- PR -

HP改竄発見

1
投稿者投稿内容
ZZZ
会議室デビュー日: 2001/08/10
投稿数: 17
投稿日時: 2001-08-15 20:01
再びZZZです。
きょう、ログを調べたところ、変なものを見つかりました。内容はこうです。
「210.248.22.195 - - [15/Aug/2001:01:46:42 +0900] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -」
これでブラウザから210.248.22.195(nslookupからみるとco.jpです)にアクセスしてみましたが、何と例の改竄です。小泉さんの靖国神社参拝反対のメッセージです。
今お盆休みで、サイトの管理者がいないことが多いと思いますが、皆さん気をつけてください。やられないように。
興味のある方は今日中例のサイトを見てみてくださいね。
おがわ
大ベテラン
会議室デビュー日: 2001/08/01
投稿数: 199
お住まい・勤務地: 千葉県
投稿日時: 2001-08-15 21:18
> 再びZZZです。
> きょう、ログを調べたところ、変なものを見つかりました。内容はこうです。
> 「210.248.22.195 - - [15/Aug/2001:01:46:42 +0900] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -」
上記のログに関して、別のホストからのアクセスも確認されました。
どうも、新種のワームっぽい感じがしますね。
Code Red と関連するのかどうかは、不明ですが・・・

8月15日現在、各ベンダーからの具体的な被害状況などは、まだ報告されてないようです。
おがわ
大ベテラン
会議室デビュー日: 2001/08/01
投稿数: 199
お住まい・勤務地: 千葉県
投稿日時: 2001-08-16 05:39
Code Redとはまったく関係ないようです。

以前、IIS上で問題となった
「クロスサイト・スクリプティング(CSS)」
に相当する脆弱性の問題でしょうね。

したがって、Code Redの修正パッチを当てても
直接の解決にはつながりません。
ZZZ
会議室デビュー日: 2001/08/10
投稿数: 17
投稿日時: 2001-08-16 09:21
ZZZです。
私のところも別のIPからのアクセスを見つけました。アクセス方法がまったく同じです。
考えられるのは、ウィルスか、踏み台攻撃かの二つですね。これからトレンドに問い合わせてみましょう。
おがわ
大ベテラン
会議室デビュー日: 2001/08/01
投稿数: 199
お住まい・勤務地: 千葉県
投稿日時: 2001-08-18 03:35
8月15日に無償で提供開始された修正プログラム(MS01-044)を適用すれば、
http://${Hostname}/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir
の不正アクセスは防げます。
1

スキルアップ/キャリアアップ(JOB@IT)