/ngen/shrift.php のアクセス

ここ数日で、いくつかのApacheのログに /ngen/shrift.php というのを取りに来ている怪しげなアクセスを見つけた。

さくらのVPSに来たやつ:

188.132.241.132 - - [23/Jul/2013:04:31:00 +0900] "GET /ngen/shrift.php HTTP/1.1" 404 292 "-" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/5.0);(b:2600;c:INT-3360;l:09)"

ググってみたら、実体をよそで拾うことができた。中身を見てみるとフォントファイルのように見える。

$ file shrift.php
shrift.php: Embedded OpenType (EOT)
$ hexdump -C shrift.php |head
00000000  4a 10 00 00 8e 0f 00 00  02 00 02 00 04 00 00 00  |J...............|
00000010  00 00 00 00 00 00 00 00  00 00 80 00 90 01 00 00  |................|
00000020  08 00 4c 50 01 00 00 00  00 00 00 00 00 00 00 00  |..LP............|
00000030  00 00 00 00 01 00 02 00  00 00 00 00 1c 7a 7e 05  |.............z~.|
00000040  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000050  00 00 10 00 40 00 68 00  73 00 64 00 68 00 68 00  |....@.h.s.d.h.h.|
00000060  61 00 00 00 00 00 10 00  52 00 65 00 67 00 75 00  |a.......R.e.g.u.|
00000070  6c 00 61 00 72 00 00 00  00 00 18 00 56 00 65 00  |l.a.r.......V.e.|
00000080  72 00 73 00 69 00 6f 00  6e 00 20 00 31 00 2e 00  |r.s.i.o.n. .1...|
00000090  30 00 30 00 00 00 0c 00  68 00 73 00 64 00 68 00  |0.0.....h.s.d.h.|

もう少しググってみたら、これはWindowsのTrueType Font脆弱性を突くExploitらしい。なるほどなるほど。

どうやらBlack Hole Exploit Kit(BH EK)で仕込めるExploitだそうだ。/ngen/controlling/london.php というシリーズもあるようで、エクスプロイト食わせたあとにそちらで何かするのかな。しかし何故ロンドン?

と、断片的すぎる情報だけどメモでした。