I&U Home > うにまま（仮）　・　謎ログの友　・　パスワードコレクション　・　 FormMail Scanners

謎ログ

ハッカー・不正侵入にはウイルスバスター2004で対策！
全国のアルバイト情報 - 楽天仕事市場

ここには2004年と2005年のログがあります。

2006年の謎ログはここにあります。

2003年の謎ログはlogwatch03.htmlに、2002年以前の謎ログはlogwatch02.htmlにあります。

謎ログをカテゴリに分類してみました。

[all] [apache] [exploit] [ftp] [robot] [webalizer] [SEO_SPAM] [others]

AWStats の脆弱性を探るアクセス　 ▲

200.203.166.61 - - [05/Feb/2005:17:56:57 +0900] "GET /awstats/awstats.pl?configdir=|echo%20;echo%20;id;echo%20;echo|?configdir=|echo%20;echo%20;id;echo%20;echo| HTTP/1.0" 404 287 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)" 
200.203.166.61 - - [05/Feb/2005:17:57:08 +0900] "GET /cgi-bin/awstats.pl?configdir=|echo%20;echo%20;id;echo%20;echo|?configdir=|echo%20;echo%20;id;echo%20;echo| HTTP/1.0" 404 287 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)" 
200.203.166.61 - - [05/Feb/2005:18:12:05 +0900] "GET /awstats/awstats.pl?configdir=|echo%20;echo%20;id;echo%20;echo|?configdir=|echo%20;echo%20;id;echo%20;echo| HTTP/1.0" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)" 
200.203.166.61 - - [05/Feb/2005:18:12:16 +0900] "GET /cgi-bin/awstats.pl?configdir=|echo%20;echo%20;id;echo%20;echo|?configdir=|echo%20;echo%20;id;echo%20;echo| HTTP/1.0" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"

来ましたね～。
http://www.itmedia.co.jp/enterprise/articles/0502/03/news015.html
使用している人はパッチを当てくださいね。

"\t\x15\x10"　▲

62.117.66.2 - - [08/Jan/2005:07:23:52 +0900] "\t\x15\x10" 400 - "-" "-" 
62.117.66.2 - - [08/Jan/2005:07:23:52 +0900] "\t\x15\x10" 400 - "-" "-" 
62.117.66.2 - - [08/Jan/2005:07:23:52 +0900] "\t\x15\x10" 400 - "-" "-" 
62.117.66.2 - - [08/Jan/2005:07:23:53 +0900] "\t\x15\x10" 400 - "-" "-"

こんな調子で16回もアクセスがあるから何事かと思ってログを見直すと、referrer SPAM 用のスクリプトに何だか変なところがあるみたい。

62.117.66.2 - - [08/Jan/2005:07:23:52 +0900] "GET / HTTP/1.1" 200 3931 "http://www.bigbenrealty.ru/buy-realty-estate-villa-appartments.htm" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:23:52 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:23:52 +0900] "GET / HTTP/1.1" 200 3931 "http://wiseberg.ru/wiseberg.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:23:52 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:23:52 +0900] "GET / HTTP/1.1" 200 3931 "http://wiseberg.ru/index.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:23:52 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:23:53 +0900] "GET / HTTP/1.1" 200 3931 "http://www.pornon1.com/free-live-sex-porno-video.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:23:53 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:23:53 +0900] "GET / HTTP/1.1" 200 3931 "http://www.generalgame.ru/best-general-game.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:23:53 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:23:53 +0900] "GET / HTTP/1.1" 200 3931 "http://8095.ru/index.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:23:53 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:23:54 +0900] "GET / HTTP/1.1" 200 3931 "http://www.8095.ru/business-software-download.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:23:54 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:23:54 +0900] "GET / HTTP/1.1" 200 3931 "http://www.pornon1.com/hardcore-teens.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:23:54 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:31:26 +0900] "GET / HTTP/1.1" 200 3931 "http://www.bigbenrealty.ru/buy-realty-estate-villa-appartments.htm" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:31:26 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:31:26 +0900] "GET / HTTP/1.1" 200 3931 "http://wiseberg.ru/wiseberg.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:31:26 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:31:27 +0900] "GET / HTTP/1.1" 200 3931 "http://wiseberg.ru/index.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:31:27 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:31:27 +0900] "GET / HTTP/1.1" 200 3931 "http://www.pornon1.com/free-live-sex-porno-video.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:31:27 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:31:27 +0900] "GET / HTTP/1.1" 200 3931 "http://www.generalgame.ru/best-general-game.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:31:27 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:31:28 +0900] "GET / HTTP/1.1" 200 3931 "http://8095.ru/index.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:31:28 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:31:31 +0900] "GET / HTTP/1.1" 200 3931 "http://www.8095.ru/business-software-download.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:31:31 +0900] "\t\x15\x10" 400 - "-" "-"
62.117.66.2 - - [08/Jan/2005:07:31:32 +0900] "GET / HTTP/1.1" 200 3931 "http://www.pornon1.com/hardcore-teens.html" "Astral Hyper Vizor"
62.117.66.2 - - [08/Jan/2005:07:31:32 +0900] "\t\x15\x10" 400 - "-" "-"

2005年初の侵入未遂は蛭　 ▲

Jan  1 04:36:21 myhost ftpd[10504]: FTPD: connection from 210.121.141.150 at Sat Jan  1 04:36:21 2005
Jan  1 04:36:21 myhost ftpd[10504]: <--- 220 
Jan  1 04:36:21 myhost ftpd[10504]: myhost FTP server () ready.
Jan  1 04:36:22 myhost ftpd[10504]: FTPD: command: user leech^M
Jan  1 04:36:22 myhost ftpd[10504]: <--- 331 
Jan  1 04:36:22 myhost ftpd[10504]: Password required for leech.
Jan  1 04:36:22 myhost ftpd[10504]: FTPD: command: PASS 
Jan  1 04:36:22 myhost ftpd[10504]: <--- 530 
Jan  1 04:36:22 myhost ftpd[10504]: Login incorrect.
Jan  1 04:36:23 myhost ftpd[10504]: FTPD: command: user test^M
Jan  1 04:36:23 myhost ftpd[10504]: <--- 331 
Jan  1 04:36:23 myhost ftpd[10504]: Password required for test.
Jan  1 04:36:24 myhost ftpd[10504]: FTPD: command: PASS 
Jan  1 04:36:24 myhost ftpd[10504]: <--- 530 
Jan  1 04:36:24 myhost ftpd[10504]: Login incorrect.
Jan  1 04:36:24 myhost ftpd[10504]: FTPD: command: user games^M
Jan  1 04:36:24 myhost ftpd[10504]: <--- 331 
Jan  1 04:36:24 myhost ftpd[10504]: Password required for games.
Jan  1 04:36:24 myhost ftpd[10504]: FTPD: command: PASS 
Jan  1 04:36:24 myhost ftpd[10504]: <--- 530 
Jan  1 04:36:24 myhost ftpd[10504]: Login incorrect.
Jan  1 04:36:24 myhost ftpd[10504]: games (bogus) LOGIN FAILED [from 210.121.141.150]

好き好んでそんなユーザー名を付けるとも思えないが・・・
http://www.google.co.jp/search?q=cache:oZL-iwSpMe8J:denpa61.hp.infoseek.co.jp/opennap.html+user+leech&hl=ja&lr=lang_ja

grep 66.118.149.82 access_log | sort -k 6 -u した結果が↑なんだけど、こんな調子で1サイト50回の750アクセスがあった。すべてのIPアドレスは 69.31.84.248。ドラッグの販売サイトに誘導している。アクセスログ解析ページの referrer からのアクセスを狙っているのだろうが、1サイトあたり50回というアクセス数はどうなんだろう？ referrer として解析ページに載るためには回数が中途半端じゃないか？？

AdminShop Spammer?　▲

65.75.134.180 - - [05/Dec/2004:14:46:30 +0900] "GET /~gggg/org.html HTTP/1.1" 200 2005 "http://www.xopy.com/friendslinks.php" "Mozilla/5.0 Galeon/1.0.3 (X11; Linux i686; U)"
65.75.134.180 - - [07/Dec/2004:05:45:28 +0900] "GET /~gggg/gtop.html HTTP/1.1" 200 2480 "http://www.xopy.com/friendslinks.php" "Mozilla/5.0 (compatible; Konqueror/3.0.0-10; Linux)"
65.75.134.180 - - [16/Dec/2004:08:49:43 +0900] "GET /~gggg/org.html HTTP/1.1" 200 2005 "http://www.xopy.com/friendslinks.php" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
205.209.177.70 - - [16/Dec/2004:11:06:19 +0900] "GET /~gggg/org.html HTTP/1.1" 200 2005 "http://www.xopy.com/friendslinks.php" "Mozilla/5.0 (compatible; Konqueror/3.1; Linux; i686)"
65.75.134.180 - - [16/Dec/2004:22:41:37 +0900] "GET /~gggg/whatgtop.html HTTP/1.1" 200 10808 "http://www.xopy.com/friendslinks.php" "Mozilla/5.0 (compatible; Konqueror/2.1.1; X11)"
65.75.134.180 - - [16/Dec/2004:22:42:31 +0900] "GET /~gggg/whatgtop.html HTTP/1.1" 200 10808 "http://www.xopy.com/friendslinks.php" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"
65.75.134.180 - - [16/Dec/2004:23:14:46 +0900] "GET /~gggg/org.html HTTP/1.1" 200 2005 "http://www.xopy.com/friendslinks.php" "Mozilla/4.0 (compatible; MSIE 5.5; AOL 5.0; Windows 95)"
65.75.134.180 - - [16/Dec/2004:23:15:41 +0900] "GET /~gggg/org.html HTTP/1.1" 200 2005 "http://www.xopy.com/friendslinks.php" "Mozilla/4.5 (compatible; iCab 2.9.1; Macintosh; U; PPC; Mac OS X)"
205.209.177.70 - - [18/Dec/2004:00:54:26 +0900] "GET /~gggg/func.html HTTP/1.1" 200 5317 "http://www.xopy.com/friendslinks.php" "Mozilla/4.0 (compatible; MSIE 5.01; AOL 4.0; Windows 98)"
65.75.134.180 - - [21/Dec/2004:22:43:07 +0900] "GET /~gggg/func.html HTTP/1.1" 200 5317 "http://www.xopy.com/friendslinks.php" "Mozilla/5.0 (compatible; Konqueror/2.2.2-2; Linux)"
65.75.134.180 - - [22/Dec/2004:02:53:07 +0900] "GET /~gggg/refs.html HTTP/1.1" 200 0 "http://www.xopy.com/friendslinks.php" "Mozilla/4.0 (compatible; MSIE 5.15; Mac_PowerPC)"

こんな感じのアクセスが12月だけで40数回。ま、ログ解析ページの referrer からクリックされることを期待した SPAM なんだけど。
www.xopy.com の IPアドレス 69.50.163.50 で検索かけたら、
http://www.google.co.jp/search?q=cache:9s1OcdLsVBcJ:tuxedojack.com/mb/index.php%3Fshowtopic%3D53%26view%3Dgetlastpost+%2269.50.163.50%22&hl=ja
なんてのが引っ掛かった。65.75.134.180 みたいなのを AdminShop Spammer というらしい。っていうか、言っているのはこの人だけか？
referrer に friendslinks.php なんて入っていたら、誰かがリンクしてくれているのかな？と確認に行っちゃうもんね。うまくやったな＞65.75.134.180

Web Link Validator 4.0　▲

198.151.217.26 - - [02/Dec/2004:02:02:30 +0900] "HEAD /~ppp/pppkey.html HTTP/1.0" 200 0 "http://www.weblinkvalidator.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) Web Link Validator 4.0"
198.151.217.26 - - [04/Dec/2004:02:34:56 +0900] "HEAD /~ppp/pppkey.html HTTP/1.0" 200 0 "http://www.weblinkvalidator.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) Web Link Validator 4.0"
198.151.217.26 - - [07/Dec/2004:01:32:53 +0900] "HEAD /~ppp/pppkey.html HTTP/1.0" 200 0 "http://www.weblinkvalidator.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) Web Link Validator 4.0"
198.151.217.26 - - [08/Dec/2004:03:16:37 +0900] "HEAD /~ppp/pppkey.html HTTP/1.0" 200 0 "http://www.weblinkvalidator.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) Web Link Validator 4.0"
198.151.217.26 - - [09/Dec/2004:00:18:45 +0900] "HEAD /~ppp/pppkey.html HTTP/1.0" 200 0 "http://www.weblinkvalidator.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) Web Link Validator 4.0"
198.151.217.26 - - [09/Dec/2004:23:42:15 +0900] "HEAD /~ppp/pppkey.html HTTP/1.0" 200 0 "http://www.weblinkvalidator.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) Web Link Validator 4.0"
198.151.217.26 - - [15/Dec/2004:05:58:39 +0900] "HEAD /~ppp/pppkey.html HTTP/1.0" 200 0 "http://www.weblinkvalidator.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) Web Link Validator 4.0"

webalizer のログに "http://www.weblinkvalidator.com/" なんて残っているから、スパムかしら？と思ったら、リンクチェックプログラムが来たみたい。
でも余所のサイトのリンクチェックするなんて、何かたくらんでるんじゃないの？リンクチェックなら自分でするから、人の世話焼かなくたっていいよ。＞ 198.151.217.26 と思って 198.151.217.26 の素姓を調べたら、由緒正しい組織だったので逆に驚いた。
（けど、こんなページのリンクをチェックして何の役に立つんだろう？）

e-SocietyRobot　▲

133.163.194.50 - - [13/Dec/2004:23:07:26 +0900] "GET /~ HTTP/1.1" 404 285 "-" "e-SocietyRobot(http://www.yama.info.waseda.ac.jp/~yamana/es/)" 
133.163.194.50 - - [13/Dec/2004:23:07:36 +0900] "GET /~genom HTTP/1.1" 404 290 "-" "e-SocietyRobot(http://www.yama.info.waseda.ac.jp/~yamana/es/)"
133.163.194.50 - - [13/Dec/2004:23:07:46 +0900] "GET /~ge HTTP/1.1" 404 287 "-" "e-SocietyRobot(http://www.yama.info.waseda.ac.jp/~yamana/es/)"
133.163.194.50 - - [13/Dec/2004:23:07:56 +0900] "GET /~geno HTTP/1.1" 404 289 "-" "e-SocietyRobot(http://www.yama.info.waseda.ac.jp/~yamana/es/)" 
133.163.194.50 - - [13/Dec/2004:23:08:06 +0900] "GET /~gen HTTP/1.1" 404 288 "-" "e-SocietyRobot(http://www.yama.info.waseda.ac.jp/~yamana/es/)" 
133.163.194.50 - - [13/Dec/2004:23:10:21 +0900] "GET /~g HTTP/1.1" 404 286 "-" "e-SocietyRobot(http://www.yama.info.waseda.ac.jp/~yamana/es/)"

