Symantec CIDS シグネチャ - HTTP Hylafax Faxsurvey Remote PW Access

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: HTTP Hylafax Faxsurvey Remote PW Access
侵入 URL: www.test.jp/test/cgibin/faxsurvey?/bin/cat%20/etc/passwd
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 1740

［調査］
Hylafax とは？
Fax 送受信に使われる古いパッケージ。
この中に faxsurvey というコマンドがあり、入力チェックをしない不具合がある。


①faxsurvey パッケージは入っていない。
②Symantec はこの通信をブロックした。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。

Symantec CIDS シグネチャ - HTTP JJ Sample CGI Cmd Exec

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: HTTP JJ Sample CGI Cmd Exec
侵入 URL: www.test.jp/test/cgi-bin/jj?pwd=SDGROCKS&pop=0&name=rudi&adr=elder4&phone=4523534~/bin/ls
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 4382

［調査］
jj とは？
jj は CGI のサンプルプログラム。このプログラムに問題があるため、コマンド実行されるおそれがある。

①jj は入っていない。
②Symantec はこの通信をブロックした。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。

Symantec CIDS シグネチャ - HTTP Info2www CGI Command Exec

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: HTTP Info2www CGI Command Exec
侵入 URL: www.test.jp/test/cgi-bin/info2www?(../../../../../../../bin/mail
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 4378

［調査］
info2www とは？
info ファイルを www ブラウザで閲覧できるようにする。

古いバージョンの info2www では ルート権限でプロセスを実行できてしまうバグがあり、そのためにコマンド実行が試行された。

①info2www パッケージは入っていない。
②Symantec はこの通信をブロックした。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。

Symantec CIDS シグネチャ - HTTP htdig File Disclosure CVE-2000-0208

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: Attack: HTTP htdig File Disclosure CVE-2000-0208
侵入 URL: www.redsonline.jp/test/cgi-bin/htsearch?exclude=%60%60
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 4281

［調査］
htdig とは？
小規模サイトのWeb検索や索引を作成するシステム。
10年以上前の古いパッケージ。
htsearch は htdig の持つフロントエンドのコマンドで、実際のサーチ（検索）を行う。

%60 は `（バックスラッシュ）の文字コード。

htdig を使っていなければ問題ないものであり、また、Symantec もブロックしている。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。

Symantec CIDS シグネチャ - HTTP SCO Skunkware ViewSrc Traversal

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: HTTP SCO Skunkware ViewSrc Traversal
侵入 URL: www.test/test/_vti_pvt/authors.pwdgi-bin/view-source?../../../../../../../etc/passwd
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 2877

［調査］
vti_pvt というディレクトリにアクセスしている。
FrontPage、Expression Web、または SharePoint Designer をインストールすると作成されるディレクトリ。
これらソフトは使っていないので対象外。

上位フォルダへアクセスして、そこから /etc/passwd フォルダを見ようとしている。
Linux が対象の攻撃。
Windows サーバなら対象外。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、スキャン性で問題のないイベントでした。

Symantec CIDS シグネチャ - Web Attack: ISM DLL Remote Administration

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: Web Attack: ISM DLL Remote Administration
侵入 URL: www.test.jp/test/scripts/iisadmin/ism.dll?dir/bdir+??c:
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 2284

［調査］
HTTP Htgrep CGI File Access とセットでやってきました。
HTTP Htgrep CGI File Access は Linux をターゲットにしていますが、ISM DLL Remote Administration は Windows をターゲットにしています。

このシグネチャは IIS 4.0 という古いバージョンの古い脆弱性を突いた攻撃を検知するものでした。
従って、最近のサーバに対しては無意味な攻撃となります。

Symantec はこの通信をブロックしましたが、あまり意味のない感じですね。。

攻撃元 IP アドレスはファイヤーウォールで止めておきました。

Symantec CIDS シグネチャ - HTTP Htgrep CGI File Access

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: HTTP Htgrep CGI File Access
侵入 URL: www.test.jp/test/cgi-bin/htgrep/file=index.html&hdr=/etc/passwd
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 1932

［調査］
htgrep とは？
Perl で作られた CGI スクリプト。もう古いパッケージで既にサポートもされていない。
htgrep パッケージを使ってファイルの中身が見れるかどうかを確認するためのスキャン攻撃。

①htgrep パッケージは入っていない。
②Windows サーバだが、/etc/passwd と Linux のファイルをアクセスしようとしている。
③Symantec はこの通信をブロックした。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。