[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:04659] Re: FrontPage Server Extensions への攻撃 ?

To: connect24h@xxxxxxxxxxxxxxxxxxxx
Subject: [connect24h:04659] Re: FrontPage Server Extensions への攻撃 ?
From: "K.Yamachika" <kyama@xxxxxxxxxxx>
Date: Wed, 19 Sep 2001 00:24:03 +0900

　やまちかです。

HIRAMOTO Kouji <hiramoto@xxxxxxxxxxx>さんは
<20010918.225636.89465175.hiramoto@xxxxxxxxxxx>で書きました：

>  今日になって急に
>
>XXX.XX.XXX.XX - - [18/Sep/2001:22:49:46 +0900] "GET /_vti_bin/..%255c../..%255c../..%
255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321
>
>に代表されるような FrontPage Server Extensions (って Windows系?)狙
>いのクラックが大量にくるようになったのですが、これって何か周期とか、
>攻撃先決定ルールとか、あるんでしょうか?

　先ほどWindows 2000 ServerにIISをインストールし、セキュリティを調整
している最中にアタックが大量に来ました。

1. _vti_binなどに大量のアクセスが繰り返し行われる。
2. いろんなパスを使ってcmd.exeを起動し、dirコマンドを実行する。
3. C:\フォルダにAdmin.dllファイルが作成される。
4. C:\Inetpub\scriptsフォルダにTFTPxxxxというファイルが作成される。

　TFTPxxxxファイルはバイナリで、内容はMAPIを呼び出してメールを送信する
プログラムのようでした。MAILTO:とかそのまんま書いてあります。

-- 
Keiichi Yamachika (http://www.mountain.jp/)
物欲!衝動メーリングリスト＆勉強会メーリングリスト

------------------------------------------------------------------------
　　　　　　　　 ニュース速報！　はインフォシークで！！
　　　　 http://www.infoseek.co.jp/Home?pg=Home.html&svx=971122

References:
- [connect24h:04641] FrontPage Server Extensions への攻撃 ?
  - From: HIRAMOTO Kouji

Prev by Date: [connect24h:04658] Re: FrontPage Server Extensions への攻撃 ?
Next by Date: [connect24h:04660] Re: FrontPage Server Extensions への攻撃 ?
Previous by thread: [connect24h:04645] Re: FrontPage Server Extensions への攻撃 ?
Next by thread: [connect24h:04661] Re: FrontPage Server Extensions への攻撃 ?
Index(es):
- Date
- Thread