最近よく来るんだけど、動きが怪しい。実在するユーザ名から他のユーザ名を探しているんだろうか？なんだかイヤ～ンな動き。

referrer に "../"　▲

221.148.44.82 - - [03/Dec/2004:39 +0900] "HEAD /~gggg-old/gggg.html HTTP/1.1" 200 0 "../~gggg/gggg.html" "W3CRobot/5.4.0 libwww/5.4.0" 
221.148.44.82 - - [07/Dec/2004:19 +0900] "HEAD /~ppp/ppp-j.html HTTP/1.1" 200 0 "../" "W3CRobot/5.4.0 libwww/5.4.0" 
221.148.44.82 - - [07/Dec/2004:20 +0900] "HEAD /~ppp/whatppp.html HTTP/1.1" 200 0 "../" "W3CRobot/5.4.0 libwww/5.4.0" 
221.148.44.82 - - [07/Dec/2004:20 +0900] "HEAD /~ppp/ppphelp.html HTTP/1.1" 200 0 "../" "W3CRobot/5.4.0 libwww/5.4.0" 
221.148.44.82 - - [07/Dec/2004:20 +0900] "HEAD /~ppp/pppkey.html HTTP/1.1" 200 0 "../" "W3CRobot/5.4.0 libwww/5.4.0" 
221.148.44.82 - - [07/Dec/2004:20 +0900] "HEAD /~ppp/pppseqblt.html HTTP/1.1" 200 0 "../" "W3CRobot/5.4.0 libwww/5.4.0" 
221.148.44.82 - - [07/Dec/2004:20 +0900] "HEAD /~ppp/ppp_input/pppsubmit.html HTTP/1.1" 200 0 "../../" "W3CRobot/5.4.0 libwww/5.4.0"

referrer に "../" なんていうのが入っているのが気持ち悪い。

"PUT /kateam.htm HTTP/1.0"　▲

198.82.97.145 - - [06/Oct/2004:12:52:02 +0900] "PUT /kateam.htm HTTP/1.0" 405 305 "-" "Microsoft Data Access Internet Publishing Provider DAV 1.1"
82.154.129.251 - - [08/Oct/2004:04:35:29 +0900] "PUT /index.htm HTTP/1.0" 405 301 "-" "Microsoft Data Access Internet Publishing Provider DAV 1.1" 
81.193.225.177 - - [08/Oct/2004:16:55:27 +0900] "PUT /www.arplhmd.cjb.net_084958 HTTP/1.0" 405 318 "-" "Microsoft Data Access Internet Publishing Provider DAV 1.1"
82.174.140.61 - - [24/Oct/2004:09:18:18 +0900] "PUT /images/webal.asp HTTP/1.0" 405 311 "-" "Microsoft Data Access Internet Publishing Provider DAV 1.1" 
82.174.140.61 - - [24/Oct/2004:09:38:35 +0900] "PUT /shez.txt HTTP/1.0" 405 303 "-" "Microsoft Data Access Internet Publishing Provider DAV 1.1"
81.91.144.250 - - [24/Oct/2004:09:53:42 +0900] "PUT /ihs.htm HTTP/1.0" 405 302 "-" "Microsoft Data Access Internet Publishing Provider DAV 1.1"
217.170.241.1 - - [25/Oct/2004:02:01:46 +0900] "PUT /nap.html HTTP/1.0" 405 303 "-" "Microsoft Data Access Internet Publishing Provider DAV 1.1"
217.170.241.1 - - [25/Oct/2004:02:34:24 +0900] "PUT /nap.txt HTTP/1.0" 405 302 "-" "Microsoft Data Access Internet Publishing Provider DAV 1.1"
200.181.211.98 - - [06/Nov/2004:00:51:02 +0900] "PUT /dnt.htm HTTP/1.0" 405 299 "-" "Microsoft Data Access Internet Publishing Provider DAV 1.1"
200.181.211.98 - - [06/Nov/2004:01:36:51 +0900] "PUT /denet.htm HTTP/1.0" 405 301 "-" "Microsoft Data Access Internet Publishing Provider DAV 1.1"

最近、ファイルを PUT しようとするログが多いと思ったら、WebDAV の設定ミスをつく攻撃なのね。
で、このファイル名を Google で検索したときに、このファイルが置いてある（ことにサイト管理者が気付いていない）サイトには WebDAV の脆弱性が残っていると。
なるほど。

"HEAD /afjldasjflas.txt"　▲

	
222.122.15.190 - - [01/Nov/2004:23:41:56 +0900] "HEAD /afjldasjflas.txt HTTP/1.0" 404 0 "-" "Talkro Web-Shot/1.0 (E-mail: webshot@daumsoft.com, Home: http://222.122.15.190/webshot)"
222.122.15.190 - - [02/Nov/2004:10:49:54 +0900] "HEAD /afjldasjflas.txt HTTP/1.0" 404 0 "-" "Talkro Web-Shot/1.0 (E-mail: webshot@daumsoft.com, Home: http://222.122.15.190/webshot)"
222.122.15.190 - - [04/Nov/2004:04:56:18 +0900] "HEAD /afjldasjflas.txt HTTP/1.0" 404 0 "-" "Talkro Web-Shot/1.0 (E-mail: webshot@daumsoft.com, Home: http://222.122.15.190/webshot)"
222.122.15.190 - - [04/Nov/2004:14:17:37 +0900] "HEAD /afjldasjflas.txt HTTP/1.0" 404 0 "-" "Talkro Web-Shot/1.0 (E-mail: webshot@daumsoft.com, Home: http://222.122.15.190/webshot)"

http://npsearch.hankooki.com/xcategory.php?ca_depth=5&ca_id=11100605&where=dir&keyword=%B9%AB%B7%E1%BC%EE%C7%CE%B8%F4&sort=HA
を翻訳してもらったら

=== 	
次ソフト 自然語処理ソリューション利用自動質疑応答及び各種知能型ソフトウェア開発業社.
http://www.daumsoft.com/
ビジネス,経済>企業>コンピューター> ソフトウェア
===

だそうです。特に迷惑こうむっているわけではないけれど。
でも、Home と言っている http://222.122.15.190/webshot にアクセスできないのはちょっと感じ悪い。

GET /bbs/viewpro.php　▲

lj1174.inktomisearch.com - - [29/Oct/2004:13:14:22 +0900] "GET /robots.txt HTTP/1.0" 200 41 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
lj1102.inktomisearch.com - - [29/Oct/2004:13:14:23 +0900] "GET /bbs/viewpro.php?username=mirrorice&sid=SilY9d73 HTTP/1.0" 302 211 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"

viewpro.php はプロフィール表示のスクリプトらしいんだけど、なぜそんなものをロボットが渫うのか？？？
この viewpro.php 中国語圏の方に人気のスクリプトらしい。

"GET /ccbill/whereami.cgi HTTP/1.0"　▲

68.56.141.225 - - [29/Aug/2004:01:41:00 +0900] "GET /ccbill/whereami.cgi HTTP/1.0" 404 291 "-" "-"

ccbill の cgi 経由でコマンドが実行できるらしい。
http://www.securityfocus.com/archive/75/327659/2003-07-02/2003-07-08/0

