ネットワーク監視について早二ヶ月が立った。しかし、まだまだ覚えることは多くミスもある。
ただ、最近はイベントを見る余裕ができてきたため、*1処理する前に、どんな通信なのかじっくり見るようにしている。
ここ2日前から、AWStatsの脆弱性に対する攻撃イベントが別のイベントと一緒にあがっていることに気づき、ちょっと中身を見てみた。

AWStatsとは、ApacheなどのWebサーバのログ解析ツールのひとつらしい。先輩曰く、海外では使われているようだが、日本で使っているのは学術機関と、一部の物好きぐらいらしい。ちなみにUnix系で動作する。そのため、Windowsの脆弱性ではない。
脆弱性があるバージョンだと、インターネット経由で任意のコマンドを実行されてしまう。管理者権限(root権限)が取れるとも思えないので、Webサーバを動かしているユーザの権限でコマンドが実行できるのだろう。(よく知らない)

昔の攻撃では、脆弱性があるかどうか調べるような挙動しかしていなかった。具体的にはechoコマンドやcdコマンドで、特別問題となるようなものではなかった(気がする)。しかし、最近の攻撃はWgetコマンドを実行し、外部にファイル取りに行く。そしてゲットしたファイルをperlコマンドで実行しようとしているようだ。

私がぱっと見たリクエストなので、分かる人が見ると全然違うのかもしれないが、攻撃の傾向が変わっているのは事実である。

もし、AWStatsを使っている方は、バージョン等を確認した方がいいかも。