笑えるのは最初だけ

こんな検索キーワードがある。これだけを見ていると、猫も杓子もパソコン(ワープロ)を使うようになった時代を象徴するパターン、いわゆる「変換ミス」だと笑ってすましてしまうところである。
LOG
115.176.22.140 [11/Mar/2013:23:17:23] 緩和 通過 買われる
昨今の金融緩和の流れで、「通過 買われる」は「通貨 買われる」の間違いであろう。

しかし、このパターンが延々と続いてくると、これはそんなに暢気に笑っている場合ではないようである。

このパターンのアクセスはほぼ朝夕2回、定期的にやってくる。IPアドレスはすべて異なるがキーワードはまったく同じである。これはIPアドレスを偽装したワームであると断定していいだろう。
LOG
124.27.141.235 [29/Mar/2013:08:35:12] 緩和 通過 買われる
さて、このアクセス。なにか特徴はないかと見てみると、User Agentのブラウザに特徴があるようである。すべての場合について、次のようになっている。
ワーム
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/536.26.17 (KHTML, like Gecko) Version/6.0.2 Safari/536.26.17

どうやら、「Macintosh」に特徴がありそうである。そこで、ここ3ヶ月間でこのファイル(dt4_0018.html)にアクセスしたパターンを調べると、正常なアクセスでUser Agentに「Macintosh」が入っていたものは2件あった。
「Macintosh」という文字列が入っているアクセスをシャットアウトすることにすると、こういうマトモなものも遮断してしまうことになる。
LOG
125.54.220.121 [18/Feb/2013:21:09:20] 金融緩和量、通貨の価値
124.214.111.36 [14/Jan/2013:18:50:48] 金融緩和 通貨高 になる
この2つのUser Agentは次のようになっている。
正常なもの
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_2) AppleWebKit/536.26.17 (KHTML, like Gecko) Version/6.0.2 Safari/536.26.17 (これは125.54.220.121のもの)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.7 Safari/534.57.2 (これは124.214.111.36のもの)
特に、「125.54.220.121」のブラウザは、ワームのものとほとんど同じである。「Mac OS X」のバージョンが異なっているだけである。

となると、このワームを遮断するには「10_7_5」の有無で判断するしかないようである。確定しているものの中での差異はここしかない。
  1. まずこのファイルにアクセスしてきたらチェックルーチンに飛ばす。
  2. そこでUser Agentを調べて「10_7_5」があればこのワームのアクセスとする。
  3. その語がなければ普通のアクセスとする。
  4. ワームの場合はGoogleに飛ばす。普通のアクセスの場合は本来のファイルを表示する。
これは特定のUser Agentを排除するというパターンである。これで飛ばないワームが過去何件かあった。これが動作するか確認ができるのはワームが実際にやってきた時しかない(笑)。さて、明日どうなっているか。


さて、この「通過」ワームはめでたくGoogleへ飛んで行ったようである。このワーム。多少の時間のずれはあるが朝夕2回くるから、明日をまつまでもなくこの日のうちに動作は確認できたようである。

- 2013/03/29 -







特定のリンクからのアクセスの排除方法(perl_6034)
特定のIPアドレスからのアクセスの排除方法(perl_6035)
特定のUser Agentからのアクセスの排除方法(perl_6031)