2006年02月17日 20:09 by AzureStone

自分はVine Linux3.1で自宅サーバーをやっております。
この度Apacheのアクセスログに

**.***.***.* - - [05/Feb/2006:17:01:18 +0900] "POST /xmlrpc.php HTTP/1.1" 200 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
**.***.***.* - - [05/Feb/2006:17:01:20 +0900] "POST /blog/xmlrpc.php HTTP/1.1" 200 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
**.***.***.* - - [05/Feb/2006:17:01:24 +0900] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 200 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

とPHPの脆弱性を突くリクエストをすんなりと通すという不吉なログを発見しました。しかし実害が発見できません。Webページの改ざんも見当たらず、毎日netstatコマンドによるポート開閉状況とpsコマンドによるプロセスの稼働状況を確認しているのですが全く異常が見られず(だから一週間前の出来事を今まで見逃したわけですが)…そのnetstatやpsも改ざんがないことを今回確認しましたし。

そしてその後においては同種のリクエストが

**.***.**.*** - - [10/Feb/2006:03:49:58 +0900] "POST /xmlrpc.php HTTP/1.1" 404 1530 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
**.***.**.*** - - [10/Feb/2006:03:50:00 +0900] "POST /blog/xmlrpc.php HTTP/1.1" 404 1530 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
**.***.**.*** - - [10/Feb/2006:03:50:05 +0900] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 1530 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

と正常に処理されています。
これはどう対処すれば良いのでしょうか?大至急運用停止すべき?ご教示よろしくお願いいたします。

1: AzureStone : 2006-02-13 13:03
こんばんわ、Kaney様
お久しぶりです、AzureStoneです

> 自分はVine Linux3.1で自宅サーバーをやっております。
> この度Apacheのアクセスログに

リスト壱:
> **.***.***.* - - [05/Feb/2006:17:01:18 +0900] "POST /xmlrpc.php HTTP/1.1" 200 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
> **.***.***.* - - [05/Feb/2006:17:01:20 +0900] "POST /blog/xmlrpc.php HTTP/1.1" 200 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
> **.***.***.* - - [05/Feb/2006:17:01:24 +0900] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 200 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

> とPHPの脆弱性を突くリクエストをすんなりと通すという
> 不吉なログを発見しました。しかし実害が発見できません。
> Webページの改ざんも見当たらず、毎日netstatコマンドに
> よるポート開閉状況とpsコマンドによるプロセスの稼働状況を
> 確認しているのですが全く異常が見られず
> (だから一週間前の出来事を今まで見逃したわけですが)…
> そのnetstatやpsも改ざんがないことを今回確認しましたし。

そしてその後においては同種のリクエストが

リスト弐:
> **.***.**.*** - - [10/Feb/2006:03:49:58 +0900] "POST /xmlrpc.php HTTP/1.1" 404 1530 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
> **.***.**.*** - - [10/Feb/2006:03:50:00 +0900] "POST /blog/xmlrpc.php HTTP/1.1" 404 1530 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
> **.***.**.*** - - [10/Feb/2006:03:50:05 +0900] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 1530 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

> と正常に処理されています。
正常の意味が、理解できないのですが、リスト弐は、HTTPのステータスコード404を
返してるので、正常に処理されてないのではないでしょうか?

ファイルが存在して初めて正常に処理されたと思うのですが。。。

それよりも気になったのが、リスト壱では一応該当のファイルは存在していたが
リスト弐では、該当ファイルが存在すらしていないことの方が気になります。

Kaneyさんが、アクセスログに気づき意図的に削除されたのか
それとも(ry

> これはどう対処すれば良いのでしょうか?
> 大至急運用停止すべき?
> ご教示よろしくお願いいたします。
どう見ても情報が不足してます。

1:
 対象サーバに対してPHPをインストールしてるかしてないかを明記する必要あり

2:
 対象サーバにインストールしているPHPのバージョンを明記する必要あり

3:
 どうしても気になるのであればxmlrpc.phpに飛んでくるリクエストを取得する用
 にPHPを改造。


ちなみに、説明してさせて頂きますと上記のログは、以下の2つの可能性があります。


壱:本当にPHPの脆弱性をついてる
弐:該当のblogに対してトラックバックスパムを打ちこもうとしてる

のどちらかではないでしょうか?
2: 口コミさん : 2006-02-13 14:06
ウイルスの仕業らしいですよ。

http://www.mcafee.com/japan/security/virL2005.asp?v=Linux/Lupper.worm

ウチにも同様のアクセスはきますが、Not Found になっています。
3: 口コミさん : 2006-02-14 00:06
>AzureStoneさん

すみません。いやはや技術系コミュでの質問の仕方って難しい…(><)
えっとPHPはVineLinux3.x収録の5.1.2がインストールされています。しかしながらスクリプトは自作のものを自分設置のディレクトリに入れているだけでブログツールなどをインストールしているわけではないので当該スクリプトファイルは最初から存在してないわけです。
従ってリスト弐のようにNot Foundで弾くというのが「正常」という事になります。それで安心していたらこの度リスト壱を発見してこれはもしややられたのか???と心配してここへ投げたというわけです。

