アクセスログによると、昨日の深夜から今日にかけて怪しいアクセスが記録されていた。

　昨日の、

┃　何が言いたいのかと言うと、先日発見された Samba の穴もそうなんだが、
┃早く Apache (Web共有)の穴を塞いでもらいたいなぁって事だ。

　実はBlogホームページを立ち上げてから、たまにはシステムのログを見るようにしているんだが、時々 Web共有(httpd) のアクセスログに、いかにもウィルス、ワームからと思われるアクセスが記録されているんだ。昨日の深夜から今日の未明にかけても３件のアクセスがあった。

日時	IPアドレス	アクセス内容
19/Sep/2004:23:08:51	210.175.3.231	SEARCH 〜: URI too long
19/Sep/2004:23:50:39	210.6.126.88	SEARCH 〜: URI too long
20/Sep/2004:01:58:43	211.62.238.224	SEARCH 〜: URI too long

　アクセス内容は SEARCHコマンドにとてつもなく長くバイナリコードが埋め込まれたパラメタが指定されており、いかにもバッファオーバランの脆弱性を突こうとしている様子。ログによると、ここ数日来ずっと、11時過ぎた深夜から未明にかけて定期的にアクセス(侵入攻撃?)してきている(*1)。IPアドレスは毎回異なっている。インターネット上にはウィルスかワームに感染している Windows機が一杯あるって事で、夜になるとパソコンに電源入れてインターネットに接続、知らずにウィルス、ワームによる侵入攻撃を繰り返しているんだろう。

　送信元のIPアドレスを見ると、私がプロバイダ(DION)から取得したIPアドレスに近い気がするんだが、そうすると感染者は同じプロバイダのユーザってことかな？

内ト / Sep 20th, 2004 08:34 / [ 編集 ] [ コメントする ] [ TrackBack(0) ]