WebDAV 攻撃 [Computer and Networking ]

今週になって WebDAV の脆弱性を狙った HTTP server への攻撃が目立つようになった。次のようなアクセスログが残されている。

x.x.x.x - - [08/Mar/2004:18:48:51 +0900] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0...


WebDAV への攻撃は従来からもあったが、これは特に Microsoft IIS 5.0 の脆弱性を突くもので、CERT の CA-2003-09(JPCERT による日本語訳) で注意を喚起している。当サイトは WebDAV を導入していないし、FreeBSD での運用であるから、これによって侵入を許すようなことは無いものの 32KB もの文字列が送られて来ており、鬱陶しいこと夥しい。

3/11 追記
トレンドマイクロ社が発表した情報によると WORM_AGOBOT.PY というワームが、この脆弱性を突いた攻撃をおこなうらしい。タイミングからして恐らくこれだろう。

3/12 追記
今日はもう攻撃が来ない。会社のサーバにはそれらしい攻撃の形跡は記録されていない。一体何だったのか。

3/16 追記
一旦は収まったかに見えたが、またぼちぼち来ている。やはり鬱陶しい。

3/19 追記
このウィルスの亜種が色々でているらしい。トレンドマイクロ社では上記のように AGOBOT と呼んでいるが、シマンテック社では W32.HLL.Gaobot とされている。

4/21 追記
アタックは未だに続いていて微増傾向にで日に30件くらいある。AGOBOT(GAOBOT)だろうというのは、現在流行しているこれらのウィルスが IIS の WebDAV 脆弱性を突くという情報からの推測だが、具体的な攻撃パターンが提供されてはいないから特定はできていない。

agobot
bird.dip.jp: WebDAV 攻撃今週になって、httpd-access.logに変なログが大量に溜まるようになり、nimdaに続く攻撃っぽい。01/Apr/2004:11:01:03 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\...

WebDAVアタック
　Apacheのログを見てたら 61.xxx.xxx.xxx- - [02/Apr/2004:12:54:13 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\・・・ という膨大なログが何度も。 　IISのWebDAVへのアタックだそうだ。...

WORM_AGOBOT.PY
今度は、"SEARCH /\x90\x02\xb1\x02\xb1〓略〓\x90\x90\x90"というリクエスト。 これもググったところ、WORM_AGOBOT.PYらしい。 んっと、なんだかなぁ、といった感じです。...

WebDAVアタック対処
bird.dip.jp: WebDAV 攻撃 今年に入ってからポツポツと大きいURIを要求してきた形跡がログに残り始めました。 219.154.35.155 - - [20/Apr/2004:21:37:11 +0900] "SEARCH /\x90\x02\xb1.....(この間、約30KBくらい)..\x90...

検索ロボットとかアタック？
webサーバのログって見てもよくわかりませんよね？それでもせっかく記録してくれてるんだしコレはなんとかわかるようにしよう！って思いまして、ログについて調べたんです。 そした�...