[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:01498] Re: sumthin

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:01498] Re: sumthin
From: Naozumi Gouya <gouya@xxxxxxxxx>
Date: Wed, 26 Mar 2003 15:43:32 +0900


> 404メッセージの情報から脆弱性の有無を判断している
> スキャナもしくはワームだと思われます。
> 
> /sumthin の部分はただ単純に404を引き起こしているだけみたいですね。
> 
> apacheが攻撃の対象だった場合は
>  ServerSignature off
>  ServerTokens ProductOnly
> 上記設定により余計な情報の開示を止めることが出来ます。
> # 本質的には脆弱性を修正しろということなのですが・・・
> 
> /sumthinを使うスキャナorワームがなにかはハッキリしませんが、
> とにかく情報をあさっているということだと考えています。
> 質問の答えになっていなくて申し訳ないです・・・
> 
> 話題が上がっているスレッド
>  http://lists.jammed.com/incidents/2002/10/0145.html

"/sumthin" というリクエストを使って httpd と OS の種類を確認し、
可能であればそのホストに対して "./openssl -a" というコマンドを
実行するツールがあります。それが使われたのかもしれません。

  http://archives.neohapsis.com/archives/incidents/2003-02/att-0169/01-httpver.c
  コード中に以下のリクエスト文字列が定義されています。

    #define DEF_COMMAND "GET /sumthin HTTP/1.0\r\n\r\n"

このコードについては以下のスレッドで取り上げられています。
http://archives.neohapsis.com/archives/incidents/2003-02/0172.html

--
  合谷  尚純

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　 ５年ぶり！　事件はネットで　起こってる！？
　 http://www.infoseek.co.jp/Odoru?pg=odoru_special.html&svx=971122

Follow-Ups:
- [stalk:01499] Re: sumthin
  - From: Kanatoko

References:
- [stalk:01497] Re: sumthin
  - From: reo mori

Prev by Date: [stalk:01497] Re: sumthin
Next by Date: [stalk:01499] Re: sumthin
Previous by thread: [stalk:01497] Re: sumthin
Next by thread: [stalk:01499] Re: sumthin
Index(es):
- Date
- Thread