不正アクセストラップの罠にかかったスクリプトを解析している。
まず中国のドメインから不正アクセスされ、このサーバでコマンドを実行している。その最初でルーマニアのサーバからスクリプトを取得している。そしてそのスクリプトの中では香港のサーバが指定されていて、変数名をみるとポルトガル語で書かれている。その後にスクリプトを実行して削除していくのだが、実行するコマンドと削除するコマンドをダミーにしておいたので、生け捕りにできた。
いろんな国が出てくるよ。踏み台だらけなんだろうな。ネットに国籍なし。
しかし、毎日のようにこの攻撃がくるから、わざと罠をしかけていたが、別パターンの攻撃だったら危ないところだった。PCの前に張り付いているときにしかできんな。

待つこと１日。
ついに生け捕りにした。
何を生け捕りにしたかというと、セキュリティホールから不正アクセスを受けたときに、サーバの内部で実行されるスクリプトである。
セキュリティ設定がしっかりしていれば、この不正アクセスはまず一番手前でブロックされる。今回は、それをちょっとだけ開けておいた。そこから攻撃者はこのサーバにスクリプトを送り込み、それを実行し、最後はそのスクリプトを削除する。痕跡を残さずに去っていくのである。
生け捕りにしたのは、そのスクリプトである。スクリプトが送り込まれるところまでをわざと開けておいたのだが、それを実行することも削除することもできないような仕掛けをしておいたのだが、見事に成功した。
かなり長いスクリプトだが、これからじっくり解析してみよう。

昨日から罠をしかけている。
朝イチでログをチェックすると、罠にかかっていた。
よし、と思って獲物を探したが、ない。
別のログをチェックすると、獲物自体がハズレだった。攻撃者の意図してない動作になってエラーになっていた。踏み台を２つも使っているから、こういうややこしいことが起きるのだ。
何をやってるか具体的に書きたいところだが、書くと逆に不正アクセスの方法を晒してしまうことになるので、書けないのがもどかしい。
「当たり」の獲物を再び待つ。

朝から罠をしかけて待っている。
わざとセキュリティ設定を少しだけ甘くして、ずっと獲物を待っている。
今日に限って、危ない不正アクセスはおろか、ただのポートスキャンすらも来ない。そんなものは来てもらってもしかがたないが。
アリジゴクのごとく待つ。

最近、このサーバへの不正アクセス試行が多い。

特殊な監視をしているから見つけることができているが、そうでなければ気がつかないところだ。とりあえず実害はない（ように見える）。

しかし、最近は単なる脆弱性をスキャンしてくるようなものでなく、おそらくrootkitを送り込もうとしているようなものがある。PHPはその辺りが弱いく、PHP狙い撃ちである。

できる限りの対策は講じているのだが、攻撃を弾くだけではなく、ちょっとこの辺りで罠をしかけてみることにした。注意しないと脆弱性を新たに作ってしまうので、慎重に今いろいろ調べたりしながら、罠を作っている。下手して不正アクセスを許してしまうことは避けなければならない。

スクリプトでなんとかなるかと思ってやりだしたが、シェルを介するとどうしても無理がある、ということで、数年ぶりにＣで作っている。しかしまあ、だいぶ忘れてしまっている。頭を使わないと鈍るのが恐ろしく速い。

うまく生け捕りにできるかどうか・・・。