だろう？って思っていたのだが・・・

Mac用 Mozilla 由来のブラウザが referrer に bookmarks って入れてくるからだ。 http から始まらないので、そのディレクトリにある bookmarks というファイルを探しに行っちゃうわけなんだ、ロボット君たちは。

ＵＡにランダムな文字列を入れてくるブラウザ　 ▲

adsl-211-228-28.mia.bellsouth.net - - [22/Nov/2003:15:47:54 +0900] "GET /unimama/logwatch.html HTTP/1.1" 200 101684 "-" "nyuspswpddxWmuskco dityxp"
adsl-211-228-28.mia.bellsouth.net - - [22/Nov/2003:17:56:16 +0900] "GET /unimama/logwatch.html HTTP/1.1" 200 101684 "-" "leymisgaoVmjsnxb lbmocpsiqsaVi"
adsl-211-228-28.mia.bellsouth.net - - [22/Nov/2003:22:54:06 +0900] "GET /unimama/logwatch.html HTTP/1.1" 200 50536 "-" "plvipnrc9Aq9kdAxgfuuyxxr"

HEAD /xyzzy　▲

wooster.netcraft.com - - [19/Nov/2003:22:30:51 +0900] "HEAD / HTTP/1.1" 200 0 "http://www.netcraft.com/survey/" "Mozilla/4.0  (compatible; Netcraft Web Server Survey)"
wooster.netcraft.com - - [19/Nov/2003:22:30:55 +0900] "HEAD /xyzzy HTTP/1.0" 302 0 "http://www.netcraft.com/survey/" "Mozilla/4.0 (compatible; Netcraft Web Server Survey)"

えび日記参照。ま、404エラーさえ出させればいいと思ってるんだろうけど。でも、xrea は404を302に飛ばしちゃってるから、サーベイはできないかも。

逆アクセスログランキングを狙った検索エンジンスパム　 ▲

141.85.3.130 - - [17/Nov/2003:04:34:29 +0900] "GET / HTTP/1.0" 200 955 "http://www.saulem.com/" "MSIE 6.0"
141.85.3.130 - - [17/Nov/2003:11:10:10 +0900] "GET / HTTP/1.0" 200 955 "http://www.bongohome.com/" "MSIE 6.0"
141.85.3.130 - - [17/Nov/2003:17:49:41 +0900] "GET / HTTP/1.0" 200 955 "http://www.akksess.com/" "MSIE 6.0"
141.85.3.130 - - [18/Nov/2003:00:53:42 +0900] "GET / HTTP/1.0" 200 955 "http://www.kwlablog.com/" "MSIE 6.0"
217.73.164.106 - - [18/Nov/2003:10:57:55 +0900] "GET / HTTP/1.0" 200 955 "http://www.jennifersblog.com/" "MSIE 6.0"

こんどはポルノサイトではなくブログサイトへの誘導を狙ってる？
脳ざらし紀行によると、一見ブログっぽいけどアダルトサイトなんだと。

Webalizer の解析ファイルへのアクセスなら referrer のランキングから外すこともできるけど、トップページへのアクセスは外すわけにはいかないから・・・かなり厄介。

FunWebProducts　▲

195.93.32.8 - - [17/Nov/2003:00:59:35 +0900] "GET /~tttt/html/TT5.dmel0.mas.135.html HTTP/1.0" 200 2912 "XXXX:++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++" "Mozilla/4.0 (compatible; MSIE 5.5; AOL 8.0; Windows NT 5.0; FunWebProducts)"

最初は referrer が気にくわなかったので調べ始めたところ、 FunWebProducts で検索するとユーザーエージェントとして出るわ出るわ。最近流行のブラウザなの？と思ったのだが、特定のブラウザって言うわけではなく、いろいろな UA に FunWebProducts という文字列が入っている。プラグインなのか。そんなに流行ってるのならどこかのニュースサイトででも読んでるはずだが。。。

で、辿り着いたのが、
www.funwebproducts.com
と
www.pestpatrol.com/pestinfo%5Cf%5Cfunwebproducts.asp

一見、メールにかわいいスマイルマークのスタンプを付けることができるワ！とかいってソフトをインストールすると、スパイウェアを仕込まれるらしい。

でもこのページ、Free!! とか目立つボタンつけてるくせに、

Please read carefully. By clicking one of the "FunWebProducts" above, you accept and agree to abide by the End User License Agreement.

は、ひっそりと書いてあるんだもの、なんだかなぁ・・・

偶然なんだろうけれど　 ▲

Nov 17 11:43:15 myhost ftpd[25380]: FTPD: connection from defense-4-81-57-92-161.fbx.proxa at Mon Nov 17 11:43:15 2003
Nov 17 11:43:15 myhost ftpd[25380]: <--- 220 
Nov 17 11:43:15 myhost ftpd[25380]: myhost FTP server () ready.
Nov 17 11:43:16 myhost ftpd[25380]: FTPD: command: USER anonymous^M
Nov 17 11:43:16 myhost ftpd[25380]: <--- 331 
Nov 17 11:43:16 myhost ftpd[25380]: Guest login ok, send ident as password.
Nov 17 11:43:16 myhost ftpd[25380]: FTPD: command: PASS Igpuser@home.com^M
Nov 17 11:43:16 myhost ftpd[25380]: <--- 230 
Nov 17 11:43:16 myhost ftpd[25380]: Guest login ok, access restrictions apply.
Nov 17 11:43:17 myhost ftpd[25380]: FTPD: command: CWD /pub/^M
Nov 17 11:43:17 myhost ftpd[25380]: <--- 250 
Nov 17 11:43:17 myhost ftpd[25380]: CWD command successful.
Nov 17 11:43:18 myhost ftpd[25380]: FTPD: command: MKD 031117034322p^M
Nov 17 11:43:18 myhost ftpd[25380]: <--- 550 
Nov 17 11:43:18 myhost ftpd[25380]: 031117034322p: Permission denied.
	:
	:
Nov 17 11:43:28 myhost ftpd[25380]: FTPD: command: CWD /home/^M
Nov 17 11:43:28 myhost ftpd[25380]: <--- 550 
Nov 17 11:43:28 myhost ftpd[25380]: /home/: No such file or directory.
Nov 17 11:43:29 myhost ftpd[25380]: <--- 221 
Nov 17 11:43:29 myhost ftpd[25380]: You could at least say goodbye.
Nov 17 12:08:29 myhost ftpd[25516]: FTPD: connection from pD9ED3888.dip.t-dialin.net at Mon Nov 17 12:08:29 2003
Nov 17 12:08:29 myhost ftpd[25516]: <--- 220 
Nov 17 12:08:29 myhost ftpd[25516]: myhost FTP server () ready.
Nov 17 12:08:30 myhost ftpd[25516]: FTPD: command: USER anonymous^M
Nov 17 12:08:30 myhost ftpd[25516]: <--- 331 
Nov 17 12:08:30 myhost ftpd[25516]: Guest login ok, send ident as password.
Nov 17 12:08:31 myhost ftpd[25516]: FTPD: command: PASS Igpuser@home.com^M
Nov 17 12:08:31 myhost ftpd[25516]: <--- 230 
Nov 17 12:08:31 myhost ftpd[25516]: Guest login ok, access restrictions apply.
Nov 17 12:08:31 myhost ftpd[25516]: FTPD: command: CWD /pub/^M
Nov 17 12:08:31 myhost ftpd[25516]: <--- 250 
Nov 17 12:08:31 myhost ftpd[25516]: CWD command successful.
Nov 17 12:08:32 myhost ftpd[25516]: FTPD: command: MKD 031117041022p^M
Nov 17 12:08:32 myhost ftpd[25516]: <--- 550 
Nov 17 12:08:32 myhost ftpd[25516]: 031117041022p: Permission denied.
	:
	:

