新規記事投稿
フォロー記事投稿
記事のキャンセル
From: 竹田 伸幸
<takeda@ses.co.jp>
Subject: Re: これは何?( って、よく判らんけどさ )
Date: 1999/02/02 02:33:54
Reference: internet/00168
2月2日に、Akitaka HOSOMIさんは書きました。
>>/log/messagesを見ていると
同一ホストからであれば、scan 攻撃を受けましたねぇ
>>Jan 30 12:23:54 client-1 IP#2: rx filtered TCP 改行
>> from 129.97.54.10/21447 to 210.234.567.30/23
telnet port へのスキャン
telnet により、サーバの OS を特定し、その OS 固有の危弱性を
ついたアタックが行なえないか調べる意図があります。
もちろん、password アタックの可能性もありますがこれは、login
でログが残るでしょう。
>>Jan 31 03:39:21 client-1 IP#2: rx filtered TCP 改行
>> from 24.66.1.26/29623 to 210.234.567.30/79
finger port へのスキャン
そのサーバに存在するアカウントを調べる意図があります。
FreeBSD の finger はましな実装ですがそれでも、BSD系だと
張れる危険はあります。
>>こんなログが20個ぐらいありました。
pop とか imap とか
あと、apache のログを見たら、/cgi-bin/phf へのアクセスと
かあるんでは。
古いサーバの phf CGI は、いろんなコマンドが実行できてしまう
問題があり、/etc/passwd を盗んだり、へんなコマンドを送って
プログラムを書き込んだりできました。
# 某ISPの松山AP運営元の提供するユーザ向け WWWサーバが
# これでごっそり、ユーザのアカウントをもっていかれた
# ことがあったりしたような。
# たしか、その ISP ドメインの人、ここにもいるような:)
>>24.66.1.26はよそ様でapacheの初期画面だけ張り付けてたし・・・
OSをインストールしただけの無防備な状態で置いていたため、
踏台にされたのでしょう。
>君ってのは、バスに載り合わせた隣の人に対しても、異常に怯える人なのかな?
でなくて、『自分の車が、乗っていない時に知らない人が
なんかゴソゴソしていた』ってのが正しいかもしれない。
もちろん、ちゃんとした防犯対策取った車なら別でしょうが。
悪戯されていないとはいえないわけで。