Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。
[検出したリスク (抜粋)]
シグネチャ名: HTTP JJ Sample CGI Cmd Exec
侵入 URL: www.test.jp/test/cgi-bin/jj?pwd=SDGROCKS&pop=0&name=rudi&adr=elder4&phone=4523534~/bin/ls
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 4382
[調査]
jj とは?
jj は CGI のサンプルプログラム。このプログラムに問題があるため、コマンド実行されるおそれがある。
①jj は入っていない。
②Symantec はこの通信をブロックした。
攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。
登録:
コメントの投稿 (Atom)
0 コメント:
コメントを投稿