Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。
[検出したリスク (抜粋)]
シグネチャ名: HTTP SCO Skunkware ViewSrc Traversal
侵入 URL: www.test/test/_vti_pvt/authors.pwdgi-bin/view-source?../../../../../../../etc/passwd
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 2877
[調査]
vti_pvt というディレクトリにアクセスしている。
FrontPage、Expression Web、または SharePoint Designer をインストールすると作成されるディレクトリ。
これらソフトは使っていないので対象外。
上位フォルダへアクセスして、そこから /etc/passwd フォルダを見ようとしている。
Linux が対象の攻撃。
Windows サーバなら対象外。
攻撃元 IP アドレスはファイヤーウォールで止めたけど、スキャン性で問題のないイベントでした。
登録:
コメントの投稿 (Atom)
0 コメント:
コメントを投稿