最近うちのサーバに不正アクセスを試みる輩が多いので、先日罠をしかけて生け捕りにしてやった。
その時はちょっと危ない方法だったが、もっと安全な方法を思いついたので、再び罠をしかけていると、取れる取れる。けっこうな数のbotスクリプトを捕まえてやった。入手元は世界あちこちの国々。全部踏み台にされてるんだろうな。
全部がスクリプトでなく、Excecutableなバイナリもあるのでそれらは解析できないが、その他はシェル、またはPerlのスクリプトである。ざっと見たところ、ポートスキャンをかけたり、ある方法でTLDが.jpなサイトを抽出し、ランダムにDoS攻撃をかけたり、という感じ。crontabを書き換えるのもあった。Apacheが動くアカウントではパーミッションがないので無理だけど。
botは痕跡を残さずに立ち去ろうとしているが、スクリプトを実行する際の途中経過や結果に関しては、perlの中でsocket通信を使い、IRCで外部のサーバとやり取りしている。
暇つぶしに、もう少し詳しく見てみるか。意外と勉強になるのだ。
