読者です 読者をやめる 読者になる 読者になる

PHPアプリの脆弱性をつくボット?

php

私が管理しているWebサーバのログに、PHPアプリの脆弱性を狙ってアクセスしてきているらしいボットの形跡がありました。約1秒の間に、以下のURLを連続してGETしています。

/a1b2c3d4e5f6g7h8i9/nonexistentfile.php
/adxmlrpc.php
/adserver/adxmlrpc.php
/phpAdsNew/adxmlrpc.php
/phpadsnew/adxmlrpc.php
/phpads/adxmlrpc.php
/Ads/adxmlrpc.php
/ads/adxmlrpc.php
/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php
/blog/xmlrpc.php
/drupal/xmlrpc.php
/community/xmlrpc.php
/blogs/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogtest/xmlsrv/xmlrpc.php
/b2/xmlsrv/xmlrpc.php
/b2evo/xmlsrv/xmlrpc.php
/wordpress/xmlrpc.php
/phpgroupware/xmlrpc.php

耳になじみのあるアプリケーション名がURLにいくつも含まれていて、そのXML-RPCの受け口をターゲットにしているようです。

src addressは 202.222.31.237・・・って、これ攻撃を受けたWebサーバをホスティングしているさくらインターネットのアドレスブロックじゃないすか。とりあえず報告しておきましょうかね。


一行目が特徴的なURLだったのでググってみたところ、以下のページを見つけました。

最新の異常通信の特徴紹介