連続して残った Grim's Ping のパスワードが同じ！偶然見たデジタル時計の文字がゾロ目だったときみたいに、なんだかちょっとうれしい！＞おぃおぃ

自分の物でもないのに　 ▲

219.117.176.252 - - [16/Nov/2003:00:21:50 +0900] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery" 
219.117.176.252 - - [16/Nov/2003:00:21:50 +0900] "OPTIONS /%7Eppp HTTP/1.1" 301 322 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery" 
219.117.176.252 - - [16/Nov/2003:00:21:50 +0900] "OPTIONS /%7Eppp/ HTTP/1.1" 200 - "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery" 
219.117.176.252 - - [16/Nov/2003:00:21:51 +0900] "GET /_vti_inf.html HTTP/1.1" 404 294 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)" 
219.117.176.252 - - [16/Nov/2003:00:21:51 +0900] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 308 "-" "MSFrontPage/5.0" 
219.117.176.252 - - [16/Nov/2003:00:21:52 +0900] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery" 
219.117.176.252 - - [16/Nov/2003:00:21:52 +0900] "OPTIONS /%7Eppp HTTP/1.1" 301 322 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery" 
219.117.176.252 - - [16/Nov/2003:00:21:52 +0900] "OPTIONS /%7Eppp/ HTTP/1.1" 200 - "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery" 
219.117.176.252 - - [16/Nov/2003:00:21:53 +0900] "GET /_vti_inf.html HTTP/1.1" 404 294 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)" 
219.117.176.252 - - [16/Nov/2003:00:21:53 +0900] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 308 "-" "MSFrontPage/5.0" 
219.117.176.252 - - [16/Nov/2003:00:21:53 +0900] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery" 
219.117.176.252 - - [16/Nov/2003:00:21:53 +0900] "OPTIONS /%7Eppp/whatppp-j.html HTTP/1.1" 200 - "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery" 
219.117.176.252 - - [16/Nov/2003:00:21:53 +0900] "GET /_vti_inf.html HTTP/1.1" 404 294 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)" 
219.117.176.252 - - [16/Nov/2003:00:21:54 +0900] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 308 "-" "MSFrontPage/5.0" 
219.117.176.252 - - [16/Nov/2003:00:21:54 +0900] "GET /~ppp/whatppp-j.html HTTP/1.1" 304 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)" 
219.117.176.252 - - [16/Nov/2003:00:21:55 +0900] "GET /~ppp/IMG/logoM.gif HTTP/1.1" 304 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)" 
219.117.176.252 - - [16/Nov/2003:00:22:19 +0900] "PROPFIND /%7Eppp HTTP/1.1" 301 322 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600" 
219.117.176.252 - - [16/Nov/2003:00:22:19 +0900] "PROPFIND /~ppp/ HTTP/1.1" 405 324 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600" 
219.117.176.252 - - [16/Nov/2003:00:22:19 +0900] "PROPFIND /%7Eppp HTTP/1.1" 301 322 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600" 
219.117.176.252 - - [16/Nov/2003:00:22:20 +0900] "PROPFIND /~ppp/ HTTP/1.1" 405 324 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600" 
219.117.176.252 - - [16/Nov/2003:00:22:20 +0900] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600" 
219.117.176.252 - - [16/Nov/2003:00:22:20 +0900] "PROPFIND /%7Eppp HTTP/1.1" 301 322 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600" 
219.117.176.252 - - [16/Nov/2003:00:22:20 +0900] "PROPFIND /~ppp/ HTTP/1.1" 405 324 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"

検索して当ったページを見るのはいいけどさ、自分に関わるページでもないのになんでいきなり Webフォルダとして開こうとするのかな？

検索エンジンはなぜ usage/bookmarks を探すのか？　▲

216.39.48.112 - - [25/Oct/2003:12:10:43 +0900] "GET /~ppp/usage/bookmarks HTTP/1.1" 404 301 "-" "Scooter/3.2"
64.68.82.170 - - [25/Oct/2003:19:19:10 +0900] "GET /~ppp/usage/bookmarks HTTP/1.0" 404 289 "-" "Googlebot/2.1 (+http://www.googlebot.com/bot.html)"
64.68.82.18 - - [25/Oct/2003:19:22:16 +0900] "GET /~ppp/usage/bookmarks HTTP/1.0" 404 289 "-" "Googlebot/2.1 (+http://www.googlebot.com/bot.html)" 
64.68.82.136 - - [25/Oct/2003:22:07:12 +0900] "GET /~ppp/usage/bookmarks HTTP/1.0" 404 289 "-" "Googlebot/2.1 (+http://www.googlebot.com/bot.html)"

10月は34回、9月は11回・・・

ロボットが探しているのは、webalizer の解析情報のあるディレクトリの bookmarks。こんなに探されると、置いてあげなきゃいけないのかしらん？と思ってしまう（うそ）。

google で usage/bookmaarks を検索すると、置いてないはずのファイルへのリンクがヒットしてるし・・・なにやってんだか・・・

2003.12.11 追記　判明　そうだったのか！

msnbot/0.11 (+http://search.msn.com/msnbot.htm)　▲

204.95.98.252 - - [04/Nov/2003:04:04:04 +0900] "GET /%7Eggggg/mailto/:gggg-admin/@mydomain.xxx.xxx.xxx.xxx HTTP/1.0" 404 321 "-" "msnbot/0.11 (+http://search.msn.com/msnbot.htm)"

Sprint SPRINTLINK-BLKB (NET-204-94-0-0-1)
204.94.0.0 - 204.97.255.255
Microsoft Corp SPRINT-CC5F6F (NET-204-95-96-0-1)
204.95.96.0 - 204.95.111.255

# ARIN WHOIS database, last updated 2003-11-04 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.

IPアドレスは本物っぽいが、robots.txt を見には行っても無視しているようだし、だいたい mailto: をさらおうとするだけで（実際さらうことができたかどうかは別として）悪と判断されても文句は言えないだろう。
ちなみにこのボット、初観測は10月だった。。。

なぜうちに？　▲

211.152.11.8 - - [02/Nov/2003:00:45:37 +0900] "GET /images2001/regobauble-b.gif HTTP/1.1" 404 308 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" 
211.152.11.8 - - [02/Nov/2003:01:43:45 +0900] "GET /images2001/clear.gif HTTP/1.1" 404 301 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" 
211.152.11.8 - - [02/Nov/2003:02:55:35 +0900] "GET /images2001/menu-filler3.jpg HTTP/1.1" 404 308 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" 
	:
	:

たまに頭の悪いボットが、/~aaaaa とすべきところを /aaaaa でアクセスしてきたりするんだけど、間違えてるふうでもないし・・・なんでうちにこんなの要求するかな？

ten.com　▲

追跡してはいけない referrer

そうじゃなくて・・・　▲

128.255.116.124 - - [09/Oct/2003:01:30:44 +0900] "GET /~ppp/cgi-bin/PPP/PPPseqen.pl.cgi?A900534 > PPP_SEQUENCES/A900534.txt" 400 377 "-" "-" 
128.255.116.124 - - [09/Oct/2003:01:30:44 +0900] "GET /~ppp/cgi-bin/PPP/PPPseqen.pl.cgi?A900756 > PPP_SEQUENCES/A900756.txt" 400 377 "-" "-"