12階層のぼる　 ▲

208.179.55.251 - - [24/Aug/2004:08:34:54 +0900] "GET /~ppp/cgi-bin/../../../../../../../../../../../../etc/passwd HTTP/1.1" 400 402 "-" "-" 
208.179.55.251 - - [24/Aug/2004:08:34:55 +0900] "GET /~ppp/../../../../../../../../../../../../etc/passwd HTTP/1.1" 400 394 "-" "-" 
208.179.55.251 - - [24/Aug/2004:08:34:57 +0900] "GET /~ppp/cgi-bin/PPP/../../../../../../../../../../../../etc/passwd HTTP/1.1" 400 406 "-" "-" 
208.179.55.251 - - [24/Aug/2004:08:34:57 +0900] "GET /~ppp/cgi-bin/../../../../../../../../../../../../etc/passwd HTTP/1.1" 400 402 "-" "-" 
208.179.55.251 - - [24/Aug/2004:08:34:58 +0900] "GET /~ppp/../../../../../../../../../../../../etc/passwd HTTP/1.1" 400 394 "-" "-" 
208.179.55.251 - - [24/Aug/2004:08:36:40 +0900] "GET /~ppp/cgi-bin/../../../../../../../../../../../../etc/passwd HTTP/1.1" 400 402 "-" "-" 
208.179.55.251 - - [24/Aug/2004:08:36:40 +0900] "GET /~ppp/../../../../../../../../../../../../etc/passwd HTTP/1.1" 400 394 "-" "-" 
208.179.55.251 - - [24/Aug/2004:08:36:42 +0900] "GET /~ppp/cgi-bin/PPP/../../../../../../../../../../../../etc/passwd HTTP/1.1" 400 406 "-" "-" 
208.179.55.251 - - [24/Aug/2004:08:36:43 +0900] "GET /~ppp/cgi-bin/../../../../../../../../../../../../etc/passwd HTTP/1.1" 400 402 "-" "-" 
208.179.55.251 - - [24/Aug/2004:08:36:43 +0900] "GET /~ppp/../../../../../../../../../../../../etc/passwd HTTP/1.1" 400 394 "-" "-"

たとえウェブサーバから見える範囲にパスワードファイルが置いてあるとして、12階層登るというのは疑いようのない事実なの？

踏み台にされている人たち　 ▲

80.206.246.195 - - [07/Aug/2004:05:59:50 +0900] "POST /cgi-bin/friends/friends.cgi HTTP/1.1" 404 308 "http://mydomain.xxx.xxx.xxx/" "-" 
153.110.132.10 - - [07/Aug/2004:05:59:51 +0900] "POST /cgi-bin/formmail.pl HTTP/1.0" 404 288 "http://mydomain.xxx.xxx.xxx/" "-"
211.46.75.189 - - [07/Aug/2004:05:59:52 +0900] "POST /cgi-bin/contact.cgi HTTP/1.0" 404 288 "http://mydomain.xxx.xxx.xxx/" "-" 
209.50.252.95 - - [07/Aug/2004:05:59:53 +0900] "POST /cgi-bin/mailform.pl HTTP/1.1" 404 300 "http://mydomain.xxx.xxx.xxx/" "-" 
195.53.31.35 - - [07/Aug/2004:05:59:55 +0900] "POST /cgi-bin/formmail.cgi HTTP/1.1" 404 301 "http://mydomain.xxx.xxx.xxx/" "-" 
216.72.28.100 - - [07/Aug/2004:06:00:12 +0900] "POST http://mydomain.xxx.xxx.xxx/cgi-bin/FormMail.pl HTTP/1.0" 404 288 "http://mydomain.xxx.xxx.xxx/" "-" 
129.174.163.41 - - [07/Aug/2004:06:00:13 +0900] "POST /mail.cgi HTTP/1.0" 403 281 "http://mydomain.xxx.xxx.xxx/" "-" 
65.100.168.58 - - [07/Aug/2004:06:00:59 +0900] "POST /cgi-bin/FormMail.pl HTTP/1.0" 404 288 "http://mydomain.xxx.xxx.xxx/" "-"

この人達は踏み台にされているの？？？

openwebmail があるかどうか試している　 ▲

212.182.78.78 - - [03/Aug/2004:00:30:41 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl HTTP/1.0" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
212.182.78.78 - - [03/Aug/2004:00:30:41 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl HTTP/1.0" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
212.182.78.78 - - [03/Aug/2004:00:30:42 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl HTTP/1.0" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
212.182.78.78 - - [03/Aug/2004:00:30:43 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl HTTP/1.0" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
212.182.78.78 - - [03/Aug/2004:00:30:43 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl HTTP/1.0" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

Name:    pzti.umcs.lublin.pl
Address:  212.182.78.78

https://www.netsecurity.ne.jp/article/6/13445.html より、vacation.pl に脆弱性があるとのこと。パッチを当てください。

本格的に夏休みに入ってきたのか、イタズラが多くなってきた　 ▲

イタズラリスト

イタズラリスト２

pwrchute でログインを試みる攻撃　 ▲

Jul 23 02:13:59 myhost ftpd[11670]: FTPD: connection from p5087DC82.dip.t-dialin.net at Fri Jul 23 02:13:59 2004
Jul 23 02:13:59 myhost ftpd[11670]: <--- 220 
Jul 23 02:13:59 myhost ftpd[11670]: myhost FTP server () ready.
Jul 23 02:13:59 myhost ftpd[11670]: FTPD: command: USER pwrchute^M
Jul 23 02:13:59 myhost ftpd[11670]: <--- 331 
Jul 23 02:13:59 myhost ftpd[11670]: Password required for pwrchute.
Jul 23 02:13:59 myhost ftpd[11670]: FTPD: command: PASS 
Jul 23 02:13:59 myhost ftpd[11670]: <--- 530 
Jul 23 02:13:59 myhost ftpd[11670]: Login incorrect.
Jul 23 02:14:00 myhost ftpd[11670]: <--- 221 
Jul 23 02:14:00 myhost ftpd[11670]: You could at least say goodbye.

あら、危ない！ xpwrchute なんて使わないからパスワードロックしてあるけど。

この人、別に pwrchute だけを狙ってきているわけじゃなくて、他にも account, access, bachup, data, ftproot, informix, oracle なんていう、要するによくあるアカウントでログインを試みる攻撃。
合計290回接続してきた。

ちなみに接続してきたユーザ名は以下。前回の 6265 通りに比べれば、あっさりしたものか。 lizdy ってどんなアプリのユーザなんだろう？

% sort +8 -u ~/tmptmp
Jul 23 02:11:23 myhost ftpd[11538]: Password required for access.
Jul 23 02:11:06 myhost ftpd[11179]: Password required for account.
Jul 23 01:52:41 myhost ftpd[9799]: Password required for admin.
Jul 23 02:00:55 myhost ftpd[4012]: Password required for administrator.
Jul 23 01:48:47 myhost ftpd[2808]: Password required for anyone.
Jul 23 02:07:28 myhost ftpd[27724]: Password required for backup.
Jul 23 02:09:38 myhost ftpd[5748]: Password required for data.
Jul 23 02:11:12 myhost ftpd[11515]: Password required for ftproot.
Jul 23 02:07:01 myhost ftpd[26101]: Password required for informix.
Jul 23 02:07:27 myhost ftpd[27638]: Password required for lizdy.
Jul 23 02:01:21 myhost ftpd[5534]: Password required for oracle.
Jul 23 02:06:51 myhost ftpd[25489]: Password required for oracle8.
Jul 23 02:11:14 myhost ftpd[11519]: Password required for pwrchute.
Jul 23 01:51:02 myhost ftpd[6782]: Password required for root.
Jul 23 02:08:15 myhost ftpd[655]: Password required for server.
Jul 23 02:02:54 myhost ftpd[11119]: Password required for sybase.
Jul 23 01:57:06 myhost ftpd[20323]: Password required for test.
Jul 23 01:52:50 myhost ftpd[10037]: Password required for user.
Jul 23 01:58:47 myhost ftpd[26302]: Password required for web.
Jul 23 01:52:02 myhost ftpd[8609]: Password required for webmaster.
Jul 23 02:00:56 myhost ftpd[4084]: Password required for www.

