Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。
[検出したリスク (抜粋)]
シグネチャ名: Web Attack: ISM DLL Remote Administration
侵入 URL: www.test.jp/test/scripts/iisadmin/ism.dll?dir/bdir+??c:
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 2284
[調査]
HTTP Htgrep CGI File Access とセットでやってきました。
HTTP Htgrep CGI File Access は Linux をターゲットにしていますが、ISM DLL Remote Administration は Windows をターゲットにしています。
このシグネチャは IIS 4.0 という古いバージョンの古い脆弱性を突いた攻撃を検知するものでした。
従って、最近のサーバに対しては無意味な攻撃となります。
Symantec はこの通信をブロックしましたが、あまり意味のない感じですね。。
攻撃元 IP アドレスはファイヤーウォールで止めておきました。
登録:
コメントの投稿 (Atom)
0 コメント:
コメントを投稿