僕の家のサーバで、変なログが残っていたので解析してみました。変なログってのはこんなのです。
"GET /?..?..?../winnt/system32/cmd.exe?/c+dir HTTP/1.1" 200 1120 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.5) Gecko/20041107 Firefox/1.0"
で、ネット上で調べてみると、Nimdaに感染したマシンからのアタックなんだそうで。Nimdaっていうと情知の人なら覚えてるかもしれませんが、Windowsのある脆弱性をついた感染力の強いワームのことです。2001年にピークを迎えて、もう収まってるものかと思ったら、まだネット上を徘徊してるんですね。早いところ撲滅してほしいところです。
ここで問題なんですが、このアタックに対して当サーバは200を返していたりします。これって、このコマンドを受理して実行したってことなんでは?でも、Linuxサーバだし、そんなコマンドが通るものなんだろうか。というわけで、現在検索中です。情報をいただけるとうれしいです。
Comments [2]
ミ ´ヮ` ミさん
GETの場合、?の後ろの文字列はcgiなんかへの引数になりますが、/がただのhtmlファイルの場合、引数は無視されるので、普通にhtmlが表示されて終わりです。
tetsuさん
ふむ、なるほど。つまりこの場合なら、サーバの一番上位、http://ServerName/index.html
が表示されてるだけってわけですね。ありがとうございました。
コメントする