>ぽこちゃんさん

情報ありがとうございます。同ページの

>以下の症状が見られる場合、このウイルスに感染している可能性があります。

の症状はなかったです。

スレッド一覧

043:はじめまして 043:SELinuxのポリシーの修正についてです。 急成長中のベンチャー企業で働いてみたいとおもいませんか?! 065:冷却方法 067:サーバーダウン→504エラー 玄人箱に関して 052:DNSサーバーは僕が憎いに違いない ■ 単発質問コーナー 基本すぎてすみません・・・。 079:NICドライバのインストールまたは認識について 069:初めまして PHPスクリプトでメールが送信できません。 061:linux os のアンインストール方法 063:linux os アンインストール 方法(再度no付け) 056: ドメインとホスト名について。 055:mod_layoutで動的フッターを挿入 044:イントラで2つのサイト 031:パティションどうきっています? 019:mixiのようなサイトを作れる方募集!! 014:500人、超えないかなぁ〜 066:サーバーに適したマザーボード dd dumpを使ってのバックアップ、restoreについて。 012:初心者におすすめのLinuxは? 077:よろしくです 078: Web サイトが携帯電話から見られない 062:webmaster だけがメールを受け付けない 057:ご質問〜windows領域削除方法〜 053:安いサーバ情報・・・。 037:データベース認証について 029:Apacheに異常アクセスログ 017:おすすめのUPSは? 009:お勧めの無料DDNSサービスは? 002:White Box Enterprise Linux 3.0について 0023:初心者です、よろしくお願い致します。ubuntu ☆教えて☆Linuxをマスターしたい CentOS 5 i386インストール時のトラブル こんなlogがでてるんですが・・・ 初心者です。 MySQLのアップグレードについて xdm/KDE ログオフ時にスクリプトを走らせたい 086:webツール(便利ツール等) 072:AMD VS Intel とりあえずDBサーバを自鯖にしてみたいのですが 060:Squidの設定-&gt;DNSエラー 041:【Linux】apacheで複数サイト作成したいのですが・・・ 022:LINUXのDistribution 023:初心者ですみません。。。Fedora Core3 013:vsftpdのchroot設定について 001:DynamicDNS様、様々〜笑 【愛知、常駐プログラマ募集】 064 : vsftpdで外付けHDDを公開する方法を教えてください。 038:sambaで共有できません・・・ knoppixでサーバーを構築しました。 010:お勧めの書籍は? 028:自作か購入か… 064:CPU使用率が高いきが・・・ 054:マシンが一台しかなくてもお金がなくても・・・。 032:(;´Д`)え、かなり増えてきている… 025:ipnuts の新バージョンでました。 【求人】港区でのお仕事です【時給1700円以上】 007:おすすめ固定IP 1、ダイレクトEメールを送りたい ソフトウェアレイドについて。 053: 譲ります 085:覚えておきたいコマンド 070:ファイルをアップしても0kbになる 068:精神対策(堕ちない自鯖) アクセスが無いけどトラフィックがある 自鯖が止まる理由 034:pop3が利用できません 059:500 Can&#039;t connect to www.google.co.jp:80 (Bad hostname &#039;www.google.co.jp&#039;) 048:サブドメイン転送処理の賢い方法 045:sambaが見えません。 040:はじめまして 030:Linuxの情報入手、勉強方法 011:CentOS5.7で自宅サーバで外部公開に失敗します。 Postfix メールサーバー 自宅サーバ 必見!あのDCDが来日!! 001:自宅の様子を写真をw 080: DMZの構築方法 profixでバーチャルサーバ 081:Xウィンドウが起動しない(GNOME) 075:サブドメインとIPアドレス ローカル接続のDB 韓国固定IP , 韓国からのDNSが 必要なら 連絡ください。 はじめまして! 質問 Perl cpan2rpmのインストール/使用方法 新品のサーバが¥14,800から( ・_・;) サーバーにメッセージ多発 ルーセント・グローバル、Linuxガジェット開発を促進へ 自宅サーバ公開方法 084:OSは64bitか32bitか 071:サーバ用の部品 066:自鯖が止まる理由改 047:ディレクトリによって使われるphp.iniを変える的な動作をしたい 035:RAID 033:アクセスログ検索スクリプトってないですか? 026:CGIファイルの関連づけ 016:結構前からあった、自鯖ML 004:(;´Д`)え、微妙に増えてきている… 【愛知、常駐プログラマ募集】 httpサーバを作りたい。サーバマシンがネットワークにつながらない問題 066:CentOSでの仮想化について教えてください〜  067:サーバーを1週間ダウンさせてしまいました。 015:使用ディストリビューション 073:おすすめルータ 076:ダイナミックDNS下で2台のホスト名にアクセスする方法 067:回線対策(落ちない自鯖) メールサーバーコミュを立ち上げました ディレクトリの破損!? perlバスについて質問 056:biglobeから中継サーバについて 042:Bフレッツ(or ADSL)マルチセッションでセカンダリDNS 018:X端末エミュレータ 005:自鯖でも、お手軽安く使える独自ドメイン Yahoo画面、あざむきかた知ってる方、ご連絡お待ちします。 064: 帯域制限のないプロバイダ 質問です。 OPENsshのセキュリティーについて 082:外付けHDD増設の手法と機器 074:おすすめOS 他人のADSLモデムに!! 039:Apacheの設定 050:メール受信をスイッチにしてPHPを起動させるサイト 036:割り当てるグローバルIPについて 008:White Box Enterprise Linux ML 正式版稼働報告! グリー携帯無限認証 どなたかご自宅で教えていただけませんか 003:哲学?持論? ネットワークインストールについて 083:Squidの設定について 011:よろしくおねがいします。 058:Sambaで転送したファイルが表示されない 051:SPAMフィルターの構築について [bsfilter&#043;MeCab] 049:今までのトピックのサマリー 046:ドメインのname serverの変更 029:TCPIPの勉強 027:Yahoo!BBの場合の設定について 020:DICEの質問 006:ClientOSにLinuxを使用し始める。

サイト内検索