僕の家のサーバで、変なログが残っていたので解析してみました。変なログってのはこんなのです。
"GET /?..?..?../winnt/system32/cmd.exe?/c+dir HTTP/1.1" 200 1120 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.5) Gecko/20041107 Firefox/1.0"
で、ネット上で調べてみると、Nimdaに感染したマシンからのアタックなんだそうで。Nimdaっていうと情知の人なら覚えてるかもしれませんが、Windowsのある脆弱性をついた感染力の強いワームのことです。2001年にピークを迎えて、もう収まってるものかと思ったら、まだネット上を徘徊してるんですね。早いところ撲滅してほしいところです。
ここで問題なんですが、このアタックに対して当サーバは200を返していたりします。これって、このコマンドを受理して実行したってことなんでは?でも、Linuxサーバだし、そんなコマンドが通るものなんだろうか。というわけで、現在検索中です。情報をいただけるとうれしいです。
