ひとりごと

新しい記事:[1279]  古い記事:[1277] 表示単位 :

ついったー[おとなり日記] かがみさん Y.Kumagaiさん

2004/08/16 (月)

・ 謎POST

しばらく前からなのですが、不定期に しかし連続して下記のような POST リクエストが来ることがあります。
※ あんまり問題ないと思うのでIPアドレスはそのまま載せています

16/Aug/2004:05:43:34 +0900 216-145-226-35.dls.net 404 289 POST /cgi-bin/formmail.pl HTTP/1.0 "http://toriyu.dd.que.ne.jp/" "-"
16/Aug/2004:05:43:45 +0900 65.103.182.5 404 301 POST /cgi-bin/contact.cgi HTTP/1.1 "http://toriyu.dd.que.ne.jp/" "-"
16/Aug/2004:05:44:00 +0900 district.hazelpark.k12.mi.us 404 289 POST /cgi-bin/FormMail.pl HTTP/1.0 "http://toriyu.dd.que.ne.jp/" "-"
16/Aug/2004:05:44:05 +0900 193.129.22.146 404 290 POST /mail.cgi HTTP/1.1 "http://toriyu.dd.que.ne.jp/" "-"
16/Aug/2004:05:44:05 +0900 district.hazelpark.k12.mi.us 404 286 POST /cgi-bin/fmail.pl HTTP/1.0 "http://toriyu.dd.que.ne.jp/" "-"
16/Aug/2004:05:44:07 +0900 200.48.218.178 200 0 POST /cgi-bin/form.cgi HTTP/1.0 "http://toriyu.dd.que.ne.jp/" "-"

ファイル名と挙動から察するに、どこかのWWWサーバに設置してあるメール送信CGIを利用して踏み台経由で spam メールを送付したがってるのでしょうか? うちのサーバにはメール送信スクリプトはありませんが、何をしているのか気になるので 捕捉用スクリプトを置いてみました。

#!/usr/local/bin/php
<?php
$fp = fopen("/tmp/postattack","a");
if (!$fp) exit;
fputs($fp,"- - - - - - - -\n" . date("r") . "\n");
foreach($_SERVER as $key=>$val) {
  fputs($fp,">$key=$val\n");
}
$post = `cat`;
fputs($fp,"$post\n");
fclose($fp);
echo "Content-type: text/plain\n\n";
?>
これで補足できたのが下記の内容
realname =
From: 5wudrem@toriyu.dd.que.ne.jp
To: sohardtopicksn@aol.com
Subject: vlWV m zgqcu tomentulose Jamie OWHN Amphidamas anaesthesiology Copperh
eadism's

9kcyy9 RohZefWVjoieqT AFI 8lyLAtr gtfhe42 y2KqAJl4 PFes2i ppqj0 5ea al5 h V jkAzToavFDd

.


Company = uld2mem@toriyu.dd.que.ne.jp

ン? なんですか、これは?? spamではなさそうですが・・・。スパイウェアがデータを暗号化して送ってるのかな? よくわかんないので Google に聞いてみると、 To: のユーザ名で引くとこんな感じで出てきました。ほほぉ、掲示板に書き込まれてる例がたくさんあるのですな。日本語ページではなく「ウェブ全体から検索」だとさらに多くのページがヒットします。さて、これは『掲示板をターゲットにしたPOST』なのか『メールを送りたかったのだけれど偶然掲示板に書き込まれてしまった』のかどうなんでしょうね。スパイウェアのデータを回収するのであれば前者のほうが安全ですから考えられなくもないのですが。

いずれにせよ、ありきたりのCGI 特にメールの宛先を自由に指定できるものを使うときは注意する必要がありそうです。

[つっこみ]

新しい記事:[1279]  古い記事:[1277] 表示単位 :
※このページへのリンクは自由です。リンクの方法については[つっこみ]で表示されるページの最後をごらんください。
たかたに(takatani@mars.dti.ne.jp)