そんなことしても CGI の結果をファイルに取ることはできないんですけど。

お初にお目にかかったので：mkd _K4e　▲

Oct  8 23:57:25 myhost ftpd[12560]: FTPD: connection from pD9E40E3F.dip.t-dialin.net at Wed Oct  8 23:57:25 2003
Oct  8 23:57:25 myhost ftpd[12560]: <--- 220 
Oct  8 23:57:25 myhost ftpd[12560]: myhost FTP server () ready.
Oct  8 23:57:25 myhost ftpd[12560]: FTPD: command: user anonymous^M
Oct  8 23:57:25 myhost ftpd[12560]: <--- 331 
Oct  8 23:57:25 myhost ftpd[12560]: Guest login ok, send ident as password.
Oct  8 23:57:25 myhost ftpd[12560]: FTPD: command: pass anon@ymo.us^M
Oct  8 23:57:25 myhost ftpd[12560]: <--- 230 
Oct  8 23:57:25 myhost ftpd[12560]: Guest login ok, access restrictions apply.
Oct  8 23:57:26 myhost ftpd[12560]: FTPD: command: mkd _K4e^M
Oct  8 23:57:26 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:26 myhost ftpd[12560]: _K4e: Permission denied.
Oct  8 23:57:26 myhost ftpd[12560]: FTPD: command: pwd^M
Oct  8 23:57:26 myhost ftpd[12560]: <--- 257 
Oct  8 23:57:26 myhost ftpd[12560]: "/" is current directory.
Oct  8 23:57:26 myhost ftpd[12560]: FTPD: command: cwd pub^M
Oct  8 23:57:26 myhost ftpd[12560]: <--- 250 
Oct  8 23:57:26 myhost ftpd[12560]: CWD command successful.
Oct  8 23:57:27 myhost ftpd[12560]: FTPD: command: mkd _K4e^M
Oct  8 23:57:27 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:27 myhost ftpd[12560]: _K4e: Permission denied.
Oct  8 23:57:27 myhost ftpd[12560]: FTPD: command: pwd^M
Oct  8 23:57:27 myhost ftpd[12560]: <--- 257 
Oct  8 23:57:27 myhost ftpd[12560]: "/pub" is current directory.
Oct  8 23:57:28 myhost ftpd[12560]: FTPD: command: cwd public/incoming^M
Oct  8 23:57:28 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:28 myhost ftpd[12560]: public/incoming: No such file or directory.
Oct  8 23:57:28 myhost ftpd[12560]: FTPD: command: mkd _K4e^M
Oct  8 23:57:28 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:28 myhost ftpd[12560]: _K4e: Permission denied.
Oct  8 23:57:28 myhost ftpd[12560]: FTPD: command: pwd^M
Oct  8 23:57:28 myhost ftpd[12560]: <--- 257 
Oct  8 23:57:28 myhost ftpd[12560]: "/pub" is current directory.
Oct  8 23:57:29 myhost ftpd[12560]: FTPD: command: cwd pub/incoming^M
Oct  8 23:57:29 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:29 myhost ftpd[12560]: pub/incoming: No such file or directory.
Oct  8 23:57:29 myhost ftpd[12560]: FTPD: command: mkd _K4e^M
Oct  8 23:57:29 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:29 myhost ftpd[12560]: _K4e: Permission denied.
Oct  8 23:57:29 myhost ftpd[12560]: FTPD: command: pwd^M
Oct  8 23:57:29 myhost ftpd[12560]: <--- 257 
Oct  8 23:57:29 myhost ftpd[12560]: "/pub" is current directory.
Oct  8 23:57:30 myhost ftpd[12560]: FTPD: command: cwd incoming^M
Oct  8 23:57:30 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:30 myhost ftpd[12560]: incoming: No such file or directory.
Oct  8 23:57:30 myhost ftpd[12560]: FTPD: command: mkd _K4e^M
Oct  8 23:57:30 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:30 myhost ftpd[12560]: _K4e: Permission denied.
Oct  8 23:57:30 myhost ftpd[12560]: FTPD: command: pwd^M
Oct  8 23:57:30 myhost ftpd[12560]: <--- 257 
Oct  8 23:57:30 myhost ftpd[12560]: "/pub" is current directory.
Oct  8 23:57:31 myhost ftpd[12560]: FTPD: command: cwd upload^M
Oct  8 23:57:31 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:31 myhost ftpd[12560]: upload: No such file or directory.
Oct  8 23:57:31 myhost ftpd[12560]: FTPD: command: mkd _K4e^M
Oct  8 23:57:31 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:31 myhost ftpd[12560]: _K4e: Permission denied.
Oct  8 23:57:32 myhost ftpd[12560]: FTPD: command: pwd^M
Oct  8 23:57:32 myhost ftpd[12560]: <--- 257 
Oct  8 23:57:32 myhost ftpd[12560]: "/pub" is current directory.
Oct  8 23:57:32 myhost ftpd[12560]: FTPD: command: cwd _vti_pvt^M
Oct  8 23:57:32 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:32 myhost ftpd[12560]: _vti_pvt: No such file or directory.
Oct  8 23:57:32 myhost ftpd[12560]: FTPD: command: mkd _K4e^M
Oct  8 23:57:32 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:32 myhost ftpd[12560]: _K4e: Permission denied.
Oct  8 23:57:33 myhost ftpd[12560]: FTPD: command: pwd^M
Oct  8 23:57:33 myhost ftpd[12560]: <--- 257 
Oct  8 23:57:33 myhost ftpd[12560]: "/pub" is current directory.
Oct  8 23:57:33 myhost ftpd[12560]: FTPD: command: cwd _vti_txt^M
Oct  8 23:57:33 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:33 myhost ftpd[12560]: _vti_txt: No such file or directory.
Oct  8 23:57:33 myhost ftpd[12560]: FTPD: command: mkd _K4e^M
Oct  8 23:57:33 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:33 myhost ftpd[12560]: _K4e: Permission denied.
Oct  8 23:57:34 myhost ftpd[12560]: FTPD: command: pwd^M
Oct  8 23:57:34 myhost ftpd[12560]: <--- 257 
Oct  8 23:57:34 myhost ftpd[12560]: "/pub" is current directory.
	:
	:
Oct  8 23:57:54 myhost ftpd[12560]: FTPD: command: cwd usr^M
Oct  8 23:57:54 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:54 myhost ftpd[12560]: usr: No such file or directory.
Oct  8 23:57:54 myhost ftpd[12560]: FTPD: command: mkd _K4e^M
Oct  8 23:57:54 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:54 myhost ftpd[12560]: _K4e: Permission denied.
Oct  8 23:57:55 myhost ftpd[12560]: FTPD: command: pwd^M
Oct  8 23:57:55 myhost ftpd[12560]: <--- 257 
Oct  8 23:57:55 myhost ftpd[12560]: "/pub" is current directory.
Oct  8 23:57:55 myhost ftpd[12560]: FTPD: command: cwd usr/incoming^M
Oct  8 23:57:55 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:55 myhost ftpd[12560]: usr/incoming: No such file or directory.
Oct  8 23:57:55 myhost ftpd[12560]: FTPD: command: mkd _K4e^M
Oct  8 23:57:55 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:55 myhost ftpd[12560]: _K4e: Permission denied.
Oct  8 23:57:56 myhost ftpd[12560]: FTPD: command: pwd^M
Oct  8 23:57:56 myhost ftpd[12560]: <--- 257 
Oct  8 23:57:56 myhost ftpd[12560]: "/pub" is current directory.
Oct  8 23:57:56 myhost ftpd[12560]: FTPD: command: cwd home^M
Oct  8 23:57:56 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:56 myhost ftpd[12560]: home: No such file or directory.
Oct  8 23:57:56 myhost ftpd[12560]: FTPD: command: mkd _K4e^M
Oct  8 23:57:56 myhost ftpd[12560]: <--- 550 
Oct  8 23:57:56 myhost ftpd[12560]: _K4e: Permission denied.
Oct  8 23:57:57 myhost ftpd[12560]: lost connection

