/ngen/shrift.php のアクセス
ここ数日で、いくつかのApacheのログに /ngen/shrift.php というのを取りに来ている怪しげなアクセスを見つけた。
さくらのVPSに来たやつ:
188.132.241.132 - - [23/Jul/2013:04:31:00 +0900] "GET /ngen/shrift.php HTTP/1.1" 404 292 "-" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/5.0);(b:2600;c:INT-3360;l:09)"
ググってみたら、実体をよそで拾うことができた。中身を見てみるとフォントファイルのように見える。
$ file shrift.php shrift.php: Embedded OpenType (EOT) $ hexdump -C shrift.php |head 00000000 4a 10 00 00 8e 0f 00 00 02 00 02 00 04 00 00 00 |J...............| 00000010 00 00 00 00 00 00 00 00 00 00 80 00 90 01 00 00 |................| 00000020 08 00 4c 50 01 00 00 00 00 00 00 00 00 00 00 00 |..LP............| 00000030 00 00 00 00 01 00 02 00 00 00 00 00 1c 7a 7e 05 |.............z~.| 00000040 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| 00000050 00 00 10 00 40 00 68 00 73 00 64 00 68 00 68 00 |....@.h.s.d.h.h.| 00000060 61 00 00 00 00 00 10 00 52 00 65 00 67 00 75 00 |a.......R.e.g.u.| 00000070 6c 00 61 00 72 00 00 00 00 00 18 00 56 00 65 00 |l.a.r.......V.e.| 00000080 72 00 73 00 69 00 6f 00 6e 00 20 00 31 00 2e 00 |r.s.i.o.n. .1...| 00000090 30 00 30 00 00 00 0c 00 68 00 73 00 64 00 68 00 |0.0.....h.s.d.h.|
もう少しググってみたら、これはWindowsのTrueType Font脆弱性を突くExploitらしい。なるほどなるほど。
どうやらBlack Hole Exploit Kit(BH EK)で仕込めるExploitだそうだ。/ngen/controlling/london.php というシリーズもあるようで、エクスプロイト食わせたあとにそちらで何かするのかな。しかし何故ロンドン?
と、断片的すぎる情報だけどメモでした。