[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00629] Re: ISAP OVERFLOW

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:00629] Re: ISAP OVERFLOW
From: Minoru Hagiyama <hagiyama@xxxxxxxxxx>
Date: Fri, 20 Jul 2001 08:14:30 +0900



はぎやまです。

> MICKY wrote:
> 
>> 先週頭くらいから、例のISAPへの攻撃がやたらと多いのですけど、他の
>> サイトでは如何でしょうか？

Minoru Hagiyama wrote:

> 211.11.xxx.xxx/29では、ISAPへの攻撃は検知してません。
> というか、80/tcpへのスキャンも incident.org の傾向より少ないです。

07/20 01:15:08 から 06:36:13 までに14件検知しました。
Snort-1.8p1 では、WEB-IIS ISAPI .ida attempt ルールでの検知は2件、
Snort.org のベータ版 CodeRed Worm [Overflow Sent] ルールでは12件を
検知しています。この結果と、http のアクセス記録を付き合わせると、
両方のルールで100パーセント検知していました。

ここからは私の推測になりますが、7/19 23:43:07 から httpサーバ以外の
ネットワークアドレスに80/tcp の rejectログが記録されていて、02:07:36
までの間に22のIPアドレスの記録がありましたが、一つのホストが一つのIP
アドレスに対してアクセスしていました。CodeRed Worm は、ネットワーク
アドレスのある範囲をスキャンしながら攻撃するのではなく、ランダムに選
んだ特定IPアドレスに対して攻撃を仕掛けるようです。

現在のところ、数分に1回の割合で 80/tcp をたたかれています。

-- 
                                   　　　萩 山  実
                                         hagiyama@xxxxxxxxxx
                                  http://www.arsp.ne.jp/gw2/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　えっ、友達とのペアで毎日１００万円が当たるチャンス!　　楽ぴた倶楽部
　　                 http://www.rakupita.ne.jp/

Follow-Ups:
- [stalk:00630] Re: ISAP OVERFLOW
  - From: MICKY

References:
- [stalk:00603] ISAP OVERFLOW
  - From: MICKY
- [stalk:00604] Re: ISAP OVERFLOW
  - From: Minoru Hagiyama

Prev by Date: [stalk:00628] Re: ISAPI OVERFLOW
Next by Date: [stalk:00630] Re: ISAP OVERFLOW
Previous by thread: [stalk:00633] Re: ISAP OVERFLOW
Next by thread: [stalk:00630] Re: ISAP OVERFLOW
Index(es):
- Date
- Thread