いつも思うのだけれど、このディレクトリ名って、この後の行動や置こうとするデータに関連するのかな？　ちょっと気になる。
一回くらい、穴を掘らせてあげようかな・・・なんて誘惑に駆られるんだけど・・・

だ～か～ら～弾いたって言ってるの　 ▲

203.162.167.98 - - [02/Oct/2003:14:18:16 +0900] "GET /unimama/httpscan.txt HTTP/1.0" 200 30853 "http://www.google.com.vn/search?q=PDG_Cart/order.log&hl=vi&lr=&ie=UTF-8&start=70&sa=N" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
203.162.167.98 - - [02/Oct/2003:14:19:34 +0900] "GET /cgi-bin/adpassword.txt HTTP/1.0" 302 210 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
203.162.167.98 - - [02/Oct/2003:14:20:04 +0900] "GET /cgi-bin/Admin_files/order.log HTTP/1.0" 302 210 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"

このページに辿りつく人って、たとえばここにあるリストにヒットしてくるんだろうけれど、大抵ははじいたリストなんですよ。なのに、そのリストにあるファイルを探してくれてもやっぱりはじくわけで・・・

/jf74kd　▲

217.187.217.152 - - [30/Sep/2003:13:35:20 +0900] "GET /jf74kd HTTP/1.0" 404 278 "-" "-"

Name:    dsdf-d9bbd998.pool.mediaWays.net
Address:  217.187.217.152

他所でもこのファイルを探しているらしいけど、ほんと分からんワ

internal-gopher-xxxxx　▲

Sep 30 06:11:39 myhost ftpd[9226]: FTPD: connection from gate2.sssss.org at Tue Sep 30 06:11:39 2003
Sep 30 06:11:39 myhost ftpd[9226]: <--- 220 
Sep 30 06:11:39 myhost ftpd[9226]: myhost FTP server () ready.
Sep 30 06:11:39 myhost ftpd[9226]: FTPD: command: USER anonymous^M
Sep 30 06:11:39 myhost ftpd[9226]: <--- 331 
Sep 30 06:11:39 myhost ftpd[9226]: Guest login ok, send ident as password.
Sep 30 06:11:39 myhost ftpd[9226]: FTPD: command: PASS anonymous@^M
Sep 30 06:11:39 myhost ftpd[9226]: <--- 230 
Sep 30 06:11:39 myhost ftpd[9226]: Guest login ok, access restrictions apply.
Sep 30 06:11:39 myhost ftpd[9226]: FTPD: command: TYPE I^M
Sep 30 06:11:39 myhost ftpd[9226]: <--- 200 
Sep 30 06:11:39 myhost ftpd[9226]: Type set to I.
Sep 30 06:11:40 myhost ftpd[9226]: FTPD: command: MDTM pub/ppp/internal-gopher-unknown^M
Sep 30 06:11:40 myhost ftpd[9226]: <--- 500 
Sep 30 06:11:40 myhost ftpd[9226]: 'MDTM pub/ppp/internal-gopher-unknown': command not understood.
Sep 30 06:11:40 myhost ftpd[9226]: FTPD: command: SIZE pub/ppp/internal-gopher-unknown^M
Sep 30 06:11:40 myhost ftpd[9226]: <--- 500 
Sep 30 06:11:40 myhost ftpd[9226]: 'SIZE pub/ppp/internal-gopher-unknown': command not understood.
Sep 30 06:11:40 myhost ftpd[9226]: FTPD: command: PORT xxx,xxx,xxx,12,15,116^M
Sep 30 06:11:40 myhost ftpd[9226]: <--- 200 
Sep 30 06:11:40 myhost ftpd[9226]: PORT command successful.
Sep 30 06:11:40 myhost ftpd[9226]: FTPD: command: RETR pub/ppp/internal-gopher-unknown^M
Sep 30 06:11:40 myhost ftpd[9226]: <--- 550 
Sep 30 06:11:40 myhost ftpd[9226]: pub/ppp/internal-gopher-unknown: No such file or directory.
Sep 30 06:11:41 myhost ftpd[9226]: FTPD: command: CWD pub/ppp/internal-gopher-unknown^M
Sep 30 06:11:41 myhost ftpd[9226]: <--- 550 
Sep 30 06:11:41 myhost ftpd[9226]: pub/ppp/internal-gopher-unknown: No such file or directory.
Sep 30 06:11:41 myhost ftpd[9226]: <--- 221 
Sep 30 06:11:41 myhost ftpd[9226]: You could at least say goodbye.

FTP サイトで internal-gopher-xxxxx というファイルを探す動き。~~怪しい。~~
そもそも internal-gopher-xxxxx って何よ？と検索してみると、netscape がブラウザ内部に持つアイコンで、netscape で FTP サイトのディレクトリをブラウズするとファイルの横に表示される。当然、IE にはそんな内部アイコンなんてないので、IE を使っていればそんなものは探しに行くわけはない。ではどうしてそんなものを探しているのか？
この時刻の apache のログを見ると、当該ディレクトリを見に行ったであろう UA は netscape 7.1。

"Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.4) Gecko/20030624 Netscape/7.1 (ax)"

7.1 だと内部イメージを持っていないのかしら？と 7.1 をインストールして当該ディレクトリを見に行くが、internal-gopher-xxxxx なんて探さない。
4.6 がインストールされているのでその影響か？と 4.6 をアンインストールしても探さない。うーむ、どうするとこんなログが残るのだろうか？

同じように internal-gopher-xxxxx を探しているログがないかと探してみると、他にもあった。
そのログと関連があると思われる UA は、

"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; T312461; MSIECrawler)"

もう１件のログは、FTP サイトがブラウザにブックマークされていたらしく、UA は不明だった。

組み合わせの妙　 ▲

210.51.181.114 - - [06/Sep/2003:16:12:55 +0900] "\x04\x01" 501 - "-" "-" 
210.51.181.114 - - [06/Sep/2003:16:13:15 +0900] "\x05\x01" 501 - "-" "-" 
210.51.181.114 - - [06/Sep/2003:16:13:16 +0900] "CONNECT 65.54.166.99:25 HTTP/1.1" 405 321 "-" "-" 
210.51.181.114 - - [06/Sep/2003:18:54:18 +0900] "\x04\x01" 501 - "-" "-" 
210.51.181.114 - - [06/Sep/2003:18:54:38 +0900] "\x05\x01" 501 - "-" "-" 
210.51.181.114 - - [06/Sep/2003:18:54:39 +0900] "CONNECT 65.54.252.99:25 HTTP/1.1" 405 321 "-" "-"

65.54.252.99 は hotmail のサーバなのかな？

Name:    mc5.law1.hotmail.com
Address:  65.54.252.99

上の二つは
http://www.st.rim.or.jp/~nakata/todo.html
AN HTTP のバグだとか、

http://www.derkeiler.com/Newsgroups/comp.os.linux.security/2003-02/0738.html
IIS を狙ったウィルスだとか、

