Prev / Next / /home/pochi/ChangeLog

make-rurimap.cgi への攻撃を受けSPAM 発信源となってしまったらしい[computer]

2006-02-16

今朝 AOL から大量のエラーメールが届いた。
普通の SPAM にしては何か変だな、と思ってログを見てみると、
うちのサーバから SPAM が発信されてしまっていたらしい。
げげげ!

原因を調査してみると、昔使っていた日記システム "HNS" の
付属ツールである make-rurimap.cgi へのアクセスが
あった直後に大量のメールが発信されていた。

行なった対処。

- メールサーバの停止
- ステータス確認
- キューの削除。今回は qmHandler を使用。
  場合によっては queue-fast.pl も便利。
- CGI の実行フラグを落とす
  ついでに HNS の使っていない CGI の実行フラグも落とす
- 深呼吸してステータス確認
- メールサーバの再起動

以下のパッチは当たっていて、他にセキュリティホールは
特に見付けられなかったので、、、、

http://www.h14m.org/cgi-bin/official_diary/index.cgi?200009c&to=200009261#200009261

新たなセキュリティバグが発見されたのだな、きっと。
HNS を運用している人は気をつけましょう。

追記)
報告は2004年8月に出てる。でも対処されてるようには見えない。
HNS は捨てたほうが良いかもね。
http://sourceforge.jp/tracker/index.php?func=detail&aid=4826&group_id=511&atid=1993


教訓としてはあたりまえなんだけど、
余計なプログラムは動かさない、ということかしら。
現状、余計なプログラム動きまくってるんだよなあ。
保守できない、保守を頼れない、プログラムも
動かしちゃ駄目よね。
ほとんどのものは ports に頼ってるので、
それなりに保守できているんだけど。。。。

ちなみにウェブサーバのアクセスログを見ると、
make-ruri.cgi へのアクセスは昨日突然発生している。

82.222.64.180 - - [15/Feb/2006:23:25:36 +0900] "POST ...make-rurimap.cgi HTTP/1.1" 302 299 "....." "-"
82.222.64.180 - - [15/Feb/2006:23:25:37 +0900] "POST ...
141.85.37.4 - - [15/Feb/2006:23:25:43 +0900] "POST ....
alece01.teledis.be - - [15/Feb/2006:23:26:31 +0900] "POST ...
82.222.64.180 - - [15/Feb/2006:23:28:19 +0900] "POST ...


