謎のリクエスト「88952634」
今運用をお手伝いしているサイトでログを監視していると、パラメータに「88952634」が指定された謎のリクエストが来ることがあります。
この数字で検索をかけると、被害に遭った大量のサイトが出てくるし、Q&A サイトに「このリクエスト何?」という質問が挙がっていたりもします。
パラメータは「88952634' and 's'='s」みたいになっていることもあるので、脆弱性検査ツールの類によるアクセスなのは間違いないと思うんですが、具体的にどんなツールか気になったので調べてみました。
結論
先に結論を書いておくと、Safe3WVS(Safe3 Web Vulnerability Scanner)という脆弱性検査ツールによるものだと思われます。
このページにリリースノートがありますが、スクリーンショットで「88952634」という数字が使われているのが確認できます。
Safe3 について
上記ツールの開発元は Safe3 という会社のようで。公式ページは http://www.safe3.com.cn/ のはずですけど、改装中?なので、Internet Archive で見るのがよさそうです。
セキュリティ関係のサービスを行っている会社とのこと。
現在は QQ空间(Q-Zone)を使って公報活動を行っていそうです。
ドメインを見るとわかるように、88952634 という数字はこの会社が使っている QQ number(テンセントQQ を使用する時に使われる ID)のようです。試しに QQ に利用登録してみたのですが、勝手に発番されるものなので、この数字自体に何か意味があるわけではなさそうです。
ツールについて
この Safe3 という会社、Google Code と SourceForge でいくつかセキュリティ関連のツールを配布しているみたいです。
(Google Code や SourceForge に置いてるわりにソースは公開されていませんが・・・)
- Google Code
- Safe3WAF(Safe3 Web Application Firewall)
- Safe3WVS(Safe3 Web Vulnerability Scanner) ※バイナリ配布もなし
- Safe3SI(Safe3 Sql Injection Tool) ※バイナリ配布もなし
- SourceForge
- Safe3WVS(Safe3 Web Vulnerability Scanner)
- Safe3SI(Safe3 SQL Injector)
SourceForge のアップロード者は David Shee という人物のようで、この名前(や「Safe3」の文字列)も被害サイトでたまに見かけました。
せっかくなので Safe3WVS を実際に動かしてみたのですが(ブラウザのスタートページを hao123 に変えられたりするので、捨てていい VM 等で試しましょう)、9.0 無料版だと GET での SQL Injection のチェックしかできないせいか、88952634 のリクエストは再現できませんでした。残念。
なので Safe3WVS 以外のツールによるアクセスの可能性も残っていますが、とりあえず目星がついてすっきりしたので調査はこの辺りで終了、と。