PHPアプリの脆弱性をつくボット?
私が管理しているWebサーバのログに、PHPアプリの脆弱性を狙ってアクセスしてきているらしいボットの形跡がありました。約1秒の間に、以下のURLを連続してGETしています。
/a1b2c3d4e5f6g7h8i9/nonexistentfile.php
/adxmlrpc.php
/adserver/adxmlrpc.php
/phpAdsNew/adxmlrpc.php
/phpadsnew/adxmlrpc.php
/phpads/adxmlrpc.php
/Ads/adxmlrpc.php
/ads/adxmlrpc.php
/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php
/blog/xmlrpc.php
/drupal/xmlrpc.php
/community/xmlrpc.php
/blogs/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogtest/xmlsrv/xmlrpc.php
/b2/xmlsrv/xmlrpc.php
/b2evo/xmlsrv/xmlrpc.php
/wordpress/xmlrpc.php
/phpgroupware/xmlrpc.php
耳になじみのあるアプリケーション名がURLにいくつも含まれていて、そのXML-RPCの受け口をターゲットにしているようです。
src addressは 202.222.31.237・・・って、これ攻撃を受けたWebサーバをホスティングしているさくらインターネットのアドレスブロックじゃないすか。とりあえず報告しておきましょうかね。
一行目が特徴的なURLだったのでググってみたところ、以下のページを見つけました。
