招かれざる客

投稿者: | 2009年1月24日

あるサーバへのログを見ていて、このところ招かれざる客が紛れ込んでいることに気づいた。問題は起こしていない、と思うんだけど、毎日確実にアクセスしている…。
例えばこんなものが。
GET //errors.php?error=http://www….外部サイト
GET //?mosConfig_absolute_path=http://www….外部サイト
前者は404エラーになっていたから、特にサーバ側で何らかの処理はしていないんだろう、と期待している。問題は後者。200ということだから、無難にアクセスさせた、ということになる。
 PHPあたりの話はよくわからない。それがさらにCMSとなると、各プログラムの中身を理解できていない。ググった範囲では、どうもこの後者のものはJoomlaかmoodleに関連してセキュリティーホールを突きに来たと思われる。ID一番のユーザーのパスワードが書き換えられてしまう、とかいうものも見つかりましたが・・・。
 Joomlaとmoodleについては、試験的に何度かインストールしたことがあるものの、今も継続的に使っているわけではない。ただ、問題はそのプログラムをサーバに置いたままにしている、という点。こういうものを放置していると、セキュリティーホールめがけて色んなものがやって来る、というわけだ。
 今回もログを確認してすぐに関連するファイルを削除した。ついでに放置プログラムも削除した。
 ちなみに、
GET /_vti_bin/owssvr.dll?…
というのはWindows系というか、Web ディスカッション機能を入れたIEでページを開くと付いてしまうログ。たぶん悪さはしていないと思うけど。
 このサーバ本体の管理をしていないので気軽に色んなものを置いてきたが、やはり自分のサーバと同じように確認しておかないといけない・・・。


ちなみに、自分の付けた足跡でUser-Agentを確認すると、Mozilla/4.0の括弧書きの中に
Media Center PC
InfoPath
などと、やたらと色々付いている。Media Center PCなんてのは大学のメディアセンター仕様のIEですか?と勘違いしてしまう。
 そして、Google Chromeで足跡を付けるとMozilla/5.0の括弧書きの中に
AppleWebKit
Safari
といった文字が入っていたり。よくわからん。