- PR -

新たな攻撃???

1
投稿者投稿内容
ZZZ
会議室デビュー日: 2001/08/10
投稿数: 17
投稿日時: 2001-09-02 23:19
ZZZです。
 今日、Webサーバのログを調べたところ、またもや、こんなもんが出てきました。ものすごい数です。みんな同じIPからきたのです。内容は以下です。
61.154.47.72 - - [02/Sep/2001:16:04:47 +0900] "GET /iissamples/..%c1%9c..%c1%9c.
.%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9cwinnt/system32/cmd.exe?/c+dir HTT
P/1.1" 400 392
今度は直接IISのサンプルから入ろうとしているようです。ただし、この61.154.47.72を断定できませんでした。どこのDNSにいってもレコードがありません。

皆さんも気をつけてください。


 
おがわ
大ベテラン
会議室デビュー日: 2001/08/01
投稿数: 199
お住まい・勤務地: 千葉県
投稿日時: 2001-09-03 02:56
>  今日、Webサーバのログを調べたところ、またもや、こんなもんが出てきました。ものすごい数です。みんな同じIPからきたのです。内容は以下です。
> 61.154.47.72 - - [02/Sep/2001:16:04:47 +0900] "GET /iissamples/..%c1%9c..%c1%9c.
.%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9cwinnt/system32/cmd.exe?/c+dir HTT
P/1.1" 400 392
どうやら、/iissamples/以下のディレクトリ一覧を出して、システムを操作するコマンドが存在しないかを探っている雰囲気ですね。

8月中旬頃に提供開始された、MS01-044(Code Red対策を含む修正プログラム)を適用した場合はどうでしょうか???
"Internal Server Error(500)" あたりが返ってくれば、特に心配ないと見ていますが・・・。
ZZZ
会議室デビュー日: 2001/08/10
投稿数: 17
投稿日時: 2001-09-04 01:36
ZZZです。
 とりあえず、お知らせをしますが、今日から2週間の間、投稿することができません。フローの方も何方がやってくれれば????。自前のサーバですので、大家さんはわけがあって、御一家が長野に帰ります。よって、全業務停止です。すいません。@ITさんにもお詫びします、おそらく今からメーリングで配信したメールで、aimin@paf-net.com宛のものが全部エラーになっていると思いますが、誠に申し訳ございません。
 例のログですが、どうもIISのsampleフォルダに対する攻撃ですね。今日確認したところですが、上記のパターンだけではないのです。他のパラメータをつけて、送ってきたこともあります。上記のIPからです。幸い、私の場合、FreeBSDの「信者」だから、そんなiissampleなんかもっていないので、不幸中の幸だと思います。そのお陰かも知れないが、こんなログを拾えました。みんなの役に立てれば、と思っているだけです。
 ただし、IISのセキュリティホールを利用して、CodeRedの波に乗って攻撃を仕掛けてきたのは間違いがないと思います。サーバの管理者として、そこまでの覚悟をしないといけないと思います。皆さんにも、毎日のログチェックをお勧めします。また、最悪の場合、相手のIPからnslookupなどのツールでその正体を突き止めて、公的な機関に援助を求めることも考えられます。そして、うちはApacheだから、Unixだからなんか大丈夫ですよ、と信じるのはいけません。今はやっているのはWindowsだから、Windowsを攻撃しようと思うやつが、明日の流行を見過ごすわけがないと思います。
 これからも引き続き「変なログ」を乗せる予定で、よろしいのでしょうか?@IT様???
ZZZ
会議室デビュー日: 2001/08/10
投稿数: 17
投稿日時: 2001-10-10 20:55
皆さん、お久しぶり、ZZZです。
またもや、IISのホールを利用して攻撃しようとするログがあったので、ここに載せます。方法は今までとまったく同じで、パラメータを変えただけです。ご参考程度。
61.175.218.74 - - [10/Oct/2001:19:56:19 +0900] "GET /iissamples/..%f0%80%80%af..
%f0%80%80%af..%f0%80%80%af..%f0%80%80%af..%f0%80%80%af..%f0%80%80%af..%f0%80%80%
af..%f0%80%80%afwinnt/system32/cmd.exe?/c+dir HTTP/1.1" 400 392
おがわ
大ベテラン
会議室デビュー日: 2001/08/01
投稿数: 199
お住まい・勤務地: 千葉県
投稿日時: 2001-10-10 21:33
相手は、侵入可能な不正URLパターンを、しぶとく探しまくってるって感じ...。

まぁ、Cord Red & Nimda のおかげで、
ウィルスの猛威は、ひとまず落ち着いてくれるのではないでしょうか。

来年は、Windows XP や IE6 に対するウィルスでも登場するのかな...?!
ZZZ
会議室デビュー日: 2001/08/10
投稿数: 17
投稿日時: 2001-10-10 23:25
そのようですね。
普段からWindows系のOSを使って、どうしてもうまくメモリ退避できない気がします。これはどうしようもないかなー。今のメモリの値下げ、もしかしてMSのおかげかもね。オーバーフローと別問題だけど。
いずれにせよ、メジャーな商品に対して攻撃を仕掛けるのは「プロ」なる「天才」達の趣味らしいなんだから、XP、IE6も逃れないでしょう。けど、私のマシンにXPが入ってくれるかな??
1

スキルアップ/キャリアアップ(JOB@IT)