w00tw00
Published: 2008/03/31
ちょっと前からの話になるかもしれませんが、
"GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1"
のような若干かわいいログがいまだにaccess.log等で見つかります。
DFindっていうツールによるスキャンの痕跡のようですが、なにをするかというとシマンテックさんの情報によれば以下のようなサービスの稼動状態や脆弱性の有無をスキャンしているようです。
開いている TCP ポートと UDP ポート HP Web サーバ PSOProxy サーバ HP Web サーバ Microsoft Frontpage Hacktool.Radmin RealServer Apache サーバ IIS サーバ Windows Media サービス パスワードで保護されていない IPC$ 共有 Microsoft IIS Web サーバの安易な書き込み許可 Backdoor.OptixPro.10 とその亜種 SQL サーバに対するディクショナリ攻撃 Hacktool.Radmin の NULL/AT Auth/パスワード接続 CCBill Web サーバモジュール PHPbb Web サーバモジュール PHP-Nuke Web サーバモジュール WebDav enabled on IIS5.0 Web サーバ Microsoft Windows IIS インデックスサーバ ISAPI システムレベルのリモートアクセ スのバッファオーバーフロー
「400 Bad Request」で応答していれば問題ないですが、それ以外の反応をしてしまっている場合は注意でしょう。
by jyake