|
|
WINNTAutoAttack V2.5 とゅぅ、攻撃ツールてんこ盛りセットを使った Attack のモヨウ。
長い URI リクエストを送りつけて Buffer Overflow するかどーかを調べているようでつ。
んで、 Overflow しちゃうよーならヤッちゃうっつーものラシーでつ。
IIS 狙いなのか、 Windows の他の http サーバ狙いなのか、調べられづ orz。
Windows を Web サーバにしているのなら警戒しておいた 方が良いよね。うん。
ログの一例は下記参照のコト。
一行が半角 6403 文字とエライ長いので、途中は snip してまつ。
あ、 IP アドレス伏せておいた方が良いかな・・・?
どうしようかな・・・・ nslookup してみやぅ・・・・・
resolv・・・ できないよね。やっぱ。ぅん・・・・。
| 210.116.119.133 - - [02/Nov/2007:00:57:23 +0900] "GET /NULL.IDA?CCCC -snip - CCCC%u0aeb%ub890% -snip - xfaG\x07mAcmd.exe$ HTTP/1.1" 404 206 "-" "-" |
log が長すぎるので途中省略していマス。
WINNTAutoAttack V2.5 は 2 種類のリクエストを送りつけてくるようでつ。
違いは、リクエストの最後が
になりまつ。
.exe を探しているところを見ると、Windows 系の Web サーバのみっつーコトで Solaris には悪影響はないモヨウでつ。
ただ、ヤタラ長い access log が記録されてしまうので、awstatus のような Web log 解析処理等の log 絡みで不具合が出るカモ。
Solaris には関係なしのようでつが、OS の patch や apache を最新にしておきましょう。
access_log に書かれるとウザイだけなので、独立した別のログに書かせませう。
log に残しておけば、後で拒否したくなったら IP を調べられるしね。
httpd.conf に 書き込んでくだされ。
|
SetEnvIf Request_URI "NULL\.IDA" worm nolog CustomLog logs/access_log combined env=!nolog CustomLog logs/worm_log combined env=worm |
書き込んだら、
とかして httpd を再起動してくだされ。
もっと攻撃的に?対処したい場合、バーボンハウス
に招待するっつー方法もありまつね。
直接 Web なんてみてないでしょーが、多少、
