[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00888] Re: IIS への攻撃 (Re: CODE GREEN ?

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:00888] Re: IIS への攻撃 (Re: CODE GREEN ?
From: Djnii <genie@xxxxxxxxxxxxxxxx>
Date: Wed, 19 Sep 2001 00:01:06 +0900



>	ひ～ん、IIS の cmd.exe やら CodeRed の穴をつく攻撃やらの
>	大量攻撃を受けているっす。自宅でも、会社でも。
>
>	皆さんのところはどうでしょう？

内藤です。

右松さんの投稿を見て 自宅のApacheのerror.log を見てみたのですが、
確かに数百回／時間の攻撃に晒されているようです。
一つのアドレスから固まって複数種類のアタックが来るところから見ると
なんか容赦ないワームが蔓延し始めてるのではないかと言う気がします。

/%docroot%/scripts/root.exe
/%docroot%/MSADC/root.exe
/%docroot%/c/winnt/system32/cmd.exe
/%docroot%/d/winnt/system32/cmd.exe
/%docroot%/scripts/..%5c../winnt/system32/cmd.exe
/%docroot%/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/%docroot%/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/%docroot%/msadc/..%5c../..%5c../..%5c/..閃./..閃./..閃./winnt/system32/cmd.exe 
/%docroot%/scripts/..閃./winnt/system32/cmd.exe
/%docroot%/scripts/..政../winnt/system32/cmd.exe
/%docroot%/d/winnt/system32/cmd.exe
/%docroot%/scripts/..%5c../winnt/system32/cmd.exe
/%docroot%/scripts/..%2f../winnt/system32/cmd.exe

これで 1セット（この場合およそ20秒間でした）のようです。
制御を奪った後はどういう動きをするんでしょうかね。
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　 ニュース速報！　はインフォシークで！！
　　　　 http://www.infoseek.co.jp/Home?pg=Home.html&svx=971122

References:
- [stalk:00885] IIS への攻撃 (Re: CODE GREEN ?
  - From: Hiroshi Migimatsu ^^;

Prev by Date: [stalk:00887] Re: IIS への攻撃 (Re: CODE GREEN ?
Next by Date: [stalk:00889] WEB-IIS multiple decode attempt
Previous by thread: [stalk:00887] Re: IIS への攻撃 (Re: CODE GREEN ?
Next by thread: [stalk:00890] Re: IIS への攻撃 (Re: CODE GREEN ?
Index(es):
- Date
- Thread