いつものようにawstatsの結果を見ていると妙にアクセスが爆発している。何事かとアクセスログを見てみると、
202.3.141.134 - - [15/Mar/2013:20:57:37 +0900] "GET /muieblackcat HTTP/1.1" 404 210 "-" "-"
202.3.141.134 - - [15/Mar/2013:20:57:37 +0900] "GET //%0D/scripts/setup.php HTTP/1.1" 404 217 "-" "-"
202.3.141.134 - - [15/Mar/2013:20:57:37 +0900] "GET //3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "-"
202.3.141.134 - - [15/Mar/2013:20:57:37 +0900] "GET //81/phpmyadmin/scripts/setup.php HTTP/1.1" 404 229 "-" "-"
202.3.141.134 - - [15/Mar/2013:20:57:37 +0900] "GET //Admin/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 232 "-" "-"
202.3.141.134 - - [15/Mar/2013:20:57:37 +0900] "GET //Admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "-"
202.3.141.134 - - [15/Mar/2013:20:57:37 +0900] "GET //Admin/scripts/setup.php HTTP/1.1" 404 221 "-" "-"
202.3.141.134 - - [15/Mar/2013:20:57:37 +0900] "GET //PMA2/scripts/setup.php HTTP/1.1" 404 220 "-" "-"
202.3.141.134 - - [15/Mar/2013:20:57:37 +0900] "GET //PMA2005/scripts/setup.php HTTP/1.1" 404 223 "-" "-"
ってなのが延々と出ている。こりゃ誰じゃ?と調べてみた。
macbookair:~ chitto$ host 202.3.141.134
134.141.3.202.in-addr.arpa domain name pointer www2.dpa.or.jp.
macbookair:~ chitto$ host www2.dpa.or.jp
Host www2.dpa.or.jp not found: 3(NXDOMAIN)
DNSの逆引きだけがあるというよくわからない状態。更に引いてみると、
macbookair:~ chitto$ whois dpa.or.jp | nkf -u
[ JPRS database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e' ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'. ]
Domain Information: [ドメイン情報]
a. [ドメイン名] DPA.OR.JP
e. [そしきめい] しゃだんほうじんでじたるほうそうすいしんきょうかい
f. [組織名] 社団法人デジタル放送推進協会
g. [Organization] The Association for Promotion of Digital Broadcasting
k. [組織種別] 社団法人
l. [Organization Type] aggregate corporation
m. [登録担当者] AS8834JP
n. [技術連絡担当者] MI8523JP
p. [ネームサーバ] nsx.clara.co.jp
p. [ネームサーバ] s15.clara.co.jp
s. [署名鍵]
[状態] Connected (2013/12/31)
[登録年月日] 2006/12/21
[接続年月日] 2006/12/21
[最終更新] 2013/01/01 01:43:53 (JST)
うーむ、IPアドレスを騙られるてるんではなかろうか、と思いもう少し突っ込んでみる。
macbookair:~ chitto$ nmap 202.3.141.134
Starting Nmap 6.01 ( http://nmap.org ) at 2013-03-15 22:47 JST
Nmap scan report for www2.dpa.or.jp (202.3.141.134)
Host is up (0.073s latency).
Not shown: 544 filtered ports, 446 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
8080/tcp open http-proxy
Nmap done: 1 IP address (1 host up) scanned in 3.19 seconds
mysqlとかhttp-proxyなんてのが開いてるが大丈夫かいな?と思いつつhttpが開いてるようなのでとりあえずブラウザでアクセスしてみる。
なんか変なレイアウトだが、コンテンツはそれっぽい。リンク先にも本物っぽいコンテンツが続いてるので、以前に本物として公開していたサーバーを他所に持っていった後の残骸が中途半端な状態で残されているものと推定。
そんな放ったらかしサーバーが誰かにやられてBotを仕込まれた挙句、他のサーバーをやるための踏み台にされてるのではなかろうか。
というわけで、使わなくなったサーバーはきちんと仕舞っておかないと廻り回って桶屋が儲かってしまうというお話。