Symantec CIDS シグネチャ - HTTP Hylafax Faxsurvey Remote PW Access

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: HTTP Hylafax Faxsurvey Remote PW Access 侵入 URL: www.test.jp/test/cgibin/faxsurvey?/bin/cat%20/etc/passwd リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 1740 ［調査］ Hylafax とは？ Fax 送受信に使われる古いパッケージ。 この中に faxsurvey というコマンドがあり、入力チェックをしない不具合がある。 ①faxsurvey パッケージは入っていない。 ②Symantec はこの通信をブロックした。 攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。 (adsbygoogle...

Symantec CIDS シグネチャ - HTTP JJ Sample CGI Cmd Exec

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: HTTP JJ Sample CGI Cmd Exec 侵入 URL: www.test.jp/test/cgi-bin/jj?pwd=SDGROCKS&pop=0&name=rudi&adr=elder4&phone=4523534~/bin/ls リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 4382 ［調査］ jj とは？ jj は CGI のサンプルプログラム。このプログラムに問題があるため、コマンド実行されるおそれがある。 ①jj は入っていない。 ②Symantec はこの通信をブロックした。 攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。 (adsbygoogle...

Symantec CIDS シグネチャ - HTTP Info2www CGI Command Exec

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: HTTP Info2www CGI Command Exec 侵入 URL: www.test.jp/test/cgi-bin/info2www?(../../../../../../../bin/mail リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 4378 ［調査］ info2www とは？ info ファイルを www ブラウザで閲覧できるようにする。 古いバージョンの info2www では ルート権限でプロセスを実行できてしまうバグがあり、そのためにコマンド実行が試行された。 ①info2www パッケージは入っていない。 ②Symantec はこの通信をブロックした。 攻撃元...

Symantec CIDS シグネチャ - HTTP htdig File Disclosure CVE-2000-0208

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: Attack: HTTP htdig File Disclosure CVE-2000-0208 侵入 URL: www.redsonline.jp/test/cgi-bin/htsearch?exclude=%60%60 リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 4281 ［調査］ htdig とは？ 小規模サイトのWeb検索や索引を作成するシステム。 10年以上前の古いパッケージ。 htsearch は htdig の持つフロントエンドのコマンドで、実際のサーチ（検索）を行う。 %60 は `（バックスラッシュ）の文字コード。 htdig を使っていなければ問題ないものであり、また、Symantec...

Symantec CIDS シグネチャ - HTTP SCO Skunkware ViewSrc Traversal

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: HTTP SCO Skunkware ViewSrc Traversal 侵入 URL: www.test/test/_vti_pvt/authors.pwdgi-bin/view-source?../../../../../../../etc/passwd リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 2877 ［調査］ vti_pvt というディレクトリにアクセスしている。 FrontPage、Expression Web、または SharePoint Designer をインストールすると作成されるディレクトリ。 これらソフトは使っていないので対象外。 上位フォルダへアクセスして、そこから...

Symantec CIDS シグネチャ - Web Attack: ISM DLL Remote Administration

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: Web Attack: ISM DLL Remote Administration 侵入 URL: www.test.jp/test/scripts/iisadmin/ism.dll?dir/bdir+??c: リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 2284 ［調査］ HTTP Htgrep CGI File Access とセットでやってきました。 HTTP Htgrep CGI File Access は Linux をターゲットにしていますが、ISM DLL Remote Administration は Windows をターゲットにしています。 このシグネチャは IIS 4.0...

Symantec CIDS シグネチャ - HTTP Htgrep CGI File Access

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク （抜粋）］ シグネチャ名: HTTP Htgrep CGI File Access 侵入 URL: www.test.jp/test/cgi-bin/htgrep/file=index.html&hdr=/etc/passwd リモート IP: 103.249.28.163 ローカルポート: 80 リモートポート: 1932 ［調査］ htgrep とは？ Perl で作られた CGI スクリプト。もう古いパッケージで既にサポートもされていない。 htgrep パッケージを使ってファイルの中身が見れるかどうかを確認するためのスキャン攻撃。 ①htgrep パッケージは入っていない。 ②Windows サーバだが、/etc/passwd と Linux のファイルをアクセスしようとしている。 ③Symantec...