■ NOW HERE ■

最近流行の？挙動不審なスクリプト？

• floating_ices
• 12:30
• コメントする
• トラックバックする
• カテゴリー:鯖

この前の記事あたりに「最終回」とか書いてあるので
（；･∀･）ウェア？　ってなってる人も居るかも知れませんが、
よく見てもらえば判るように、
霧乃さんのポッドキャストが外部に移っただけなので　
以下、何事もなかったかのように再開　って感じでｗ

恐らく２～３日前からなのだが、
アクセスログ（自動的に記録されてる）の中に
どう考えてもオカシイ、目的不明な、
ただの情報収集用ロボットではない妙なヤツの痕跡を発見。

どういう風におかしいかというと、

GET /***/index.php?http://～（見知らぬURLその1）
GET /***/index.php?http://～（見知らぬURLその2）
　　：以下同様に延々と十数行
　　：
GET /***/index.php?plugin=http://～（見知らぬURLその53）
GET /***/index.php?plugin=http://～（見知らぬURLその54）
　　：以下同様に延々と十数行
　　：
GET /***/index.php?plugin=attach&pcmd=http://～（見知らぬURLその79）
GET /***/index.php?plugin=attach&pcmd=http://～（見知らぬURLその80）
　　：以下同様に延々と十数行
　　：
GET /***/index.php?cmd=http://～（見知らぬURLその111）
　　：以下同様に延々と十数行
　　：
GET /***/read.cgi?bbs=http://～（見知らぬURLその145）
GET /***/read.cgi?bbs=http://～（見知らぬURLその146）
　　：以下同様に延々と十数行
　　：

こんなことを延々繰り返しているのである。
# ちなみに「その??」って数字は適当につけたｗ

要するに、wikiやbbs等cgiの類で
後ろにURL変数がついているものを探しては、
そのURL変数を「手持ちのURL」に書き換えてアクセスしている形。
これで、鯖側が 403 や 404 を返していれば
相手も無駄だと気付いてそのうち諦めるだろうが、
この形だと（cgi自体は既に存在しているものなので）
Forbidden にも Not Found にもならない罠。

鯖に余計な負荷が掛かるだけでも迷惑千万なので
勿論、当該ホストは見つけ次第 Deny リストに追加しておいたが

???.bzhtec.com＝フランス
???.tunedweb.com＝ＵＳＡ
???.123-serv.co.uk＝ＵＫ
???.hamtec.de＝ドイツ

いまのところ、こんな風にアクセス元に統一性もなく、実にイヤな感じだ。

URL変数に入れられている『見知らぬURL』は、
主にヨーロッパ圏な感じで .jp のものは今のところ一つもナシ。
腹が立つのでリファラが出ないようにして二・三アクセスしてみたが、
いずれも　<?php echo md5("just_a_test");?>
と一行出るだけのゴミページ。まさにゴミ。

そんなくだらないtestとやらで他所様の鯖に負荷掛けんじゃねぇ！

==
% この件についての情報募集中です。
% 何かご存知の方はコメント or トップページ左下のメールフォームからお知らせください。