Yahooの怪しいロボット　 ▲

66.196.90.96 - - [20/Jul/2004:10:07:07 +0900] "GET /campus.htm HTTP/1.0" 404 282 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
66.196.90.246 - - [20/Jul/2004:10:07:19 +0900] "GET /jan.htm HTTP/1.0" 404 279 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
66.196.90.54 - - [20/Jul/2004:11:21:48 +0900] "GET /resale.htm HTTP/1.0" 404 282 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
66.196.90.225 - - [20/Jul/2004:13:29:12 +0900] "GET /mainarca.htm HTTP/1.0" 404 284 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 
66.196.90.112 - - [20/Jul/2004:15:14:44 +0900] "GET /newsflashjustin.htm HTTP/1.0" 404 288 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
66.196.90.115 - - [20/Jul/2004:16:45:13 +0900] "GET /work.htm HTTP/1.0" 404 277 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 
66.196.90.38 - - [20/Jul/2004:16:45:26 +0900] "GET /hello.php HTTP/1.0" 404 278 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"

どうしてないものばかり探すんだろう？
・・・こういうのってYahoo!知恵袋で聞くと中の人が教えてくれるのかしら？

"GET /sjdif.exe"　▲

66.194.6.73 - - [02/Jul/2004:08:04:24 +0900] "GET /sjdif.exe HTTP/1.1" 404 290 "-" "Mozilla/5.0 (compatible; Konqueror/3.0-rc4; i686 Linux; 20020526)"
66.194.6.74 - - [02/Jul/2004:08:20:56 +0900] "GET /sjdif.exe HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312463)" 
66.194.6.72 - - [02/Jul/2004:08:56:21 +0900] "GET /sjdif.exe HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312462)"

sjdif.exe は Troj/Ovedil-B というウイルスのコンポーネントらしい。
http://cleverhack.com/archives/sjdifexe-trojan/
http://www.sophos.com/virusinfo/analyses/trojovedilb.html

このトロイの木馬に引っ掛かると sjdif.exe をダウンロードするのだが、引っ掛かったマシンを探すためのアクセスなのか？
Troj/Ovedil-B 自体はキーロガーでウイルス定義は6月始めには出ているようだが、 IMBig.Trojan が検出されてから sjdif.exe を探すアクセスが多発しているとか。

http://archives.neohapsis.com/archives/ntbugtraq/2004-q2/0127.html
http://scg.ucdavis.edu/seenews.cfm?story=791
sjdif.exe はオンラインバンクに接続したときのキーロガーのログを探しに行くプログラムらしい。自分ではキーロガーを仕掛けず、人が取ったログを横取りするために sjdif.exe を探しまわっているということか？？？

間違えすぎ　 ▲

133.11.224.2 - - [09/Jun/2004:15:37:20 +0900] "GET /+ACU-7Eggggg/cgi-bin/mas.pl.cgi?id+AD0-CAB49923.1 HTTP/1.1" 404 316 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 
133.11.224.2 - - [09/Jun/2004:15:39:35 +0900] "GET /+ACU-7Eggggg/cgi-bin/mmm.pl.cgi?id+AD0-AAL81031.1 HTTP/1.1" 404 316 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

%7E はチルダだけど・・・ % をunicodeにするって・・・

yahooへの変なアクセス　 ▲

67.172.181.95 - - [05/Jun/2004:06:02:19 +0900] "GET http://e11.member.ukl.yahoo.com/????????????????????????????.&login=ann_127&passwd=123&.done=http://edit.yahoo.com/config/change_pw?.src=&.opw=123&.pw1=123&.pw2=123&.commit=Save\" ' HTTP/1.0" 400 377 "-" "-" 
67.172.181.95 - - [05/Jun/2004:06:05:33 +0900] "GET http://e16.member.ukl.yahoo.com/????????????????????????????.&login=ann_1980_99&passwd=123&.done=http://edit.yahoo.com/config/change_pw?.src=&.opw=123&.pw1=123&.pw2=123&.commit=Save\" ' HTTP/1.0" 400 377 "-" "-" 
67.172.181.95 - - [05/Jun/2004:06:08:41 +0900] "GET http://e1.member.ukl.yahoo.com/????????????????????????????.&login=ann_0325&passwd=123&.done=http://edit.yahoo.com/config/change_pw?.src=&.opw=123&.pw1=123&.pw2=123&.commit=Save\" ' HTTP/1.0" 400 377 "-" "-"

http://internet.watch.impress.co.jp/cda/news/2004/06/10/3441.html
これと関係あるのかな？

変な Referer 残すから　 ▲

67.18.55.52 - - [04/May/2004:23:49:19 +0900] "GET /pppkey.html HTTP/1.0" 404 280 "Mixcat - The Search Engine" "Felix - Mixcat Crawler (+http://mixcat.com)" 
67.18.55.52 - - [04/May/2004:23:49:21 +0900] "GET /pppseqblt.html HTTP/1.0" 404 283 "Mixcat - The Search Engine" "Felix - Mixcat Crawler (+http://mixcat.com)"

変な Referer 残すから Googlebot がだまされちゃうじゃない

64.68.82.169 - - [11/May/2004:13:55:03 +0900] "GET /~ppp/usage/Mixcat%20-%20The%20Search%20Engine HTTP/1.0" 404 306 "-" "Googlebot/2.1 (+http://www.googlebot.com/bot.html)"

そんなに探さなくても・・・ないものはないんだから　 ▲

favicon.ico は置いてないんですよ。ていうか ftp にそんなもの置かないと思うけど。

May 10 05:20:57 myhost ftpd[20164]: FTPD: connection from 65.199.244.92 at Mon May 10 05:20:57 2004
May 10 05:20:57 myhost ftpd[20164]: <--- 220 
May 10 05:20:57 myhost ftpd[20164]: myhost FTP server () ready.
May 10 05:20:59 myhost ftpd[20164]: FTPD: command: USER anonymous^M
May 10 05:20:59 myhost ftpd[20164]: <--- 331 
May 10 05:20:59 myhost ftpd[20164]: Guest login ok, send ident as password.
May 10 05:21:01 myhost ftpd[20164]: FTPD: command: PASS IEUser@^M
May 10 05:21:01 myhost ftpd[20164]: <--- 230 
May 10 05:21:01 myhost ftpd[20164]: Guest login ok, access restrictions apply.
May 10 05:21:03 myhost ftpd[20164]: FTPD: command: TYPE I^M
May 10 05:21:03 myhost ftpd[20164]: <--- 200 
May 10 05:21:03 myhost ftpd[20164]: Type set to I.
May 10 05:21:05 myhost ftpd[20164]: FTPD: command: PASV^M
May 10 05:21:05 myhost ftpd[20164]: <--- 227 
May 10 05:21:05 myhost ftpd[20164]: Entering Passive Mode (xxx,xxx,xxx,xxx,235,3)
May 10 05:21:10 myhost ftpd[20164]: FTPD: command: SIZE /favicon.ico^M
May 10 05:21:10 myhost ftpd[20164]: <--- 500 
May 10 05:21:10 myhost ftpd[20164]: 'SIZE /favicon.ico': command not understood.
May 10 05:21:12 myhost ftpd[20164]: FTPD: command: RETR /favicon.ico^M
May 10 05:21:12 myhost ftpd[20164]: <--- 550 
May 10 05:21:12 myhost ftpd[20164]: /favicon.ico: No such file or directory.
May 10 05:21:14 myhost ftpd[20164]: FTPD: command: CWD /favicon.ico^M
May 10 05:21:14 myhost ftpd[20164]: <--- 550 
May 10 05:21:14 myhost ftpd[20164]: /favicon.ico: No such file or directory.
May 10 05:36:14 myhost ftpd[20164]: <--- 421 
May 10 05:36:14 myhost ftpd[20164]: Timeout (900 seconds): closing control connection.
May 10 05:36:14 myhost ftpd[20164]: FTPD: User ftp timed out after 900 seconds at Mon May 10 05:36:14 2004