言われているけれど、なぜそれと踏み台攻撃がグループになっているのかが謎。

スキャンスクリプト　 ▲

212.179.35.101 - - [02/Sep/2003:09:47:05 +0900] "GET / HTTP/1.0" 200 3923 "-" "-" 
212.179.35.101 - - [02/Sep/2003:09:47:05 +0900] "GET / HTTP/1.0" 200 3923 "-" "-" 
212.179.35.101 - - [02/Sep/2003:09:47:05 +0900] "GET /cgi-bin/ HTTP/1.0" 403 284 "-" "-" 
212.179.35.101 - - [02/Sep/2003:09:47:05 +0900] "GET /cgi-bin/ HTTP/1.0" 403 284 "-" "-"

Name:    bzq-179-35-101.dcenter.bezeqint.net
Address:  212.179.35.101

久しぶりに粘着君襲来。440回も・・・粘着ですな。が、スクリプトを使っている割にはあっさりというか・・・
同じアクセスが２回連続で続くというのが目新しい。それにしても、後半はなぜ ascii コード？

IE の文字コード判定を惑わせるページ　 ▲

219.140.57.34 - - [30/Aug/2003:11:36:49 +0900] "GET /+AH4-ggg/cgi-bin/IMG/lblue.gif HTTP/1.1" 404 317 "http://mydomain.xxx.xxx.xxx/~ggg/cgi-bin/mas.pl.cgi?org=anab0&gene=icd" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
219.140.57.34 - - [30/Aug/2003:11:36:49 +0900] "GET /+AH4-ggg/cgi-bin/IMG/blue.gif HTTP/1.1" 404 316 "http://mydomain.xxx.xxx.xxx/~ggg/cgi-bin/mas.pl.cgi?org=anab0&gene=icd" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" 
219.140.57.34 - - [30/Aug/2003:11:36:50 +0900] "GET /+AH4-ggg/cgi-bin/IMG/orange.gif HTTP/1.1" 404 318 "http://mydomain.xxx.xxx.xxx/~ggg/cgi-bin/mas.pl.cgi?org=anab0&gene=icd" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

+AH4- は UTF-7 でエンコードされた "~"。

cgi によって画像のようなページを生成しているのだが、なぜかこの cgi を直接実行すると IE は UTF-7 でエンコードされたページだと思い込んでしまい、「+AH4-ggg なんてディレクトリはありません」と言ってくれる。
しかしこの現象、IE なら必ず発生するというわけでもなく、OS と IE のバージョンの組合わせに依存するようなのだが、今のところこれという決定打もない。
ログをチェックしたところ、このスクリプトの作成者自身もこの現象に遭遇しているようなので、これが困るということならば charset するなり何らかの対処をするだろう。

因みにこの罠にかかった UA は以下

Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)
Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; T312461)
Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)
Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; T312461)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

sitecheck.internetseer.com　▲

66.150.40.66 - - [21/Aug/2003:02:11:37 +0900] "HEAD / HTTP/1.1" 200 0 "-" "sitecheck.internetseer.com (For more info see: http://sitecheck.internetseer.com)"
66.150.40.76 - - [19/Aug/2003:16:30:53 +0900] "GET /robots.txt HTTP/1.1" 200 187 "-" "sitecheck.internetseer.com (For more info see: http://sitecheck.internetseer.com)"

「お宅のサイト、落ちてますよン」っていうメールを送ってくる、あのサイトです。
昔はロボットみたいに各ページに要求を出しまくってたんだけど、今年に入ってからは HEAD 要求だけを出すようになったみたいで。あ、robots.txt も見てるんだ。

以前はこんな感じだった。うざったいんではぢかれたのかも

66.150.40.70 - - [17/Sep/2002:07:11:23 +0900] "GET /robots.txt HTTP/1.1" 200 187 "-" "sitecheck.internetseer.com (For more info see: http://sitecheck.internetseer.com)"
66.150.40.70 - - [17/Sep/2002:07:12:28 +0900] "GET / HTTP/1.1" 200 1332 "-" "sitecheck.internetseer.com (For more info see: http://sitecheck.internetseer.com)"
66.150.40.70 - - [17/Sep/2002:07:14:04 +0900] "GET /~ppp/pppkey.html HTTP/1.1" 200 3736 "-" "sitecheck.internetseer.com (For more info see: http://sitecheck.internetseer.com)"

"GET /NULL.printer"　▲

24.123.170.99 - - [08/Aug/2003:07:27:47 +0900] "GET /NULL.printer" 404 - "-" "-"

Web of Liesの過去ログによると、

Windows2000のIIS5.0（SP1も含む）でbuffer overflow。「GET /NULL.printer HTTP/1.0 (CRLF) Host: (約420文字)」でEIPレジスタを書き換え、任意のコードをシステムレベルで走らせることができる。んだそうで、随分昔の穴を突いてくるんだなぁ、と思ったら、 WINNTAutoAttack という攻撃ツールがリリースされているようです。（by 山下さんの部屋 http://yamasita.zive.net/ 移動されたみたいです）

Webalizer を利用した検索エンジンスパム？（２）　▲

212.123.66.62 - - [04/Aug/2003:12:56:10 +0900] "GET /~ppp/usage/usage_200307.html HTTP/1.1" 200 0 "http://www.top-penis-enlargement.com/" "Mozilla/2.0 (compatible; MSIE 3.0; AOL 4.0; Windows 3.1)"
211.114.118.254 - - [04/Aug/2003:12:57:50 +0900] "GET /~ppp/usage/usage_200307.html HTTP/1.0" 200 0 "http://www.top-penis-enlargement.com/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
200.175.48.244 - - [04/Aug/2003:13:03:16 +0900] "GET /~ppp/usage/usage_200307.html HTTP/1.0" 200 0 "http://www.top-penis-enlargement.com/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"

Webalizer を利用した検索エンジンスパム？のログを見つけたときに、referrer にポルノサイトのURLを入れて、そのサイトに誘導するという手口をどこかのニュースサイトで読んだと思ったのだけど、やっぱり来た。手が込んでいると思うのは、IPアドレスとUAがいちいち違うこと。
しかし、IgnoreReferrer で抑えるにしても、コレじゃイタチゴッコの予感。

Webalizer を利用した検索エンジンスパム？　▲

Webalizerで先月のログを眺めてみると、通常月より１万ヒットくらい多かった。はて？
Webalizer で作成した統計ページへのアクセスがやたら多いのだ。referrer のログもいつもと違う。普段は検索サイトもしくは大学等からのリンクが多いのに、何やら怪しげなサイト名が・・・良く見ると、きっかり 250ヒットの referrer が 23 サイトも！！
調べてみるとこんな感じ。

207.44.226.11 - - [26/Jul/2003:11:53:39 +0900] "HEAD /%7Eppp/usage/usage_200307.html HTTP/1.0" 200 0 "http://www.angelinspiration.com" "Wget/1.8.2"
207.44.226.11 - - [26/Jul/2003:11:53:39 +0900] "HEAD /%7Eppp/usage/usage_200307.html HTTP/1.0" 200 0 "http://www.angelinspiration.com" "Wget/1.8.2"
207.44.226.11 - - [26/Jul/2003:11:53:39 +0900] "HEAD /%7Eppp/usage/usage_200307.html HTTP/1.0" 200 0 "http://www.angelinspiration.com" "Wget/1.8.2"

