2015年6月2日火曜日

Symantec CIDS シグネチャ - HTTP SCO Skunkware ViewSrc Traversal

Posted on

0

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

[検出したリスク (抜粋)]
シグネチャ名: HTTP SCO Skunkware ViewSrc Traversal
侵入 URL: www.test/test/_vti_pvt/authors.pwdgi-bin/view-source?../../../../../../../etc/passwd
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 2877

[調査]
vti_pvt というディレクトリにアクセスしている。
FrontPage、Expression Web、または SharePoint Designer をインストールすると作成されるディレクトリ。
これらソフトは使っていないので対象外。

上位フォルダへアクセスして、そこから /etc/passwd フォルダを見ようとしている。
Linux が対象の攻撃。
Windows サーバなら対象外。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、スキャン性で問題のないイベントでした。


Related Posts:

  • Windowsの起動と停止をイベントログで確認するWindowsがいつ起動していつ停止したかをイベントログで確認する。 EventLog サービス のログ システム イベントログ に出力。 イベント ソースは EventLog で、サービスの起動が EventID 6005、停止が EventID 6006。 ログのフィルタで 6005 と 60… Read More
  • イベントログの確認をするときに利用するサイト使いやすいサイトは2つあります。 【EVENTID.NET】 http://www.eventid.net/ Top 画面から、または[Search]のところから、Event ID と Event Source を入力して内容を検索できます。 【Event-o-Pedia】 http://… Read More
  • Search Stringコマンドは findstr /S /M "Bome" * Search String は PrcWorks0、Bome、UPX0、UPX1、UPX3、xfa、daxe、sqq] この意味分かるかな? (adsbygoogle = window.adsbygoogle || []).pus… Read More
  • Security ToolsetWireShark Sysinternals suite  - Process Explorer  - tcpmon msconfig (adsbygoogle = window.adsbygoogle || []).push({}); … Read More
  • ActiveDefenseで悪性ファイルを検出するマルウェア検出機能を持ったツールはたくさんある。 Active Defense の Digital DNA は未知のマルウェアを検出する用途では有名なツール。 一つ一つクリアかどうかを判断するため運用は大変な部分があるが、チェック対象のプログラムやモジュールがどんな関数を使っているかを見てスコア… Read More

0 コメント:

コメントを投稿

登録: コメントの投稿 (Atom)