[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:01499] Re: sumthin

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:01499] Re: sumthin
From: Kanatoko <anvil@xxxxxxxxxxx>
Date: Wed, 26 Mar 2003 18:10:13 +0900


合谷さん、森さんありがとうございます。
教えて頂いたツールを見て（コンパイルして実行して　笑）みました。

> "/sumthin" というリクエストを使って httpd と OS の種類を確認し、
> 可能であればそのホストに対して "./openssl -a" というコマンドを
> 実行するツールがあります。それが使われたのかもしれません。

どうやらそのようです。

http://archives.neohapsis.com/archives/incidents/2003-02/att-0169/01-httpver.c
は、openssl 0.9.6d以前に対するExploitプログラムである
http://packetstormsecurity.org/0209-exploits/openssl-too-open.tar.gz
を効率良く実行するための補助ツールのようです。

GET /sumthin HTTP/1.0というリクエストはわざとNot Foundとなるように狙って
いるのかと思ったのですが、そうではなく、HTTPDの判別は普通にServerフィール
ドで行っていました。それなら GET / HTTP/1.0とかにすればずいぶん見つかり難
かったでしょうに…あまり深く考えずに作ったのでしょうか。

ともあれ原因が分かってすっきりしました。ありがとうございました。
ワームではなくスキャナーのようだ、というのが結論だと思われます。

-- 
Kanatoko<anvil@xxxxxxxxxxx>
http://www.jumperz.net/
irc.friend.td.nu:6667 #ouroboros
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　 ５年ぶり！　事件はネットで　起こってる！？
　 http://www.infoseek.co.jp/Odoru?pg=odoru_special.html&svx=971122

References:
- [stalk:01497] Re: sumthin
  - From: reo mori
- [stalk:01498] Re: sumthin
  - From: Naozumi Gouya

Prev by Date: [stalk:01498] Re: sumthin
Next by Date: [stalk:01500] snort 2.0rc1 (was Re: [FYI]snort1.8.0 から 1.9.0に脆弱性)
Previous by thread: [stalk:01498] Re: sumthin
Index(es):
- Date
- Thread