Nimdaの攻撃?

  • 更新日:
  • サーバ管理

僕の家のサーバで、変なログが残っていたので解析してみました。変なログってのはこんなのです。

"GET /?..?..?../winnt/system32/cmd.exe?/c+dir HTTP/1.1" 200 1120 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.5) Gecko/20041107 Firefox/1.0"

で、ネット上で調べてみると、Nimdaに感染したマシンからのアタックなんだそうで。Nimdaっていうと情知の人なら覚えてるかもしれませんが、Windowsのある脆弱性をついた感染力の強いワームのことです。2001年にピークを迎えて、もう収まってるものかと思ったら、まだネット上を徘徊してるんですね。早いところ撲滅してほしいところです。

ここで問題なんですが、このアタックに対して当サーバは200を返していたりします。これって、このコマンドを受理して実行したってことなんでは?でも、Linuxサーバだし、そんなコマンドが通るものなんだろうか。というわけで、現在検索中です。情報をいただけるとうれしいです。

Track Back

Track Back URL

Comments [2]

GETの場合、?の後ろの文字列はcgiなんかへの引数になりますが、/がただのhtmlファイルの場合、引数は無視されるので、普通にhtmlが表示されて終わりです。

ふむ、なるほど。つまりこの場合なら、サーバの一番上位、http://ServerName/index.html
が表示されてるだけってわけですね。ありがとうございました。

コメントする

公開されません

refresh captcha

画像の中に見える文字を入力してください。

このページの上部へ

About

tetsuの日記・雑記です。
日々経験したことを記録していきます。

広告

サイト内検索

最近のピクチャ

  • リアディレーラ

月別アーカイブ

最近のコメント