2015年12月17日木曜日

Nginxとアタック

さいきんこっそりNginxを使いはじめた.
すると,アクセスログをみるといろいろなお客さんが居ることに気がついてちょっと面白かったのでメモ.

ひとつめ.ひたすら/admin/phpmyadmin/...とかにアクセスしようとするヤツ.
アクセス元のIPアドレスは中国からだった.
どうやらMorfeus F*cking ScannerとかいうPHPの脆弱性スキャナがあるらしい.
他にも同様のスキャナにZmEuとかもあるようだ.

ふたつめ./cgi-bin/env.cgiに対してGETをしようとして,リクエストの中身がperlを叩きに行こうとしてたりあからさまにOSコマンドインジェクション狙ってそうなやつ.
これはTrojan.Perl.Shellbot-2というトロイウィルスらしい.
http://psychoid.usというURLにwgetをして更なるウィルスのDLを目論んでいたようだ.
アクセス元はオランダ.

どちらも,私の環境だと不発で終わりなので問題はナシ.

GeoIPで特定のお国を弾くとか,UAで弾くとか,やれる事はありそうだけど,
UA偽装されてるとつらいしIPで特定の国を弾くとかやりすぎると閲覧できる人が限られてしまって苦しいところ.今は個人的にしか使ってないからIPで国をJPだけにとかで何も困ってないけど,ブログとかのコンテンツを置くようになったらどうするべきなんでしょ.