新規記事投稿

フォロー記事投稿

記事のキャンセル

2月2日に、Akitaka HOSOMIさんは書きました。

＞＞/log/messagesを見ていると

同一ホストからであれば、scan 攻撃を受けましたねぇ

＞＞Jan 30 12:23:54 client-1 IP#2: rx filtered TCP　改行
＞＞ from 129.97.54.10/21447 to 210.234.567.30/23

telnet port へのスキャン

  telnet により、サーバの OS を特定し、その OS 固有の危弱性を
  ついたアタックが行なえないか調べる意図があります。

  もちろん、password アタックの可能性もありますがこれは、login
  でログが残るでしょう。

＞＞Jan 31 03:39:21 client-1 IP#2: rx filtered TCP　改行
＞＞ from 24.66.1.26/29623 to 210.234.567.30/79

finger port へのスキャン

  そのサーバに存在するアカウントを調べる意図があります。

  FreeBSD の finger はましな実装ですがそれでも、BSD系だと
  張れる危険はあります。

＞＞こんなログが２０個ぐらいありました。

pop とか imap とか

あと、apache のログを見たら、/cgi-bin/phf へのアクセスと
かあるんでは。

古いサーバの phf CGI は、いろんなコマンドが実行できてしまう
問題があり、/etc/passwd を盗んだり、へんなコマンドを送って
プログラムを書き込んだりできました。

＃ 某ISPの松山AP運営元の提供するユーザ向け WWWサーバが
＃ これでごっそり、ユーザのアカウントをもっていかれた
＃ ことがあったりしたような。
＃ たしか、その ISP ドメインの人、ここにもいるような:)

＞＞24.66.1.26はよそ様でapacheの初期画面だけ張り付けてたし・・・

OSをインストールしただけの無防備な状態で置いていたため、
踏台にされたのでしょう。

＞君ってのは、バスに載り合わせた隣の人に対しても、異常に怯える人なのかな？

でなくて、『自分の車が、乗っていない時に知らない人が
なんかゴソゴソしていた』ってのが正しいかもしれない。

もちろん、ちゃんとした防犯対策取った車なら別でしょうが。
悪戯されていないとはいえないわけで。