今週になって WebDAV の脆弱性を狙った HTTP server への攻撃が目立つようになった。次のようなアクセスログが残されている。
x.x.x.x - - [08/Mar/2004:18:48:51 +0900] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0...
WebDAV への攻撃は従来からもあったが、これは特に Microsoft IIS 5.0 の脆弱性を突くもので、CERT の CA-2003-09(JPCERT による日本語訳) で注意を喚起している。当サイトは WebDAV を導入していないし、FreeBSD での運用であるから、これによって侵入を許すようなことは無いものの 32KB もの文字列が送られて来ており、鬱陶しいこと夥しい。
3/11 追記
トレンドマイクロ社が発表した情報によると WORM_AGOBOT.PY というワームが、この脆弱性を突いた攻撃をおこなうらしい。タイミングからして恐らくこれだろう。
3/12 追記
今日はもう攻撃が来ない。会社のサーバにはそれらしい攻撃の形跡は記録されていない。一体何だったのか。
3/16 追記
一旦は収まったかに見えたが、またぼちぼち来ている。やはり鬱陶しい。
3/19 追記
このウィルスの亜種が色々でているらしい。トレンドマイクロ社では上記のように AGOBOT と呼んでいるが、シマンテック社では W32.HLL.Gaobot とされている。
4/21 追記
アタックは未だに続いていて微増傾向にで日に30件くらいある。AGOBOT(GAOBOT)だろうというのは、現在流行しているこれらのウィルスが IIS の WebDAV 脆弱性を突くという情報からの推測だが、具体的な攻撃パターンが提供されてはいないから特定はできていない。
agobot
bird.dip.jp: WebDAV 攻撃今週になって、httpd-access.logに変なログが大量に溜まるようになり、nimdaに続く攻撃っぽい。01/Apr/2004:11:01:03 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\...
WebDAVアタック
Apacheのログを見てたら 61.xxx.xxx.xxx- - [02/Apr/2004:12:54:13 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\・・・ という膨大なログが何度も。 IISのWebDAVへのアタックだそうだ。...
WORM_AGOBOT.PY
今度は、"SEARCH /\x90\x02\xb1\x02\xb1〓略〓\x90\x90\x90"というリクエスト。 これもググったところ、WORM_AGOBOT.PYらしい。 んっと、なんだかなぁ、といった感じです。...
WebDAVアタック対処
bird.dip.jp: WebDAV 攻撃 今年に入ってからポツポツと大きいURIを要求してきた形跡がログに残り始めました。 219.154.35.155 - - [20/Apr/2004:21:37:11 +0900] "SEARCH /\x90\x02\xb1.....(この間、約30KBくらい)..\x90...
検索ロボットとかアタック?
webサーバのログって見てもよくわかりませんよね?それでもせっかく記録してくれてるんだしコレはなんとかわかるようにしよう!って思いまして、ログについて調べたんです。
そした...
おそらく携帯電話等からは投稿できません。日本語文字列を含まないコメントやトラックバック、および当サイトへの言及を含まないトラックバックは御遠慮いただいております。また、90日以上経過した記事へのコメントはできません。