207.44.226.11 - - [26/Jul/2003:09:44:44 +0900] "HEAD /%7Eppp/usage/usage_200307.html HTTP/1.0" 200 0 "http://www.belizerealestatebroker.com" "Wget/1.8.2"
207.44.226.11 - - [26/Jul/2003:09:44:44 +0900] "HEAD /%7Eppp/usage/usage_200307.html HTTP/1.0" 200 0 "http://www.belizerealestatebroker.com" "Wget/1.8.2"
207.44.226.11 - - [26/Jul/2003:09:44:44 +0900] "HEAD /%7Eppp/usage/usage_200307.html HTTP/1.0" 200 0 "http://www.belizerealestatebroker.com" "Wget/1.8.2"

全部 7月26日のアクセスだった。

www.belizerealestatebroker.com で検索をかけると、出てくるのは Webalizer の統計ページばかり。
これって、Webalizer の統計ページからリンクが張られることを利用して Google のページランクを上げるためのスクリプトが公開されてるってことかしら？

ということで、IgnoreURL に webalizer の統計ページを入れたけれど効果なし。
あ、IgnoreReferrer で指定しなきゃダメなんだ。ちょっと面倒。

ヘンなロボット　 ▲

210.155.159.198 - - [05/Aug/2003:13:46:54 +0900] "GET /~ggggg/ftp.embl-ebi.ac.uk/pub/databases/ HTTP/1.0" 404 313 "-" "Infoseek SideWinder/2.0B (Linux 2.4 i686)"

トネリング狙い　 ▲

12.218.107.176 - - [04/Aug/2003:18:28:57 +0900] "CONNECT smtp.rol.ru:25 HTTP/1.0" 405 309 "-" "-" 
12.218.107.176 - - [04/Aug/2003:18:28:59 +0900] "CONNECT smtp.rol.ru:25 HTTP/1.0" 405 309 "-" "-" 
12.218.107.176 - - [04/Aug/2003:18:29:00 +0900] "CONNECT smtp.rol.ru:25 HTTP/1.0" 405 309 "-" "-"

http://www.kb.cert.org/vuls/id/150227

ヘンなロボット？　▲

61.214.65.109 - - [31/Jul/2003:20:54:12 +0900] "GET /sssss~/ HTTP/1.1" 404 294 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
61.214.65.109 - - [31/Jul/2003:20:55:41 +0900] "GET /sssss~pub/ HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
61.214.65.109 - - [31/Jul/2003:20:56:09 +0900] "GET /pub.sssss~/ HTTP/1.1" 404 298 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
61.214.65.109 - - [31/Jul/2003:20:56:19 +0900] "GET /publish.sssss~/ HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
61.214.65.109 - - [31/Jul/2003:20:58:03 +0900] "GET /sssss~ HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
61.214.65.109 - - [31/Jul/2003:20:58:12 +0900] "GET /sssss~/ HTTP/1.1" 404 294 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
61.214.65.109 - - [31/Jul/2003:20:58:26 +0900] "GET /pub.sssss~/ HTTP/1.1" 404 298 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

うごき的にはロボットなんだけど、何がしたいか分からん。ちなみに sssss はユーザ名。

"GET /scripts/nsiislog.dll" - MS03-019の脆弱性を狙った攻撃　 ▲

211.181.212.10 - - [16/Jul/2003:08:56:32 +0900] "GET /scripts/nsiislog.dll" 404 - "-" "-"
80.139.104.127 - - [21/Jul/2003:10:47:04 +0900] "GET /scripts/nsiislog.dll" 404 - "-" "-"
158.130.69.145 - - [21/Jul/2003:19:43:02 +0900] "GET /scripts/nsiislog.dll" 404 - "-" "-"
208.253.238.235 - - [25/Jul/2003:08:59:56 +0900] "GET /scripts/nsiislog.dll" 404 - "-" "-"
133.5.222.19 - - [28/Jul/2003:07:58:45 +0900] "GET /scripts/nsiislog.dll" 404 - "-" "-" 
217.215.48.37 - - [28/Jul/2003:20:46:38 +0900] "GET /scripts/nsiislog.dll" 404 - "-" "-"

アタックコードの公開が2003年7月14日。とりあえず、有るか無いかだけを調べるスクリプトが出回っている模様。対象システムの方はパッチ適用がよろしいかと・・・

UA偽装ロボット　 ▲

66.237.60.61 - - [25/Jul/2003:16:02:00 +0900] "GET /robots.txt HTTP/1.0" 200 187 "-" "Gaisbot/3.0+(robot@gais.cs.ccu.edu.tw;+http://gais.cs.ccu.edu.tw/robot.php)" 66.237.60.61 - - [25/Jul/2003:20:16:29 +0900] "GET /"> HTTP/1.0" 404 290 "-" "Gaisbot/3.0+(robot@gais.cs.ccu.edu.tw;+http://gais.cs.ccu.edu.tw/robot.php)"

ってロボットが何かと間違って出すんだろうな、と思いつつ、アドレスを調べると・・・UA偽装ですか？

# nslookup 66.237.60.61
Server: 
Address:

Name:    66.237.60.61.ptr.us.xo.net
Address:  66.237.60.61

# nslookup gais.cs.ccu.edu.tw
Server: 
Address:

Name:    gais.cs.ccu.edu.tw
Address:  140.123.101.23

Nikto/1.30によるスキャン　 ▲

212.92.77.254 - - [24/Jul/2003:01:31:16 +0900] "GET / HTTP/1.1" 200 3923 "-" "libwhisker/1.6"
212.92.77.254 - - [24/Jul/2003:01:31:17 +0900] "GET /Nikto-1.30-nexWS82JrkAwEdao7u.htm HTTP/1.1" 404 317 "-" "Mozilla/4.75 (Nikto/1.30 )"
212.92.77.254 - - [24/Jul/2003:01:31:17 +0900] "GET / HTTP/1.1" 200 3923 "-" "Mozilla/4.75 (Nikto/1.30 )"
212.92.77.254 - - [24/Jul/2003:01:31:18 +0900] "GET /cgi.cgi/ HTTP/1.1" 403 296 "-" "Mozilla/4.75 (Nikto/1.30 )"

久しぶりにかなりの粘着君を発見したので晒してみる。2000個以上の弱点をチェックできるのかぁ・・・不要なサンプルスクリプトは削除するということで。

アクセス時間：24/Jul/2003:01:31:16 ～ 24/Jul/2003:01:59:48
アクセス回数：2283回
ちなみに UA は以下
Mozilla/4.75 (Nikto/1.30 )
　　http://packetstormsecurity.nl/filedesc/nikto-1.30.tar.html
libwhisker/1.6
　　http://www.wiretrip.net/rfp/libwhisker/
neon/0.23.5 davfs2 0.2.1
　　http://www.webdav.org/neon/
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.0.2) Gecko/20030208 Netscape/7.02

こんな検索までして、わざわざブラウザでもやってくるなんて・・・

http://www.google.nl/search?as_q=&num=10&hl=nl&ie=UTF-8&oe=UTF-8&btnG=Google+zoeken&as_epq=info.php&as_oq=&as_eq=&lr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=url&as_dt=i&as_sitesearch=jp

proxy judge　▲

142.177.228.186 - - [22/Jul/2003:17:28:26 +0900] "GET http://blackmarket.jp/cgi-bin/jeno/env/prxjdg.cgi HTTP/1.0" 404 299 "-" "Mozilla/3.0 (compatible)" 
142.177.228.186 - - [22/Jul/2003:22:59:30 +0900] "GET http://blackmarket.jp/cgi-bin/jeno/env/prxjdg.cgi HTTP/1.0" 404 299 "-" "Mozilla/3.0 (compatible)"

