能のあるワーム

一般人のアクセスを装ったワームである。毎日3~4回、同じファイル(下記の3個)ばかりにやってくる。それらのファイルは見ても意味のないものである。これが数週間続くと、もう完璧に一般人のアクセスではないことがわかる。単発ワーム(数の上ではこれが圧倒的に多い)は気にならないが、こういう定期的なものは気になる。

LOG
202.32.209.252 - - [15/Apr/2019:10:37:46 0900] "GET /tavern/sjk/sjk.html HTTP/1.1" 200 630 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0"
202.32.209.252 - - [15/Apr/2019:10:37:46 0900] "GET /tavern/sjk/img/saijiki.gif HTTP/1.1" 200 2461 "http://www.mermaid-tavern.com/tavern/sjk/sjk.html" "Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0"
202.32.209.252 - - [15/Apr/2019:10:37:46 0900] "GET /tavern/img/mbt.gif HTTP/1.1" 200 86 "http://www.mermaid-tavern.com/tavern/sjk/sjk.html" "Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0"
ゴミ・ワームである。
このワームには特徴が2つある。
  1. 202.32.209.252
    固定IPアドレスである。ワームだから「まっとうな」ものではない。偽装である。しかし、常にこのIPアドレスだというのは特徴の一つである。
  2. Firefox/52.0
    ユーザー・エージェント(ブラウザ情報)で「Firefox/52.0」は珍しい。これも特徴の一つに数えてよい。
これらを利用して、このワームにちょっと「いやがらせ」をしてみよう。幸いに、IPアドレスが固定しているワームだから細工がしやすい。これに対して前半固定タイプの場合は無関係の他者を巻き込む危険があるが、このような全面固定タイプの場合はその危険性はない。
ただし、それができるかどうかは実際にやってみないとわからない。


特定のIPアドレスを排除

どこか別のところに飛ばす(たぶんYahoo!)。もちろん、このIPアドレス以外からのアクセスの場合は正常に表示されることはいうまでもない。
これを実行しているのが下記のdust_ip.cgi(ゴミのIPアドレスという含み)である。
LOG
202.32.209.252 - - [19/Apr/2019:16:24:47 +0900] "GET /tavern/sjk/sjk.html HTTP/1.1" 200 186 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0"
202.32.209.252 - - [19/Apr/2019:16:24:47 +0900] "GET /cgi-bin/perl/dust_ip.cgi HTTP/1.1" 302 242 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0"
どこかへ飛んで行ったようである(以後のアクセスがない)。
これをした後、それから丸一日が経過した。その間にこのワームはやってこなかった。それ以後もない。これは、こちら側の対応を察知して動作を切り替える、そんな「能のあるワーム」だったようである。これがわかれば、もうこんな細工は不要である。元に戻すのがいいだろう。以前の状態(こういう細工前)に戻した。


特定のユーザーエージェントを排除

そうしてしばらくしたら、またくるようになった。さすがダニである。いわゆる「いたちごっこ」である。
今度は別のパターンの実験に使おう。ユーザーエージェントが「X11; Linux x86_64」や「Gecko/20100101」になっているアクセスはこのダニ以外にも結構ある(普通のものである)。しかし、「Firefox/52.0」というのは今のところこのダニだけである。
どこか別のところに飛ばす(たぶんGoogle)。もちろん、「Firefox/52.0」以外のブラウザのアクセスの場合は正常に表示されることはいうまでもない。
これを実行しているのが下記のdust_ua.cgi(ゴミのユーザーエージェントという含み)である。
LOG
202.32.209.252 - - [22/Apr/2019:16:48:15 +0900] "GET /tavern/sjk/sjk.html HTTP/1.1" 200 186 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0"
202.32.209.252 - - [22/Apr/2019:16:48:15 +0900] "GET /cgi-bin/perl/dust_ua.cgi HTTP/1.1" 302 244 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0"
どこかへ飛んで行ったようである(以後のアクセスがない)。
これは当分このままにしておくのがいいだろう。こんなワームは放置しておいても別に害はないもので、そう長く続くことはない。しかし、昔のツール(*.cgi)の動作確認には便利に使える。その程度の「使い道」はあるようである。

- 2019/04/22 -


参考
このワームの動きのその後(a1)