2015年6月2日火曜日

Symantec CIDS シグネチャ - HTTP Htgrep CGI File Access

Posted on

0

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

[検出したリスク (抜粋)]
シグネチャ名: HTTP Htgrep CGI File Access
侵入 URL: www.test.jp/test/cgi-bin/htgrep/file=index.html&hdr=/etc/passwd
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 1932

[調査]
htgrep とは?
Perl で作られた CGI スクリプト。もう古いパッケージで既にサポートもされていない。
htgrep パッケージを使ってファイルの中身が見れるかどうかを確認するためのスキャン攻撃。

①htgrep パッケージは入っていない。
②Windows サーバだが、/etc/passwd と Linux のファイルをアクセスしようとしている。
③Symantec はこの通信をブロックした。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。


Related Posts:

  • Windows マシンをリモートでアクセスする時 RDP は必ずログオフで切断することWindows マシンをリモートでアクセスするのに RDP を使うケース。 作業が終わったら、再接続のために×ボタンで切断したり、タイムアウトでセッションを切断することがある。 しかし、この様な場合、管理マネージャを見れば分かるが、RDPセッションはアクティブのまま残っている。 このような状態… Read More
  • glibc の脆弱性。議論する前に適用を。glibc の脆弱性が公開されて数日経ちました。 緊急だと騒いだり、影響は少ないから落ち着いて対処をと言ったり。。。 どっちが正しいかを考える必要はない。 攻撃コードが作成される可能性がある。 だから、そうなってしまう前にパッチを急いで当てれば良い。 もし不要なパッチなら適用するのは無駄な作… Read More
  • セキュリティ侵害とはいつも隣り合わせ私はいつもセキュリティ侵害と隣合わせで仕事をしている。 だから毎日いろんなログをチェックする。 不正なプロセスが上がってないか、サービスが登録されたりしていないか、未知のファイルが生成されていないか、C&C サーバへの通信は起きていないか、RDP のリバースターミナルが作られていないか、… Read More
  • ジョブ($~$Sys0$.job)の実行履歴タスクスケジューラのログファイル SchedLgU.Txt  にこのようなログが表示されていた場合。 "$~$Sys0$.job" (rundll32.exe)         開始 20xx/xx/xx mm:dd:ss   &nbs… Read More
  • STOP エラーの後、タスクスケジューラサービスの起動に失敗Windows 2003 Server で起きた問題。 STOP エラーが起きた直後で、タスクスケジューラサービスの起動に失敗したことがありました。 OS 起動時のダイアログ タイトル: サービス コントロール マネージャ システム スタートアップの最中、少なカウとも 1 つのサービスまた… Read More

0 コメント:

コメントを投稿

登録: コメントの投稿 (Atom)