FTPログにMM_CASETEST4291
先日、僕が管理を担当しているお客様のWebサーバーのFTPログを眺めていると、こんな記録がありました。
(IPアドレスとFTPユーザー名は変更しました。)
Wed Dec 23 17:27:24 2020 [pid 2206312] [user1] OK LOGIN: Client "192.168.1.10" Wed Dec 23 17:27:24 2020 [pid 2206314] [user1] OK MKDIR: Client "192.168.1.10", "/www/MM_CASETEST4291" Wed Dec 23 17:27:24 2020 [pid 2206314] [user1] FAIL RMDIR: Client "192.168.1.10", "/www/mm_casetest4291" Wed Dec 23 17:27:24 2020 [pid 2206314] [user1] FAIL RENAME: Client "192.168.1.10", "/www/mm_casetest4291" Wed Dec 23 17:27:25 2020 [pid 2206314] [user1] OK RMDIR: Client "192.168.1.10", "/www/MM_CASETEST4291" Wed Dec 23 17:27:25 2020 [pid 2206314] [user1] FAIL RENAME: Client "192.168.1.10", "/www/_mm" Wed Dec 23 17:27:25 2020 [pid 2206314] [user1] FAIL RENAME: Client "192.168.1.10", "/www/_mm" Wed Dec 23 17:27:56 2020 [pid 2206314] [user1] OK MKDIR: Client "192.168.1.10", "/www/xyiznwsk" Wed Dec 23 17:27:56 2020 [pid 2206314] [user1] OK RMDIR: Client "192.168.1.10", "/www/xyiznwsk"
ドキュメントルートに、「MM_CASETEST4291」「xyiznwsk」というディレクトリを作成し、ディレクトリ名の変更や削除を試しているようです。
意味不明な名称ですので不正アクセスを疑いましたが、アクセス元IPアドレスはお客様の拠点のものですので、その可能性は低そうです。
ディレクトリ名称でGoogle検索したところ、これらは、WebオーサリングツールDreamWeaverの接続テストによるものだとわかりました。
ディレクトリの作成、名称変更、削除を実行し、その結果によって、更新権限の確認やサーバータイムスタンプの取得などを行っているのだとか。
(参考)
・MM_CASETEST4291. Don’t worry, its Dreamweaver! – Tim’s technology and design blog
https://blog.timolthof.com/mm_casetest4291-dont-worry-its-dreamweaver/
・FTP ログの確認 – Adobe
https://helpx.adobe.com/jp/x-productkb/global/checking-ftp-log.html
・使えない人の使えないメモ – XYIZNWSK ディレクトリ(フォルダ)
https://ameblo.jp/to-ko3/entry-10407105012.html
Google検索で出てくる記事はどれも古いものなので、おそらく古いバージョンのDreamweaverで発生する現象かと思われます。
「MM」は、Dreamweaverの開発元で、2005年にAdobeに買収された「Macromedia」の略ですね。
ということで、不正アクセスではなくて、安心しました。
なお、vsftpdでは、/etc/vsftpd/vsftpd.conf で以下のように設定することで、/var/log/vsftpd.log に、サーバー接続、ログイン、ファイル転送(アップロード・ダウンロード)ログが記録されます。
xferlog_enable=YES xferlog_std_format=NO vsftpd_log_file=/var/log/vsftpd.log
xferlog_std_format のデフォルトは「YES」ですが、「YES」のままですと、xferlog形式(wu-ftpd互換)となり、ファイル転送ログのみ記録され、サーバー接続ログが記録されないことに注意しましょう。
(参考)
・18.2.5. vsftpd 設定オプション – Red Hat Customer Portal
https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/6/html/deployment_guide/s2-ftp-vsftpd-conf