攻撃?
アクセスログによると、昨日の深夜から今日にかけて怪しいアクセスが記録されていた。
昨日の、
┃ 何が言いたいのかと言うと、先日発見された Samba の穴もそうなんだが、
┃早く Apache (Web共有)の穴を塞いでもらいたいなぁって事だ。
について、何で気にしているのかっていう理由を書いてなかったな。
実はBlogホームページを立ち上げてから、たまにはシステムのログを見るようにしているんだが、時々 Web共有(httpd) のアクセスログに、いかにもウィルス、ワームからと思われるアクセスが記録されているんだ。昨日の深夜から今日の未明にかけても3件のアクセスがあった。
日時 | IPアドレス | アクセス内容 |
19/Sep/2004:23:08:51 | 210.175.3.231 | SEARCH 〜: URI too long |
19/Sep/2004:23:50:39 | 210.6.126.88 | SEARCH 〜: URI too long |
20/Sep/2004:01:58:43 | 211.62.238.224 | SEARCH 〜: URI too long |
アクセス内容は SEARCHコマンドにとてつもなく長くバイナリコードが埋め込まれたパラメタが指定されており、いかにもバッファオーバランの脆弱性を突こうとしている様子。ログによると、ここ数日来ずっと、11時過ぎた深夜から未明にかけて定期的にアクセス(侵入攻撃?)してきている(*1)。IPアドレスは毎回異なっている。インターネット上にはウィルスかワームに感染している Windows機が一杯あるって事で、夜になるとパソコンに電源入れてインターネットに接続、知らずにウィルス、ワームによる侵入攻撃を繰り返しているんだろう。
送信元のIPアドレスを見ると、私がプロバイダ(DION)から取得したIPアドレスに近い気がするんだが、そうすると感染者は同じプロバイダのユーザってことかな?
(*1):この記事を書いた後、9:50am、9:57am にも同様のアクセスがあった。さらにログを詳しく見ていたらWindows 2000 Serverの "nsiislog.dll"の脆弱性 を突こうとするアクセスも記録されていた。
|