futuremix

プロキシサーバとして squid を利用していますが、そのアクセスログに次のようなものを見つけました。

  1074879388.544      2 192.168.0.123 TCP_HIT/200 696 GET http://bg2.gator.com/gbsf/gsk2.dat - NONE/- text/plain

おや? と思い grep してみると…

  # grep gator /var/log/squid/access.log
  1074879366.991   3345 192.168.0.123 TCP_MISS/200 391 POST http://gbs.gator.com/gbs/gbs.dll? - DIRECT/64.152.73.185 application/octet-stream
  1074879367.850    762 192.168.0.123 TCP_MISS/200 391 POST http://gbs.gator.com/gbs/gbs.dll? - DIRECT/64.152.73.185 application/octet-stream
  1074879369.318   1398 192.168.0.123 TCP_MISS/200 391 POST http://gbs.gator.com/gbs/gbs.dll? - DIRECT/64.152.73.185 application/octet-stream
  1074879369.328     10 192.168.0.123 TCP_HIT/200 696 GET http://bg2.gator.com/gbsf/gsk2.dat - NONE/- text/plain
  1074879378.923     45 192.168.0.123 TCP_HIT/200 696 GET http://bg2.gator.com/gbsf/gsk2.dat - NONE/- text/plain
  1074879379.939   1015 192.168.0.123 TCP_MISS/304 293 GET http://ss.gator.com/scripts/ms/msn.com.ffz - DIRECT/64.152.73.205 -
  1074879381.525   1586 192.168.0.123 TCP_MISS/200 1152 POST http://gbs.gator.com/gbs/gbs.dll? - DIRECT/64.152.73.185 application/octet-stream
  1074879382.384    842 192.168.0.123 TCP_MISS/200 11560 GET http://bc2.gator.com/gbsf/gd/ms/msn.com.gtrg2ze - DIRECT/66.35.229.143 application/x-msdos-program
  1074879382.711    326 192.168.0.123 TCP_MISS/200 716 GET http://bc2.gator.com/gbsf/gg/1207/1207-27.grp2ze - DIRECT/66.35.229.143 text/plain
…（以下延々と）…

＿|￣|○

これだから、Win98 のクライアント端末は…。いつのまにかアドウェアやスパイウェアがインストールされていることがあるんですよね。利用者は自覚ないし…。まあ、Gator をスパイウェアと呼んではならないらしいですけど。でも、squid のログを監視するというのはなかなか良い方法かもしれません。もっと良い方法がありましたら教えて下さい。

Gator を見つけたら、とりあえず、Gator の駆除方法を試しましょう。

2月7日追記

squid で、Gator からのアクセスを遮断するには、squid.conf に次のものを加えます。
これにより gator のアップデートなどを防ぐことができます。

  acl gator dstdomain bg2.gator.com gatorcme.gator.com gatortime.gator.com \
                      gbs.gator.com gs.gator.com rs.gator.com search.gator.com \
                      ss.gator.com updateserver.gator.com 

  http_access deny gator