TOPに戻る
鬱るんです
躁鬱病のITエンジニア「はまー」が心と体の模様を記した雑記帳。 大手IT企業で心身ともにぼろぼろになり退職した後、ほそぼそと働いたり事業を立ち上げようとして頓挫したり、作業所に通ったり障害者雇用で働いたりと紆余曲折したが、今は無職な毎日。

最近うちのサーバに不正アクセスを試みる輩が多いので、先日罠をしかけて生け捕りにしてやった。

その時はちょっと危ない方法だったが、もっと安全な方法を思いついたので、再び罠をしかけていると、取れる取れる。けっこうな数のbotスクリプトを捕まえてやった。入手元は世界あちこちの国々。全部踏み台にされてるんだろうな。

全部がスクリプトでなく、Excecutableなバイナリもあるのでそれらは解析できないが、その他はシェル、またはPerlのスクリプトである。ざっと見たところ、ポートスキャンをかけたり、ある方法でTLD.jpなサイトを抽出し、ランダムにDoS攻撃をかけたり、という感じ。crontabを書き換えるのもあった。Apacheが動くアカウントではパーミッションがないので無理だけど。

botは痕跡を残さずに立ち去ろうとしているが、スクリプトを実行する際の途中経過や結果に関しては、perlの中でsocket通信を使い、IRCで外部のサーバとやり取りしている。

 

暇つぶしに、もう少し詳しく見てみるか。意外と勉強になるのだ。


コメントする

メールアドレスは公開されません

*は必須項目です