IIS WebDAV を狙った攻撃　 ▲

４月は海外？から攻撃を受けていたんだけど、５月に入って国内からも攻撃されるようになった。やはりＧＷといっても遊びに出かける人ばかりではないと言うことか？勉強が好きな人もいるようだし

% grep "SEARCH \/\\" access_log | cut -b1-80
218.66.213.215 - - [04/Apr/2004:23:31:43 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x0
68.78.160.239 - - [07/Apr/2004:16:48:29 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x02
213.156.52.112 - - [20/Apr/2004:10:44:14 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x0
219.140.141.179 - - [23/Apr/2004:20:39:00 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x
133.205.24.230 - - [03/May/2004:10:34:26 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x0
133.205.44.134 - - [04/May/2004:20:40:38 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x0
133.62.173.180 - - [10/May/2004:12:19:08 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x0

IIS WebDAV を狙った攻撃　 ▲

218.66.213.215 - - [04/Apr/2004:23:31:43 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02

要求は32Kバイト続く。これでログがいっぱいになるのはイヤだな。
[MS03-007] Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害されるだそうで、そういえばこの脆弱性、発見当時かなり話題になったものだけど、その当時はこういう攻撃はなかったのに。
ネットで検索すると去年の秋くらいからこの攻撃が始まってきているみたい。

Webalizer を利用した検索エンジンスパム？（３）　▲

212.88.134.90 - - [27/Mar/2004:04:52:12 +0900] "GET /%7Eppp/usage/usage_200403.html HTTP/1.1" 200 32768 "http://www.dreamphentermine.com/" "Mozilla/4.0 (compatible; MSIE 4.01; CS 2000; Windows 95)" 
63.227.61.66 - - [27/Mar/2004:04:52:22 +0900] "GET /~ppp/usage/usage_200403.html HTTP/1.0" 200 0 "http://www.dreamphentermine.com/" "Mozilla/4.0 (compatible; MSIE 4.01; MSN 2.5; Windows 98)"

約20時間に渡って 1035回もアクセスしてきた。

なんだか良く分からないお薬を最安値で販売してくれるサイトだそうだが、これまでの業者と違って、かなり工夫を凝らしている。
20時間かけて1000回のアクセスは、サーバへのストレスがかからない（そうじゃなくて、サーバに負荷がかからないので気付かれにくい）。
使用した UA 24種類、IPアドレス 720個。アクセス拒否に掛りにくくしているのだろうか？

因みにこの業者？初出は2004年2月末だった。

dc.tickerbar.net　▲

61.236.38.2 - - [19/Mar/2004:12:52:23 +0900] "GET http://dc.tickerbar.net/tld/pxy.m?nc=11794792 HTTP/1.0" 404 281 "-" "-"

trickerbar てなんとなくイヤな感じの名前。

危険そうなアカウントをひたすら探す攻撃　 ▲

Mar 21 08:03:22 myhost ftpd[22652]: FTPD: connection from dsl-200-95-5-189.prod-infinitum. at Sun Mar 21 08:03:22 2004
Mar 21 08:03:22 myhost ftpd[22652]: <--- 220 
Mar 21 08:03:22 myhost ftpd[22652]: myhost FTP server () ready.
Mar 21 08:03:22 myhost ftpd[22652]: FTPD: command: USER zxcvb^M
Mar 21 08:03:22 myhost ftpd[22652]: <--- 331 
Mar 21 08:03:22 myhost ftpd[22652]: Password required for zxcvb.
Mar 21 08:03:23 myhost ftpd[22652]: FTPD: command: PASS 
Mar 21 08:03:23 myhost ftpd[22652]: <--- 530 
Mar 21 08:03:23 myhost ftpd[22652]: Login incorrect.
Mar 21 08:03:23 myhost ftpd[22652]: FTPD: command: QUIT^M
Mar 21 08:03:23 myhost ftpd[22652]: <--- 221 
Mar 21 08:03:23 myhost ftpd[22652]: Goodbye.

dsl-200-95-5-189.prod-infinitum.com.mx から、重複はあるけど 7164 回。6265 通りのアカウントを試してくれた。
wu-ftpd や proFTPD の、一定の回数以上ログインに失敗すると接続を切ってしまうという設定を回避するためか、Login incorrect になるとすぐに quit してしまう。
xinetd の cps を使うと1秒間に何回接続を許すかを設定できるが、今回の攻撃はスクリプトで回しているだけなので、「やけに時間がかかるな」と思うだけで、諦めることはないかもしれない。

ちなみに接続してきたユーザ名の一部は以下

Mar 21 08:03:20 myhost ftpd[22644]: FTPD: command: USER asdf^M
Mar 21 08:03:20 myhost ftpd[22643]: FTPD: command: USER james^M
Mar 21 08:03:20 myhost ftpd[22645]: FTPD: command: USER qwerty^M
Mar 21 08:03:20 myhost ftpd[22642]: FTPD: command: USER asdf^M
Mar 21 08:03:20 myhost ftpd[22646]: FTPD: command: USER qwerty^M
Mar 21 08:03:22 myhost ftpd[22654]: FTPD: command: USER qwerty^M
Mar 21 08:03:22 myhost ftpd[22655]: FTPD: command: USER 123^M
Mar 21 08:03:22 myhost ftpd[22652]: FTPD: command: USER zxcvb^M
Mar 21 08:03:22 myhost ftpd[22653]: FTPD: command: USER zxcvb^M
Mar 21 08:03:22 myhost ftpd[22656]: FTPD: command: USER 1234^M
Mar 21 08:03:25 myhost ftpd[22665]: FTPD: command: USER 12345678^M
Mar 21 08:03:25 myhost ftpd[22662]: FTPD: command: USER 12345^M
Mar 21 08:03:25 myhost ftpd[22663]: FTPD: command: USER 123456^M
Mar 21 08:03:25 myhost ftpd[22666]: FTPD: command: USER temp^M
Mar 21 08:03:25 myhost ftpd[22664]: FTPD: command: USER 1234567^M
Mar 21 08:03:27 myhost ftpd[22674]: FTPD: command: USER user^M
Mar 21 08:03:27 myhost ftpd[22675]: FTPD: command: USER alumno^M
Mar 21 08:03:27 myhost ftpd[22673]: FTPD: command: USER mysql^M
Mar 21 08:03:27 myhost ftpd[22672]: FTPD: command: USER oracle^M
Mar 21 08:03:27 myhost ftpd[22676]: FTPD: command: USER prueba^M
Mar 21 08:03:30 myhost ftpd[22682]: FTPD: command: USER user1^M
Mar 21 08:03:30 myhost ftpd[22684]: FTPD: command: USER ftpd^M

ない物ねだり（２）　▲

150.67.72.17 - - [09/Mar/2004:19:10:58 +0900] "GET /gdb/images/gdbhome.gif HTTP/1.1" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; istb 702)"
150.67.72.17 - - [09/Mar/2004:19:10:58 +0900] "GET /images/page_back.gif HTTP/1.1" 404 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; istb 702)"
150.67.72.17 - - [09/Mar/2004:19:10:58 +0900] "GET /css/atcc.css HTTP/1.1" 404 296 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; istb 702)"
150.67.72.17 - - [09/Mar/2004:19:10:58 +0900] "GET /images/Background/top.gif HTTP/1.1" 404 309 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; istb 702)"
150.67.72.17 - - [09/Mar/2004:19:10:58 +0900] "GET /images/Logo/logo.gif HTTP/1.1" 404 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; istb 702)"
150.67.72.17 - - [09/Mar/2004:19:10:58 +0900] "GET /images/top_slogan.gif HTTP/1.1" 404 305 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; istb 702)"
150.67.72.17 - - [09/Mar/2004:19:10:58 +0900] "GET /images/top_search2.gif HTTP/1.1" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; istb 702)"
150.67.72.17 - - [09/Mar/2004:19:10:58 +0900] "GET /images/clearpix.gif HTTP/1.1" 404 303 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; istb 702)"

