w00tw00

ちょっと前からの話になるかもしれませんが、

 "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1"

のような若干かわいいログがいまだにaccess.log等で見つかります。

DFindっていうツールによるスキャンの痕跡のようですが、なにをするかというとシマンテックさんの情報によれば以下のようなサービスの稼動状態や脆弱性の有無をスキャンしているようです。

 開いている TCP ポートと UDP ポート 
 HP Web サーバ 
 PSOProxy サーバ 
 HP Web サーバ 
 Microsoft Frontpage 
 Hacktool.Radmin 
 RealServer 
 Apache サーバ 
 IIS サーバ 
 Windows Media サービス 
 パスワードで保護されていない IPC$ 共有 
 Microsoft IIS Web サーバの安易な書き込み許可 
 Backdoor.OptixPro.10 とその亜種 
 SQL サーバに対するディクショナリ攻撃 
 Hacktool.Radmin の NULL/AT Auth/パスワード接続 
 CCBill Web サーバモジュール 
 PHPbb Web サーバモジュール 
 PHP-Nuke Web サーバモジュール 
 WebDav enabled on IIS5.0 Web サーバ 
 Microsoft Windows IIS インデックスサーバ ISAPI システムレベルのリモートアクセ スのバッファオーバーフロー

「400 Bad Request」で応答していれば問題ないですが、それ以外の反応をしてしまっている場合は注意でしょう。

[カテゴリ:botnet観察日記]

by jyake