[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:00729] Re: new Worm?
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:00729] Re: new Worm?
- From: Minoru Hagiyama <hagiyama@xxxxxxxxxx>
- Date: Sun, 05 Aug 2001 09:04:21 +0900
はぎやまです。
Minoru Hagiyama wrote:
> “Code Red”の攻撃パターンは、ランダムなIPアドレスに対して行われ
> ると思いました。7/20,8/2以降のNNN..のタイプのログからもこの傾向
> は間違っていないと考えていますが、少し調べてみます。
[Snort-users]にもXXX..タイプの情報が出てきましたが
|00 0F 84 C4 00 00 00 C7 46 30 9A 02 00 00 E8 0A ........F0......
|00 00 00 43 6F 64 65 52 65 64 49 49 00 8B 1C 24 ...CodeRedII...$
|FF 55 D8 66 0B C0 0F 95 85 38 FE FF FF C7 85 50 .U.f.....8.....P
“CodeRedII”という新種のようです。
はじめにISAPIのexploit codeを送ってくるのは、普通のCode Red
に似ていますが、その後、cmd.exe にaccessしています。この攻撃
パターンはsadmind wormの時に見られたとjaywhy <jaywhy2@xxxxxxxx>
はSnort-usersで言っています。
[**] [1:1243:1] WEB-IIS ISAPI .ida attempt [**]
[Classification: Attempted Administrator Privilege Gain] [Priority: 10]
08/04-19:42:18.813451 0:A0:DE:B:34:9D -> 0:D0:B7:21:C3:16 type:0x800 len:0x61C
211.48.240.186:1502 -> 211.xx.202.90:80 TCP TTL:110 TOS:0x0 ID:29921 IpLen:20 Dg
mLen:1500 DF
***A**** Seq: 0xEF87BB55 Ack: 0xAECC4263 Win: 0x4470 TcpLen: 20
[Xref => http://www.whitehats.com/info/IDS552]
[**] [1:1002:1] WEB-IIS cmd.exe access [**]
[Classification: Attempted User Privilege Gain] [Priority: 8]
08/04-19:42:18.910876 0:A0:DE:B:34:9D -> 0:D0:B7:21:C3:16 type:0x800 len:0x61C
211.48.240.186:1502 -> 211.xx.202.90:80 TCP TTL:110 TOS:0x0 ID:29922 IpLen:20 Dg
mLen:1500 DF
***A**** Seq: 0xEF87C109 Ack: 0xAECC4263 Win: 0x4470 TcpLen: 20
--
萩 山 実
hagiyama@xxxxxxxxxx
http://www.arsp.ne.jp/gw2/
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
インフォシークに 『ファンドランキング』登場!! ってなに?
http://fund.infoseek.co.jp/Rfund_top.cfm?svx=971122