Name:    atgc72.hydra.mki.co.jp
Address:  150.67.72.17

クルーラーのインデックスが間違ってる、という感じじゃないんだよね。
どこかのページを見に行って、そこから参照している画像の BASE URL が全部こちらに向けられてるっていう感じ。そんなことあるのかな？

ない物ねだり　 ▲

65.214.36.159 - - [09/Mar/2004:10:01:53 +0900] "GET /japanese/super-toto-plus%2Cnet/index.html HTTP/1.0" 404 311 "-" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma)"
65.214.36.159 - - [09/Mar/2004:10:02:14 +0900] "GET /japanese/%E3%82%B2%E3%83%BC%E3%83%A0%2Cfun/index.html HTTP/1.0" 404 305 "-" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma)"
65.214.36.159 - - [09/Mar/2004:10:02:35 +0900] "GET /japanese/bicycle-basket%2C%E8%B3%AD%E3%81%91%E4%BA%8B/index.html HTTP/1.0" 404 316 "-" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma)"
65.214.36.159 - - [09/Mar/2004:10:02:56 +0900] "GET /japanese/super-toto-plus%2Cnet/888%2Ccomputer%2Cgamling.html HTTP/1.0" 404 326 "-" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma)"

Name:    egspd409.teoma.com
Address:  65.214.36.159

http://ra-map.hp.infoseek.co.jp/web02.html より、 Ask Jeeves の検索エンジンだそうです。先月まではあるものだけをさらっていってたんだけど、今回はどうしてないものばかりを探すのかな？
全リストはこちら

こんなユーザ名はやめよう　 ▲

Feb 16 02:25:42 myhosst ftpd[26771]: FTPD: connection from 61.78.53.54 at Mon Feb 16 02:25:42 2004
Feb 16 02:25:42 myhosst ftpd[26771]: <--- 220 
Feb 16 02:25:42 myhosst ftpd[26771]: myhosst FTP server () ready.
Feb 16 02:25:43 myhosst ftpd[26771]: FTPD: command: USER upload^M
Feb 16 02:25:43 myhosst ftpd[26771]: <--- 331 
Feb 16 02:25:43 myhosst ftpd[26771]: Password required for upload.
Feb 16 02:25:43 myhosst ftpd[26771]: FTPD: command: PASS 
Feb 16 02:25:43 myhosst ftpd[26771]: <--- 530 
Feb 16 02:25:43 myhosst ftpd[26771]: Login incorrect.
Feb 16 02:25:43 myhosst ftpd[26771]: FTPD: command: USER up^M
Feb 16 02:25:43 myhosst ftpd[26771]: <--- 331 
Feb 16 02:25:43 myhosst ftpd[26771]: Password required for up.
Feb 16 02:25:44 myhosst ftpd[26771]: FTPD: command: PASS 
Feb 16 02:25:44 myhosst ftpd[26771]: <--- 530 
Feb 16 02:25:44 myhosst ftpd[26771]: Login incorrect.
Feb 16 02:25:44 myhosst ftpd[26771]: FTPD: command: USER test^M
Feb 16 02:25:44 myhosst ftpd[26771]: <--- 331 
Feb 16 02:25:44 myhosst ftpd[26771]: Password required for test.
Feb 16 02:25:45 myhosst ftpd[26771]: FTPD: command: PASS 
Feb 16 02:25:45 myhosst ftpd[26771]: <--- 530 
Feb 16 02:25:45 myhosst ftpd[26771]: Login incorrect.
Feb 16 02:25:45 myhosst ftpd[26771]: test (bogus) LOGIN FAILED [from 61.78.53.54]
Feb 16 02:25:46 myhosst ftpd[26773]: FTPD: connection from 61.78.53.54 at Mon Feb 16 02:25:46 2004
Feb 16 02:25:46 myhosst ftpd[26773]: <--- 220 
Feb 16 02:25:46 myhosst ftpd[26773]: myhosst FTP server () ready.
Feb 16 02:25:46 myhosst ftpd[26773]: FTPD: command: USER movieup^M

こんなユーザ名はやめよう
upload, up, test, movieup, tvup, comicup
スキャンスクリプトが出ているみたい。パスワードは類推されにくいものを。

80番ポートに対する典型的な攻撃　 ▲

24.117.251.37 - - [12/Feb/2004:13:22:20 +0900] "GET /cgi-bin/lame.cgi?file=../../../../etc/motd HTTP/1.1" 404 300 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.2.1) Gecko/20010901"
24.117.251.37 - - [12/Feb/2004:13:23:47 +0900] "GET /cgi-bin/php.cgi?file=../../../../etc/motd HTTP/1.1" 404 299 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.2.1) Gecko/20010901" 
24.117.251.37 - - [12/Feb/2004:13:24:44 +0900] "GET /cgi-bin/bad.cgi?file=../../../../etc/motd HTTP/1.1" 404 299 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.2.1) Gecko/20010901" 
24.117.251.37 - - [12/Feb/2004:13:25:05 +0900] "GET /cgi-bin/passwd.cgi?file=../../../../etc/motd HTTP/1.1" 404 302 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.2.1) Gecko/20010901"
24.117.251.37 - - [12/Feb/2004:13:27:43 +0900] "GET /cgi-bin/helloworld?type=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA HTTP/1.1" 404 302 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.2.1) Gecko/20010901"

以下から引っ張ってきてるような気もするが。
http://www.lac.co.jp/security/intelligence/CGISecurity/paper3.html
http://www.cgisecurity.com/papers/fingerprint-port80.txt
あくまでも例だと思うんだけどね。

スキャンスクリプト　 ▲

216.12.210.209 - - [15/Jan/2004:16:53:46 +0900] "GET /cgi-shl/ HTTP/1.0" 404 280 "-" "-"
216.12.210.209 - - [15/Jan/2004:16:53:46 +0900] "GET /cgi-bin/ HTTP/1.0" 403 284 "-" "-"
216.12.210.209 - - [15/Jan/2004:16:53:46 +0900] "GET /cgi-win/ HTTP/1.0" 404 280 "-" "-"
216.12.210.209 - - [15/Jan/2004:16:53:47 +0900] "GET /cgi-dos/ HTTP/1.0" 404 280 "-" "-"

去年の9月にも襲来されたのだが、またまた粘着君がやってきた。前回の404回を上回る704回！
前回は繰り返しを除くと実際にアクセスしようとしたファイルは 219 個だったが、今回は 353 個。確実にリストが充実している。増えているのは ascii コードにしてある分。変更ではなく純増ですな。
それにしてもほんと粘着やなぁ・・・

