[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:6088] Re: 国際ハッキングコンテストの事前調査?
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:6088] Re: 国際ハッキングコンテストの事前調査?
- From: Yoshiaki Matsushima <yo-matsu@xxxxxxxxxxxxxxxx>
- Date: Sat, 05 Jul 2003 22:22:57 +0900 (JST)
松島です。
Masaki Katayama <katayama@xxxxxxxxxx> さんが、
Fri, 04 Jul 2003 09:55:12 +0900 頃書いた、
[connect24h:6081] Re: 国際ハッキングコンテストの事前調査? への返信です。
katayama> ウチでも、IISのログで、下記の様な感じできてらっしゃいました。
katayama> ただ、来ていたのはこれだけみたいで、ほかはこれと言って・・・。
この、"GET /NULL.IDA CCCCCCCCCCCCC....." は、公開されているクラックツー
ルに因る物かと思っていたのですけど、若しかすると新しいワームなのでしょ
うか?、家では、まだ数件しか捕らえていませんが中に国内ホストからの物が
有りました。こいつからのトラフィックは、次の様なスキャンパターンを持っ
ているようです。
ポートスキャンとして、
TCP 1433(MS-SQL)
TCP 139(SMB)
TCP 135(RPC)
TCP 80(HTTP) 空の接続テスト?
TCP 80(HTTP) GET / IISの確認?
その後、HTTPに件の /NULL.IDA のExploitが17回続いて1セットの様です。
IISへのexploitは成功した場合のバックドアなのか TCP Port99 へのプローブ
と対に成っています。139への接続などもリジェクトせずに接続を許したら、
若しかするとパスワードクラックのチャレンジをして来るかもです(笑)。
# でも何でCIFS(445)を打ってこないのかな?
--
松島 義明 (yo-matsu@xxxxxxxxxxxxxxxx | matusima@xxxxxxxxxxxxx)
--[PR]------------------------------------------------------------------
□━━━━━━━━━□★『 VIVO 』毎 回 即 日 完 売 御 礼 ★
┃1日1本飲むだけで┃飲むだけで若返ると評判の水【緊急◎追加入荷◎】
┃ 赤ちゃんのような┃「肌がスベスベになった!」「減量できた!」
┃ プリプリ肌に?!┃「足がむくまなくなった!」「疲れにくくなった!」
□━━━━━━━━━□ http://ad.freeml.com/cgi-bin/ad.cgi?id=bWS25
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp