Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。
[検出したリスク (抜粋)]
シグネチャ名: HTTP Info2www CGI Command Exec
侵入 URL: www.test.jp/test/cgi-bin/info2www?(../../../../../../../bin/mail
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 4378
[調査]
info2www とは?
info ファイルを www ブラウザで閲覧できるようにする。
古いバージョンの info2www では ルート権限でプロセスを実行できてしまうバグがあり、そのためにコマンド実行が試行された。
①info2www パッケージは入っていない。
②Symantec はこの通信をブロックした。
攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。
登録:
コメントの投稿 (Atom)
0 コメント:
コメントを投稿