FTPにそんなことされても・・・　▲

Jan 14 10:26:47 myhost ftpd[20839]: FTPD: command: GET http://www.s3.com HTTP/1.1^M
Jan 14 10:26:47 myhost ftpd[20839]: <--- 500 
Jan 14 10:26:47 myhost ftpd[20839]: 'GET http://www.s3.com HTTP/1.1': command not understood.
Jan 14 10:26:47 myhost ftpd[20839]: FTPD: command: Host: www.s3.com^M
Jan 14 10:26:47 myhost ftpd[20839]: <--- 500 
Jan 14 10:26:47 myhost ftpd[20839]: 'HOST: www.s3.com': command not understood.
Jan 14 10:26:47 myhost ftpd[20839]: FTPD: command: Accept: */*^M
Jan 14 10:26:47 myhost ftpd[20839]: <--- 500 
Jan 14 10:26:47 myhost ftpd[20839]: 'ACCEPT: */*': command not understood.
Jan 14 10:26:47 myhost ftpd[20839]: FTPD: command: Pragma: no-cache^M
Jan 14 10:26:47 myhost ftpd[20839]: <--- 500 
Jan 14 10:26:47 myhost ftpd[20839]: 'PRAGMA: no-cache': command not understood.
Jan 14 10:26:47 myhost ftpd[20839]: FTPD: command: User-Agent: ProxyHunter^M
Jan 14 10:26:47 myhost ftpd[20839]: <--- 500 
Jan 14 10:26:47 myhost ftpd[20839]: 'USER-AGENT: ProxyHunter': command not understood.
Jan 14 10:26:47 myhost ftpd[20839]: FTPD: command: ^M
Jan 14 10:26:47 myhost ftpd[20839]: <--- 500 
Jan 14 10:26:47 myhost ftpd[20839]: '': command not understood.
Jan 14 10:26:47 myhost ftpd[20839]: <--- 221 
Jan 14 10:26:47 myhost ftpd[20839]: You could at least say goodbye.

こんな検索ワードで探さないでください　 ▲

EATcf-527p109.ppp15.odn.ne.jp - - [10/Jan/2004:00:57:24 +0900] "GET /diary_2001/200104.html HTTP/1.0" 200 11315 "http://search.naver.co.jp/search.naver?where=web&query=しかたなく+３Ｐ+友達" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; istb 644; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"

mail.cgi　▲

12.38.79.66 - - [07/Jan/2004:17:06:47 +0900] "POST /cgi-bin/formmail.pl HTTP/1.0" 404 291 "http://spock.genes.nig.ac.jp" "Mozilla/4.06 (Win95; I)"
12.38.79.66 - - [07/Jan/2004:17:06:47 +0900] "POST /cgi-bin/Mail.cgi HTTP/1.0" 404 288 "http://spock.genes.nig.ac.jp" "Mozilla/4.06 (Win95; I)" 
12.38.79.66 - - [07/Jan/2004:17:06:47 +0900] "POST /cgi-bin/FormMail.cgi HTTP/1.0" 404 292 "http://spock.genes.nig.ac.jp" "Mozilla/4.06 (Win95; I)"
12.38.79.66 - - [07/Jan/2004:17:06:47 +0900] "POST /cgi-bin/mail.cgi HTTP/1.0" 404 288 "http://spock.genes.nig.ac.jp" "Mozilla/4.06 (Win95; I)"
12.38.79.66 - - [07/Jan/2004:17:06:50 +0900] "POST /cgi-bin/formmail.cgi HTTP/1.0" 404 292 "http://spock.genes.nig.ac.jp" "Mozilla/4.06 (Win95; I)"

formmail scanner に mail.cgi が追加された。危ないメールプログラムが増えたのか、とりあえず名前を変えて攻撃をやり過ごそうというサイトが増えたのか？
そうは言っても、mail.cgi が追加されたスクリプトが出回っているわけではなく、このＩＰからのみ。
ちなみに初襲来は 2003.12.27 だった。

"LINK / HTTP/1.1"　▲

163.152.159.70 - - [05/Jan/2004:17:41:42 +0900] "HEAD / HTTP/1.1" 200 0 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Win32)" 
163.152.159.70 - - [05/Jan/2004:17:41:42 +0900] "HEAD / HTTP/1.1" 200 0 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Win32)" 
163.152.159.70 - - [05/Jan/2004:17:42:29 +0900] "LINK / HTTP/1.1" 501 337 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Win32)"
163.152.159.70 - - [05/Jan/2004:17:42:39 +0900] "LINK / HTTP/1.1" 501 337 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Win32)"

これって、以前にも書いたけど、懲りることもなくその後もちょくちょく現れる。
HEAD で確認してから LINK を投げてきているということかな？

"OPTIONS / HTTP/1.1"　▲

192.192.90.241 - - [05/Jan/2004:05:13:32 +0900] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.192.90.241 - - [05/Jan/2004:05:14:38 +0900] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.192.90.241 - - [05/Jan/2004:05:16:02 +0900] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.192.90.241 - - [05/Jan/2004:05:17:44 +0900] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"

ほぼ１ー２分間隔で23回。 "OPTIONS / HTTP/1.1" じゃなく、192.192.90.241 で grep した結果なんだけど。

xxx.xxx.xxx.xxx - - [07/Jan/2004:15:06:16 +0900] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
xxx.xxx.xxx.xxx - - [07/Jan/2004:15:06:16 +0900] "PROPFIND /myroot HTTP/1.1" 404 290 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"

XP から samba で繋げると上のようなログになるけど、どうすると PROFIND が出ないログになるのかな？

referrer に "377"　▲

218.227.26.127 - - [05/Dec/2003:16:49:48 +0900] "GET /~ppp/pppdoc-j.html onmousedown=\"return clk(913,this)\" HTTP/1.1" 400 377 "-" "-"
218.227.26.127 - - [05/Dec/2003:16:52:44 +0900] "GET /~ppp/pppdoc-j.html onmousedown=\"return clk(913,this)\" HTTP/1.1" 400 377 "-" "-"
218.227.26.127 - - [05/Dec/2003:16:56:37 +0900] "GET /~ppp/pppdoc-j.html onmousedown=\"return clk(913,this)\" HTTP/1.1" 400 377 "-" "-"

"bookmarks" っていうのがあったから、変な referrer を入れてくるブラウザが他にもあるのかと生ログを見てみるが、それらしいものはない。が、↑こんなのがあった。
原因はおそらく URL フィールドに入っている \"return clk(913,this)\" のバックスラッシュ。ダブルクォートをバックスラッシュでエスケープするなんていうお作法は、URL フィールドではOKなのだろうか？少なくとも webalizer はそんなことは知らないから referrer が１つ前にずれたんだろう。

逆アクセスログランキングを狙った検索エンジンスパム（２）　▲

64.239.138.76 - - [25/Dec/2003:04:52:10 +0900] "GET / HTTP/1.1" 200 1427 "backlinks.seguru.net/?link-popularity" "Mozilla/5.0 (compatible; Konqueror/2.2.2; Linux 2.2.19; i686)"

% grep 64.239.138.76 2003.12.* 2004.01.* | wc
     134    2546   28218
% grep 66.250.131.50 2003.12.* 2004.01.* | wc
    6869  137380 1286650

これってなんだろう？って思っていたら、検索エンジンスパムだったみたい。最近多いです。うちのサイトのログ解析ページでは表示しないようにしてるけど。

64.239.138.76 なアドレスからは http://www.internet-marketing-research.net/?unethical-company こんな感じで、いかにも「検索結果からこちらに飛んできました」みたいにしてますが、
66.250.131.50 なアドレスからは http://www.black-dating.info/ なんの工夫もありません。回数的にはこちらが断然多いです。工夫の無さは回数でカバーということでしょうか？

迷子のinktomi　▲

j3102.inktomisearch.com - - [03/Jan/2004:03:29:02 +0900] "GET /asian-women-singles/pwcollect/lesbiean-thornton.htm HTTP/1.0" 302 210 "-" "Mozilla/5.0 (Slurp/cat; slurp@inktomi.com; http://www.inktomi.com/slurp.html)"

だから、こんなファイル無いってば。うちにあるのは　/unimama/pwcollect.html

I&U Home > うにまま（仮）　・　謎ログの友　・　パスワードコレクション　・　 FormMail Scanners