多分、これは調査してたんだな。
whois で見ると、トルコからのアクセスらしい。

で、本日の make-rurimap.cgi へのアクセスは以下。
トルコだけじゃなくて、世界中から攻撃されまくってるのがわかる。
スパムの人達ってすごい!。

82.222.64.180 - - [16/Feb/2006:07:35:26 +0900]
222.118.210.32 - - [16/Feb/2006:07:38:28 +0900]
211.113.235.14 - - [16/Feb/2006:07:39:29 +0900]
softbank218130072080.bbtec.net - - [16/Feb/2006:07:40:08 +0900]
212.15.113.90 - - [16/Feb/2006:07:40:17 +0900]
tntproxy.area.trieste.it - - [16/Feb/2006:07:40:33 +0900]
222.118.210.32 - - [16/Feb/2006:07:40:33 +0900]
map131.network49.176.amigo.net.gt - - [16/Feb/2006:07:41:29 +0900]
221.142.245.144 - - [16/Feb/2006:07:41:32 +0900]
203.229.166.155 - - [16/Feb/2006:07:41:53 +0900]
139.223.14.40 - - [16/Feb/2006:07:43:01 +0900]
82.222.64.180 - - [16/Feb/2006:07:43:24 +0900]
202-58-86-5.uitm.edu.my - - [16/Feb/2006:07:44:24 +0900]
msv1.shelldo.jp - - [16/Feb/2006:07:44:30 +0900]
ip-68-178-153-68.ip.secureserver.net - - [16/Feb/2006:07:45:21 +0900]
139.223.14.40 - - [16/Feb/2006:07:46:13 +0900]
proxy-24.swgfl.ifl.net - - [16/Feb/2006:07:46:50 +0900]
203.167.253.98 - - [16/Feb/2006:07:47:01 +0900]
77.slipi-1.colocation.telkom.net.id - - [16/Feb/2006:07:48:01 +0900]
59.6.30.22 - - [16/Feb/2006:07:48:15 +0900]
212.114.209.101 - - [16/Feb/2006:07:55:46 +0900]
218.232.39.115 - - [16/Feb/2006:07:58:04 +0900]
61.39.110.189 - - [16/Feb/2006:08:10:59 +0900]
203.167.253.98 - - [16/Feb/2006:08:47:23 +0900]
82.222.64.180 - - [16/Feb/2006:08:47:29 +0900]
59.13.121.133 - - [16/Feb/2006:09:05:30 +0900]
212.161.126.193 - - [16/Feb/2006:09:05:30 +0900]
212.161.126.193 - - [16/Feb/2006:09:05:43 +0900]
static-70-21-119-6.res.east.verizon.net - - [16/Feb/2006:09:21:58 +0900]
206.244.71.56 - - [16/Feb/2006:09:23:05 +0900]
212.161.126.193 - - [16/Feb/2006:09:42:13 +0900]
203.229.166.155 - - [16/Feb/2006:09:42:50 +0900]
proxy-01.swgfl.ifl.net - - [16/Feb/2006:09:48:05 +0900]
200.45.71.40 - - [16/Feb/2006:10:03:07 +0900]
211.223.58.182 - - [16/Feb/2006:10:23:27 +0900]
220.122.243.210 - - [16/Feb/2006:10:28:20 +0900]
host-64-110-74-244.leuk.ses-americom.net - - [16/Feb/2006:10:45:08 +0900]
host-64-110-74-244.leuk.ses-americom.net - - [16/Feb/2006:10:45:10 +0900]
proxy-01.swgfl.ifl.net - - [16/Feb/2006:11:09:13 +0900]
contenttelepuerto3.racsa.co.cr - - [16/Feb/2006:11:10:00 +0900]
host193-181.pool82189.interbusiness.it - - [16/Feb/2006:11:28:58 +0900]
host193-181.pool82189.interbusiness.it - - [16/Feb/2006:11:29:05 +0900]
msv2.shelldo.jp - - [16/Feb/2006:12:41:47 +0900]
193.219.242.140 - - [16/Feb/2006:12:42:29 +0900]
222.111.189.219 - - [16/Feb/2006:12:48:40 +0900]
82.222.64.180 - - [16/Feb/2006:12:50:28 +0900]
59.13.121.133 - - [16/Feb/2006:12:50:59 +0900]
210.111.45.47 - - [16/Feb/2006:12:51:28 +0900]
200.4.196.122 - - [16/Feb/2006:12:55:23 +0900]
mahiti.in - - [16/Feb/2006:12:56:09 +0900]
tntproxy.area.trieste.it - - [16/Feb/2006:12:56:50 +0900]
59.22.210.227 - - [16/Feb/2006:12:57:02 +0900]
static-70-21-119-6.res.east.verizon.net - - [16/Feb/2006:12:58:26 +0900]
static-70-21-119-6.res.east.verizon.net - - [16/Feb/2006:12:58:32 +0900]
tntproxy.area.trieste.it - - [16/Feb/2006:13:04:38 +0900]
218.25.39.50 - - [16/Feb/2006:13:05:08 +0900]
206.244.71.56 - - [16/Feb/2006:13:05:20 +0900]
193.173.252.10 - - [16/Feb/2006:13:07:25 +0900]
218.232.39.115 - - [16/Feb/2006:13:07:55 +0900]
211.217.251.73 - - [16/Feb/2006:13:11:10 +0900]
218.248.1.13 - - [16/Feb/2006:13:13:37 +0900]
map131.network49.176.amigo.net.gt - - [16/Feb/2006:13:13:55 +0900]
58.234.32.165 - - [16/Feb/2006:13:25:19 +0900]
ip-202-60-234-068.cyberec.com - - [16/Feb/2006:13:39:01 +0900]
.....


追記)
以下にまとめがある。

http://saba.three-a.co.jp/~toku/diary/?200602b&to=200602172#200602172

otsune さんが hns-dev ML に投稿している内容で多分ビンゴ。
log/message-by-user.txt にもそういう記録が残ってるです。

Referrer (Inside): [2006-02-17-1]

permlink