プロクシージャッジも何も、うちではプロクシーサーバー立ててないし。

blackmarket.jp って UG な匂いのサイト名だな、と思ったら、昔、みっきーのネットワーク研究室からのリンクを辿って見に行ったことのあるサイトだった。噂のサイトでは、レンタルサーバに負荷がかかりすぎるので、prxjdg.cgi はハイテク犯罪対策室に飛ばしちゃうんだって。

PHPスクリプトをさぐる動き　 ▲

217.162.194.164 - - [17/Jul/2003:21:42:02 +0900] "GET / HTTP/1.0" 200 3923 "-" "-" 
217.162.194.164 - - [17/Jul/2003:21:42:05 +0900] "GET /index.php HTTP/1.0" 404 281 "-" "-" 
217.162.194.164 - - [17/Jul/2003:21:42:05 +0900] "GET /main.php HTTP/1.0" 404 280 "-" "-" 
217.162.194.164 - - [17/Jul/2003:21:42:08 +0900] "GET /test.php HTTP/1.0" 404 280 "-" "-" 
217.162.194.164 - - [17/Jul/2003:21:42:08 +0900] "GET /phpinfo.php HTTP/1.0" 404 283 "-" "-"
217.162.194.164 - - [17/Jul/2003:21:42:08 +0900] "GET /index.php3 HTTP/1.0" 404 282 "-" "-" 

Name:    dclient217-162-194-164.hispeed.ch
Address:  217.162.194.164

なぜ切り替わる？　▲

Jul 20 06:35:25 myhost in.ftpd[5713]: connect from 80.178.5.154
Jul 20 06:35:36 myhost in.ftpd[5716]: connect from 80.178.5.154.forward.012.net.il

誰もが思いつくような場所にサンプルスクリプトを置いておいてはいけないということで。偶然にも、うちのサイトに置いてあったスクリプトには一つもヒットしなかったけれど、PHPをインストールしたときのサンプルスクリプトは別の場所に移動。

"CONNECT 1.3.3.7:1337 HTTP/1.0"　▲

210.196.71.179 - - [15/Jul/2003:13:46:52 +0900] "CONNECT 1.3.3.7:1337 HTTP/1.0"405 309 "-" "-"

012.net.ilはproxsyサービスをしているらしいけれど・・・　ドメイン名が切り替わるのが不思議。

ポート番号 1337 は Backdoor.OptixPro.11.b が使うらしい。
けど、WASTE という P2P ソフトのデフォルトポートでもあるらしい。初観測が 2003.05.28 なのでたぶんこれでしょう。でも、今使っている人はミラーサイトからダウンロードした人なんでしょうか？こういうところ見てやってるんでしょうね。

ところで、1.3.3.7 ってどこ？

参考
https://lists.umr.edu/pipermail/security/Week-of-Mon-20030602/004595.html https://lists.umr.edu/pipermail/security/Week-of-Mon-20030602/004593.html

"GET //r/n. HTTP/1.1"　▲

61.209.171.119 - - [30/Jun/2003:20:32:58 +0900] "GET //r/n. HTTP/1.1" 404 286 "-" "Microsoft URL Control - 6.00.8862"

"GET /\r\n" のような気もするが・・・バックスラッシュがわからなかったの？

"LINK / HTTP/1.1"　▲

163.152.159.70 - - [27/Jun/2003:20:47:39 +0900] "LINK / HTTP/1.1" 501 337 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Win32)"
163.152.159.70 - - [28/Jun/2003:12:56:09 +0900] "LINK / HTTP/1.1" 501 337 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Win32)"
163.152.159.70 - - [28/Jun/2003:13:11:29 +0900] "LINK / HTTP/1.1" 501 337 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Win32)"
	・
	・
	・
163.152.159.70 - - [29/Jun/2003:20:24:57 +0900] "LINK / HTTP/1.1" 501 337 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Win32)"
163.152.159.70 - - [29/Jun/2003:20:42:48 +0900] "LINK / HTTP/1.1" 501 337 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Win32)"
163.152.159.70 - - [29/Jun/2003:21:00:18 +0900] "LINK / HTTP/1.1" 501 337 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Win32)"

"GET /w3c/p3p.xml HTTP/1.1"　▲

"GET /w3c/p3p.xml HTTP/1.1" 404 295 "-" "P3P Client"

http://www.atmarkit.co.jp/fwin2k/productreview/ie6pp/ie6_07.html

http://review.ascii24.com/db/review/soft/web/2003/06/01/643973-000.html

"GET /cfdocs/expeval/ExprCalc.cfm" Cold Fusion のサンプルスクリプトを狙った攻撃　 ▲

212.202.40.10 - - [26/Jun/2003:07:10:26 +0900] "GET /cfdocs/expeval/ExprCalc.cfm HTTP/1.0" 404 299 "-" "-"

http://sanaki-web.hp.infoseek.co.jp/unix/nessus/

メール送信スクリプトを狙う攻撃　 ▲

211.233.27.208 - - [26/Jun/2003:02:07:56 +0900] "POST /cgi-bin/sendmail.cgi HTTP/1.0" 404 289 "http://mydomain.xxx.xxx.xxx/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q12484)"
192.148.139.178 - - [26/Jun/2003:02:07:56 +0900] "POST /cgi-bin/sendmail.asp HTTP/1.0" 404 289 "http://mydomain.xxx.xxx.xxx/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q12484)"
200.66.32.37 - - [26/Jun/2003:02:07:56 +0900] "POST /cgi-bin/formmail.cgi HTTP/1.0" 404 289 "http://mydomain.xxx.xxx.xxx/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q12484)"
200.69.230.233 - - [26/Jun/2003:02:07:57 +0900] "POST /cgi-bin/form2mail.cgi HTTP/1.0" 404 290 "http://mydomain.xxx.xxx.xxx/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q12484)"
63.198.100.250 - - [26/Jun/2003:02:07:57 +0900] "POST /cgi-bin/formmail.pl HTTP/1.0" 404 288 "http://mydomain.xxx.xxx.xxx/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q12484)"
64.168.236.162 - - [26/Jun/2003:02:07:57 +0900] "POST /cgi-bin/mailto HTTP/1.0" 404 283 "http://mydomain.xxx.xxx.xxx/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q12484)"
200.192.53.130 - - [26/Jun/2003:02:07:57 +0900] "POST /cgi-bin/formmail.php HTTP/1.0" 404 289 "http://mydomain.xxx.xxx.xxx/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q12484)"
195.6.74.31 - - [26/Jun/2003:02:07:58 +0900] "POST /cgi-bin/email.cgi HTTP/1.0" 404 286 "http://mydomain.xxx.xxx.xxx/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q12484)"
212.251.71.129 - - [26/Jun/2003:02:07:58 +0900] "POST /cgi-bin/FormMail.pl HTTP/1.0" 404 288 "http://mydomain.xxx.xxx.xxx/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q12484)"
209.158.167.98 - - [26/Jun/2003:02:07:59 +0900] "POST /cgi-bin/sendmail.pl HTTP/1.0" 404 288 "http://mydomain.xxx.xxx.xxx/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q12484)"
209.220.23.4 - - [26/Jun/2003:02:08:00 +0900] "POST /cgi-bin/form2mail.pl HTTP/1.0" 404 289 "http://mydomain.xxx.xxx.xxx/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q12484)"

