待つこと1日。
ついに生け捕りにした。
何を生け捕りにしたかというと、セキュリティホールから不正アクセスを受けたときに、サーバの内部で実行されるスクリプトである。
セキュリティ設定がしっかりしていれば、この不正アクセスはまず一番手前でブロックされる。今回は、それをちょっとだけ開けておいた。そこから攻撃者はこのサーバにスクリプトを送り込み、それを実行し、最後はそのスクリプトを削除する。痕跡を残さずに去っていくのである。
生け捕りにしたのは、そのスクリプトである。スクリプトが送り込まれるところまでをわざと開けておいたのだが、それを実行することも削除することもできないような仕掛けをしておいたのだが、見事に成功した。
かなり長いスクリプトだが、これからじっくり解析してみよう。
捕まえた!
ハズレだった
昨日から罠をしかけている。
朝イチでログをチェックすると、罠にかかっていた。
よし、と思って獲物を探したが、ない。
別のログをチェックすると、獲物自体がハズレだった。攻撃者の意図してない動作になってエラーになっていた。踏み台を2つも使っているから、こういうややこしいことが起きるのだ。
何をやってるか具体的に書きたいところだが、書くと逆に不正アクセスの方法を晒してしまうことになるので、書けないのがもどかしい。
「当たり」の獲物を再び待つ。
獲物が来ない
朝から罠をしかけて待っている。
わざとセキュリティ設定を少しだけ甘くして、ずっと獲物を待っている。
今日に限って、危ない不正アクセスはおろか、ただのポートスキャンすらも来ない。そんなものは来てもらってもしかがたないが。
アリジゴクのごとく待つ。
罠を作成中
最近、このサーバへの不正アクセス試行が多い。
特殊な監視をしているから見つけることができているが、そうでなければ気がつかないところだ。とりあえず実害はない(ように見える)。
しかし、最近は単なる脆弱性をスキャンしてくるようなものでなく、おそらくrootkitを送り込もうとしているようなものがある。PHPはその辺りが弱いく、PHP狙い撃ちである。
できる限りの対策は講じているのだが、攻撃を弾くだけではなく、ちょっとこの辺りで罠をしかけてみることにした。注意しないと脆弱性を新たに作ってしまうので、慎重に今いろいろ調べたりしながら、罠を作っている。下手して不正アクセスを許してしまうことは避けなければならない。
スクリプトでなんとかなるかと思ってやりだしたが、シェルを介するとどうしても無理がある、ということで、数年ぶりにCで作っている。しかしまあ、だいぶ忘れてしまっている。頭を使わないと鈍るのが恐ろしく速い。
うまく生け捕りにできるかどうか・・・。
結局ほとんど正解だったのか
毎年、「流行語大賞」と「今年の漢字」を予想するのがマイブームになっている。
今年は、前半は「アベノミクス」「今でしょ」くらしいかないなあ、と思っていたら、後半になって「倍返し」「お・も・て・な・し」「じぇじぇじぇ」とか出てきて、結局どれが来るか予想できなかった。
蓋を開けてみたら、大賞が4つ!どうやら選考する方も絞りきれなかったようだ。
しかし、大賞が4つも出ると、なんか「大賞」の価値が下がるなあ。予想する方もモチベーションが下がる。来年も予想するだろうが「去年は大賞が4つも出たからなあ」と、1つに絞る意味がなくなってしまう。
そう言えば、何年か前に「消えた年金」というのがベストテンに入って、当時の厚生労働大臣だった舛添さんが、戸惑った様子で壇上にあがっていたのを思い出す。舛添さんは別に悪くはないが、一応あんたは「消した側の人間」でしょうが、と思った。
「今年の漢字」の方は、今のところ自分の予想は「高」。猛暑が長いこと続いて気温がずっと高かったり、円安やら風水害の被害やらの影響で、いろんな物の値段が高くなったり、アベノミクス効果で高級品が売れるようになったり。
発表は「漢字の日」である12月12日。こういう予想をするのは、自分のささやかな楽しみのひとつである。