WordPressのrssをGoogle CromeやFireFoxが上手く受け取れていない(Safariは大丈夫)のは何故かと、久しぶりにerror.logを見てみました。
何時ものようにtail -1 ~/error.logとやってみたら、何か知らないアクセスが頻繁に起こっているようです。
最も新しいのが、218.59.238.93(逆引き不可)さんから、az.php、azz.phpをアクセスされてたのに気づきました。
で、これって何?
当然の如く、Google先生に尋ねます。日本語のサイトには大して情報は無いようだったので、諦めて英語サイトを読んでみました。
az.phpやazz.phpはプロキシサーバーを作るためのphpプログラムのようです。とあるサイトには一覧が表示されていました。彼?(218.59.238.93さん)はそれを探しておるようです。error.logの中をを検索しようとcat error.log | grep az.phpしたところ、やけにレスポンスが悪かったのでキャンセルし、ls -l error.logでサイズを見てみました。
-rw-r--r-- 1 root wheel 41581773399 11 5 09:29 error_log
と、出てきました。確かbyteでしたよねぇ。電卓を弾いてみると396.5MBもあります。
何が入っているのだろう?
lessで最後の行まで落ちてから遡ると、azz.phpと並んでworld.phpも探しています。きっと同じよなものなのでしょう。
これが今のトレンドなのかな?
azenv.phpという名前が関連して出てきました。今度はこの名前で検索するとSymantecさんのページに辿り着きます。
やはりトロイの木馬だったようです。OSはWindowsのみのようでしたから、うちのサーバーは感染しそうもないですけれど、これだけ色々なところからアクセスがあるということは、きっとメジャーなものなのでしょう。
先頭へ戻り最初に出てきたのは、phpmyadminを探す61.185.130.2(逆引き不可)さんでした。色々なパターンで検索していっています。ご苦労様です。
他にも、
37.187.77.137(ns3366381.ovh.net)さん、
75.101.218.64(ec2-75-101-218-64.compute-1.amazonaws.com)さん、
80.237.159.104(ds80-237-159-104.dedicated.hosteurope.de)さん、
91.121.90.166(ns319885.ip-91-121-90.eu)さん
等々様々な方々が、CGI-Executables/phpを探しています。
さて、ここには何が入っていべきなのでしょう??
ここでもやはりGoogle先生にご登場いただきます。
とむねこのページさんが検索の最初に出てきましたので、ここを見るとOS Xにおける、CGIを置いておくフォルダみたいです。
すると、この中に「何かないかな?」と探りを入れていたのでしょう。僕は使っていないので、多分中身は空っぽです。というか、そんなフォルダ存在もしていませんでした。若しかしたらOS X Serverだと名前が違うのかも知れません。興味がなかったので調べていませんが、本当のところどうなんでしょう。
他にも随分出てきました。
大概はphpmyadminを探しているようです。目に付いたところでは
70.87.15.74(4a.f.5746.static.theplanet.com)さん、
223.4.209.62(ip223.hichina.com)さん、
46.229.157.226(rev-46.229.157.226.atman.pl)さん、
他にも沢山出てきますが、nslookupを繰り返すのが面倒なので止めます。
よくよく日付を見るとログの先頭は今年の1月(10ヶ月以上前)でした。
あれ? ローテーションされていないのかな?
今度はそちらを調べねばなりません。
訳の判らないアクセスより、肥大しまくったログの方が優先です。でないと最近何が起こっているのか探し出すこともできません。(ここ迄膨らませておいて何を言うか、という正当な批判は退けます)
blog.remora.cxさんのサイトに、newsyslogでローテーションさせる方法が書いてありました。早速、書き込みます。(昔、NetBSDのサーバーでも書いたような記憶が、朧げに蘇ったりしなかったり)
これで、取り敢えずは肥大したログはすっきりするでしょう。
ここまで来たところで疲れたので、エラーログを肥大させた原因の究明は今後の課題として保留。
つまりは、飽きちゃった。(^_^;;;;
気が向いたら、続きをしましょう。