Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。
[検出したリスク (抜粋)]
シグネチャ名: HTTP Htgrep CGI File Access
侵入 URL: www.test.jp/test/cgi-bin/htgrep/file=index.html&hdr=/etc/passwd
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 1932
[調査]
htgrep とは?
Perl で作られた CGI スクリプト。もう古いパッケージで既にサポートもされていない。
htgrep パッケージを使ってファイルの中身が見れるかどうかを確認するためのスキャン攻撃。
①htgrep パッケージは入っていない。
②Windows サーバだが、/etc/passwd と Linux のファイルをアクセスしようとしている。
③Symantec はこの通信をブロックした。
攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。
登録:
コメントの投稿 (Atom)
0 コメント:
コメントを投稿