待つこと１日。
ついに生け捕りにした。
何を生け捕りにしたかというと、セキュリティホールから不正アクセスを受けたときに、サーバの内部で実行されるスクリプトである。
セキュリティ設定がしっかりしていれば、この不正アクセスはまず一番手前でブロックされる。今回は、それをちょっとだけ開けておいた。そこから攻撃者はこのサーバにスクリプトを送り込み、それを実行し、最後はそのスクリプトを削除する。痕跡を残さずに去っていくのである。
生け捕りにしたのは、そのスクリプトである。スクリプトが送り込まれるところまでをわざと開けておいたのだが、それを実行することも削除することもできないような仕掛けをしておいたのだが、見事に成功した。
かなり長いスクリプトだが、これからじっくり解析してみよう。

昨日から罠をしかけている。
朝イチでログをチェックすると、罠にかかっていた。
よし、と思って獲物を探したが、ない。
別のログをチェックすると、獲物自体がハズレだった。攻撃者の意図してない動作になってエラーになっていた。踏み台を２つも使っているから、こういうややこしいことが起きるのだ。
何をやってるか具体的に書きたいところだが、書くと逆に不正アクセスの方法を晒してしまうことになるので、書けないのがもどかしい。
「当たり」の獲物を再び待つ。