先日Bashに重大な脆弱性があるというニュースが飛び交った。

環境変数にホニャララすると任意のコードをBashに実行させることができる。
そしてCGIは呼びだされた時にデータ渡しに環境変数を用いていて、UserAgentを細工すれば簡単に攻撃が成立してしまうう。

というわけで、UserAgentがおかしいアクセスを抽出してみたらCGI経由で攻撃を仕掛けたアクセスが分かる。

例えば『{（中括弧）』が含まれている様なUserAgentはどれほどあるだろうか…

結果

最初に攻撃をした人は25日の17時に来た。
その前日24日の夜にニュースが来て、25日のお昼くらいからニュースでも取り上げられていたころ。
すでにその時にはBashのパッチは提供されていたけれど、多くの人がニュースを聞いてから間もない時間から攻撃者が出てきたわけか。

ちなみに当ブログではすでにその頃にはパッチを当てていた上に、攻撃の経路を回避させる手段を講じていた。

そして昨日までに当ブログでは10件の攻撃が確認されている。

こんなPVが1000/dayに行かないような弱小ブログですら、短期間にこれだけの数の攻撃が確認されているのだから、もっと衆目を集めるサイトでは多くの攻撃に晒されているだろう。

このShellShockは簡単な方法で攻撃が成立する上に、攻撃力も高いのでクラッカーもスクリプトキディもワナビーもこぞってやってくるだろう。

もうクラッカーグループは当日のうちにクローラとか作ってカモリストなんか作っているかも知れない。
すでに攻撃が成立して乗っ取られているサーバーもあるかもしれない…