[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139:01601] Re: Tripwire 関連リンク
- To: port139@xxxxxxxxxxxxxxxxxxxxx
- Subject: [port139:01601] Re: Tripwire 関連リンク
- From: hamamoto <r00t@xxxxxxxxxxx>
- Date: Thu, 05 Dec 2002 15:38:43 +0900
はまもとです。
> 菊地@千葉です
ども。
> > > 究極のWeb改ざん検知ソリューション
> > > http://www.tripwire.co.jp/support/twforweb2.html
> >
> > 以下の機能だと、CodeRedのようにメモリの常駐するタイプのWEBページ書き換え
> > だと検知できないように思うのですが。。。どうなんでしょうね?
> CodeRedは検出できなくても、WEBページ書き換え(改ざん)は検出できま
> すよね?
以下を見ていただければわかると思います。
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
>Web 改ざん
>Code Red ワームに感染した場合、以下のメッセージに Web が書替えられる
>ことがあります。
>
>HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
>
>但し、これは実際に Web サーバー上のファイルを書替えるのではなく、HTTP
>要求に対して、上記の HTML を返すようにメモリ上のプログラムを書替えて
>いるため、すべてのページが改ざんされたように見えます。
だそうです。
ファイルそのものは書き換えないんですよね。Nimdaはネットワークドライブの
先とか書き換えますが。。。
---------------------------------------------------------------------
| はまもと
| ■常時接続の宴(インターネット常時接続ニュースサイト)
| http://cn24h.hawkeye.ac/
| ■24 時間常時接続メーリングリスト開催中
| http://cn24h.hawkeye.ac/connect24h.html
| ■セカンダリDNS互助会
| http://cn24h.hawkeye.ac/dns.html