数日前から,以下のようなアクセス・ログが増えた1

192.0.2.1 - - [10/Jan/2009:11:19:06 +0900] "GET /nonexistenshit HTTP/1.1" 404 212 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
192.0.2.1 - - [10/Jan/2009:11:19:07 +0900] "GET /mail/bin/msgimport HTTP/1.1" 404 216 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
192.0.2.1 - - [10/Jan/2009:11:19:07 +0900] "GET /bin/msgimport HTTP/1.1" 404 211 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
192.0.2.1 - - [10/Jan/2009:11:19:07 +0900] "GET /rc/bin/msgimport HTTP/1.1" 404 214 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
192.0.2.1 - - [10/Jan/2009:11:19:08 +0900] "GET /roundcube/bin/msgimport HTTP/1.1" 404 221 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
192.0.2.1 - - [10/Jan/2009:11:19:08 +0900] "GET /webmail/bin/msgimport HTTP/1.1" 404 219 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"

RoundCube Webmailにおけるクロスサイトリクエストフォージェリの脆弱性』(JVN)を狙ったものらしい…

追記 (2009年1月13日): 『RoundCube Webmailにおけるクロスサイトリクエストフォージェリの脆弱性』(JVN)を狙ったものではなくて,"Security update for 0.2-beta“で塞がれる前の穴を狙ったものだったようだ…

  1. アクセス元のIPアドレスは例示用のものに置き換えてある.また,アクセス元は世界中に分散している. ↩︎