# 自宅サーバログ
ふと自宅サーバのHTTPアクセスログを眺めていたら、以下のログを見つけました。
(一部、掲載用に編集しています)
```
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:14 +0900] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 520 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:15 +0900] "GET /phpMyAdmin-2/scripts/setup.php HTTP/1.1" 301 498 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:15 +0900] "GET /my/scripts/setup.php HTTP/1.1" 301 478 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:16 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 301 488 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:16 +0900] "GET /PHPMYADMIN/scripts/setup.php HTTP/1.1" 301 494 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:17 +0900] "GET /db/scripts/setup.php HTTP/1.1" 301 478 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:17 +0900] "GET /dbadmin/scripts/setup.php HTTP/1.1" 301 488 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:17 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 301 488 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:18 +0900] "GET /mysql/scripts/setup.php HTTP/1.1" 301 484 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:18 +0900] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 301 494 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:19 +0900] "GET /pHpMyAdMiN/scripts/setup.php HTTP/1.1" 301 494 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:19 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 494 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:20 +0900] "GET /phpadmin/scripts/setup.php HTTP/1.1" 301 490 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:20 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 494 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:21 +0900] "GET /sqladm/scripts/setup.php HTTP/1.1" 301 486 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:21 +0900] "GET /sqladmin/scripts/setup.php HTTP/1.1" 301 490 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:22 +0900] "GET /phpmyadmin/scripts/db.init.php HTTP/1.1" 301 498 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:22 +0900] "GET /phpMyAdmin/scripts/db.init.php HTTP/1.1" 301 498 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:23 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 301 488 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:23 +0900] "GET /database/scripts/setup.php HTTP/1.1" 301 490 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:23 +0900] "GET /phpAdmin/scripts/setup.php HTTP/1.1" 301 490 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:24 +0900] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 301 496 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:24 +0900] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 301 496 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:25 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 301 480 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:25 +0900] "GET /scripts/setup.php HTTP/1.1" 301 472 "-" "ZmEu"
80[.]82[.]65[.]62 - - [15/Aug/2020:15:03:26 +0900] "GET /setup.php HTTP/1.1" 301 456 "-" "ZmEu"
```
# アクセスの特徴
## アクセス時間
1秒に2~3リクエスト飛ばしてきています。
スクリプトを使ってアクセスしてきているようです。
一般的な検索エンジンのボットはサーバの負荷を考えてゆっくりクロールしてくれるので、このような形で私の自宅サーバのような貧弱な環境に押し寄せてくるのは考えにくいです。
お行儀の悪いお客さんです。
## アクセス先のパス
`phpMyAdmin`や`mysql`といった文字列が見られます。
[phpMyAdmin](https://www.phpmyadmin.net/)と言えば、データベースを使っている方はおなじみの、Webベースのデータベース管理ツールですね。
WebUIからデータベースを直感的に操作できるので非常に使いやすいのですが、攻撃者から見れば外から他人のデータベースにアクセスできるので、非常に都合が良い訳です。
phpMyAdminで操作するときにはデータベースへのログインが必要な訳ですが、一般的にはWebサーバの認証やIPアドレスでアクセス制限もかけているのではないでしょうか。
ただ、稀にそういう設定を忘れたり設定そのものに不備があったりして、攻撃者はそういう隙を突いてくるようですね。
ちなみに、1行目の`/w00tw00t.at.blackhats.romanian.anti-sec:)`は非常に特徴的な文字列なようです (下記参照)。
## UserAgent
各行末尾の`ZmEu`がUserAgentです。ログの1行目にある`/w00tw00t.at.blackhats.romanian.anti-sec:)`と合わせて、phpMyAdminの脆弱性スキャナのようです。
Wikipedia (英語版)もあります。
ちなみに、Zmeuとはルーマニアの民話に登場する生き物のようで、人のような姿をしており、大切なものを盗むこともあるそうです。
まさに脆弱性診断ツールっぽい名前ですね。
# アクセス元のIPアドレス
アクセス元のIPアドレスをVirusTotalで調べてみました。
どうやら、怪しいホストらしいです。
VirusTotalで調べたら、悪性情報が出てきました。
# 攻撃されたのか?
通信としては、攻撃を意図したものであると考えられます。
結果として、攻撃は失敗に終わったようです。
ログには、ステータスコードが`301`と記録されています。HTTPでアクセスしてきたので全てHTTPSにリダイレクトされていました。リダイレクト先にもアクセス可能なページは無いので、サーバは無事だったようです。