IPアドレスは毎回違うが、時間的に見てスクリプトで回しているのだろう。他のマシンを踏み台に使っているのだろうか？　それとも感染したマシンが一斉に出している？
UAは一致している。このUAのアクセス、このときしか来ていない。スクリプトに書き込まれているUAなのかもしれない。

"SEARCH / HTTP/1.1"　▲

203.15.69.139 - - [24/Jun/2003:07:17:12 +0900] "SEARCH / HTTP/1.1" 501 344 "-" "-"

こんなの

パスワードリストによる攻撃　 ▲

Jun 22 09:44:47 myhost ftpd[24002]: FTPD: connection from APlessis-Bouchard-101-2-1-53.w19 at Sun Jun 22 09:44:47 2003
Jun 22 09:44:47 myhost ftpd[24002]: <--- 220 
Jun 22 09:44:47 myhost ftpd[24002]: myhost FTP server () ready.
Jun 22 09:44:47 myhost ftpd[24002]: FTPD: command: USER admin
Jun 22 09:44:47 myhost ftpd[24002]: <--- 331 
Jun 22 09:44:47 myhost ftpd[24002]: Password required for admin.
Jun 22 09:44:48 myhost ftpd[24002]: FTPD: command: PASS 
Jun 22 09:44:48 myhost ftpd[24002]: <--- 530 
Jun 22 09:44:48 myhost ftpd[24002]: Login incorrect.
Jun 22 09:44:48 myhost ftpd[24002]: <--- 221 
Jun 22 09:44:48 myhost ftpd[24002]: You could at least say goodbye.
Jun 22 09:44:48 myhost ftpd[23970]: lost connection

ユーザ名 admin でログインを試みる攻撃を発見

Jun 22 09:43:51 myhost ftpd[23970]: FTPD: connection from APlessis-Bouchard-101-2-1-53.w19 at Sun Jun 22 09:43:51 2003
Jun 22 09:43:55 myhost ftpd[23971]: FTPD: connection from APlessis-Bouchard-101-2-1-53.w19 at Sun Jun 22 09:43:55 2003
	・
	・
	・
Jun 22 09:44:45 myhost ftpd[24000]: FTPD: connection from APlessis-Bouchard-101-2-1-53.w19 at Sun Jun 22 09:44:45 2003
Jun 22 09:44:47 myhost ftpd[24002]: FTPD: connection from APlessis-Bouchard-101-2-1-53.w19 at Sun Jun 22 09:44:47 2003

17回とはかなり粘着。攻撃時間の間隔からしてスクリプトなんだろうけど。このうち、実際にパスワードを入れているのは16回。 16回？？？ LovGate のパスワードリストでも使ってるのだろうか？

http://www.f-secure.co.jp/v-descs/v-descs3/Lovgate.htm

イタズラじゃないみたいだけど　 ▲

131.107.163.50 - - [01/May/2003:13:57:18 +0900] "GET /~ggg-old/xxxxxx HTTP/1.1" 404 304 "-" "MicrosoftPrototypeCrawler (How's my crawling? mailto:newbiecrawler@hotmail.com)" 
131.107.163.50 - - [01/May/2003:13:57:23 +0900] "GET /~ggg-old/yyyyyy HTTP/1.1" 404 304 "-" "MicrosoftPrototypeCrawler (How's my crawling? mailto:newbiecrawler@hotmail.com)"

なんだか舐めたようなユーザエージェントのロボットだと思ったのだが、調べてみると、イタズラじゃなく本当にマイクロソフトのロボットなんだそうだ。 http://internet.watch.impress.co.jp/www/column/kensaku/0422.htm
マイクロソフトだから mailto:newbiecrawler@hotmail.com とするのも納得できるのだが、どうもフリーアドレスだと胡散臭さそうに思えるのは私だけ？

しつこいスキャン　 ▲

217.227.77.239 - - [30/Mar/2003:00:11:55 +0900] "HEAD / HTTP/1.0" 200 0 "-" "-" 
217.227.77.239 - - [30/Mar/2003:00:11:56 +0900] "GET /.pl HTTP/1.0" 404 275 "-" "-" 
217.227.77.239 - - [30/Mar/2003:00:11:57 +0900] "GET /....../etc/hosts HTTP/1.0" 404 288 "-" "-"

Name: pD9E34DEF.dip.t-dialin.net
Address: 217.227.77.239

ログはこちら

間違ってるじゃん　 ▲

218.68.216.7 - - [25/Feb/2003:08:50:09 +0900] "GET http://cancerres.aacrjournals.org/cgi/content/full/63/2/541 HTTP/1.1" 404 309 "-" "Mozilla/5.0 (compatible; MSIE 5.01; Windows 98)"
218.68.216.7 - - [25/Feb/2003:12:49:06 +0900] "GET http://cancerres.aacrjournals.org/cgi/content/full/63/2/541 HTTP/1.1" 404 309 "-" "Mozilla/5.0 (compatible; MSIE 5.01; Windows 98)"

有料オンラインジャーナルを見ようとしているのかと思ったら、見ようとしているのは無料のものみたい。なんでこんなことするんだろう？と他のリクエストも調べてみたら

218.68.216.7 - - [25/Feb/2003:12:49:17 +0900] "GET http://www.ncbi.nlm.nih.gov/HTTP/1.1" 200 3923 "-" "Mozilla/5.0 (compatible; MSIE 5.01; Windows 98)"
218.68.216.7 - - [25/Feb/2003:13:01:31 +0900] "GET http://www.ncbi.nlm.nih.gov/HTTP/1.1" 200 3923 "-" "Mozilla/5.0 (compatible; MSIE 5.01; Windows 98)"
218.68.216.7 - - [25/Feb/2003:13:21:40 +0900] "GET http://www.ncbi.nlm.nih.gov/HTTP/1.1" 200 3923 "-" "Mozilla/5.0 (compatible; MSIE 5.01; Windows 98)"

ところでどうして 200 で返しているんだろう？同じ（と思われる）ことやったら 408 だったのに？？？
なんだ、HTTP/1.1 の前のブランクが抜けているよ。

anonymous@ftp.adobe.com　▲

Feb 11 22:04:16 myhost ftpd[22755]: FTPD: connection from modemcable241.215-130-66.que.mc. at Tue Feb 11 22:04:16 2003
Feb 11 22:04:16 myhost ftpd[22755]: <--- 220 
Feb 11 22:04:16 myhost ftpd[22755]: myhost FTP server () ready.
Feb 11 22:04:16 myhost ftpd[22755]: FTPD: command: USER anonymous@ftp.adobe.com
Feb 11 22:04:16 myhost ftpd[22755]: <--- 331 
Feb 11 22:04:16 myhost ftpd[22755]: Password required for anonymous@ftp.adobe.com.
Feb 11 22:04:16 myhost ftpd[22755]: FTPD: command: PASS 
Feb 11 22:04:16 myhost ftpd[22755]: <--- 530 
Feb 11 22:04:16 myhost ftpd[22755]: Login incorrect.
Feb 11 22:04:17 myhost ftpd[22755]: lost connection

こんな username/password で入れるゲートウェイマシンがあるんだろうな、と捜してみたら、本当にあったみたい。 http://www.scd.ucar.edu/nets/docs/netsadmin/Get-acroread.html でも、どこにでもあるようなアカウントじゃないよね。

I&U Home > うにまま（仮）　・　謎ログの友　・　パスワードコレクション　・　 FormMail Scanners