202.57.97.23 - - [21/Jul/2006:11:47:40 +0900] "SEARCH /\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\
…(中略)
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\" 414 271202.57.97.23 - - [21/Jul/2006:11:48:12 +0900] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 325
というログが。いたずらされた跡。これはなんていう攻撃に分類されるんだっけ?長いURLを送りつけてバッファオーバーフローとかさせるとか?誰か教えて!
二つ目のPOSTにはdllファイルが指定されてるのを見ると、Windowsサーバーへの攻撃だってことなんかな。
- Memo
- status 414 Request-URI Too Long
追記:
http://support.microsoft.com/kb/248061/JA/
を見てみると
現象
ブラウザからインターネット インフォメーション サービス (IIS) に接続すると、次のエラー メッセージが表示されます。
HTTP 414 - Request-URI が長すぎます(略)
- サーバーに、Request-URI の読み取りまたは操作に固定長バッファを使用する一部のサーバーに存在するセキュリティ ホールがあり、そのセキュリティ ホールへの攻撃を試みているクライアントがある場合。
なるほど。URI読み取りに固定長のバッファを使うようなサーバーの場合、長過ぎるURIを指定されるとバッファからデーターがはみ出ちゃってバッファオーバーフローを引き起こすって事なんですね。Apacheはどうなんだろ
更に追記
http://www.web-ware.org/cgi/npindex/46/open_view.html
を見てみると
IIS狙いのDOS攻撃らしいです。古くからある手法ですが、2004年3月末辺りから多少増えているようで、4月頭現在まで、毎日どこからかは来ます。
エラーコード 414 = Request-URI Too Long です
とある。やっぱりWindowsサーバーへの攻撃だった。予想があたったのでうれしい。
DoSとして分類されてます。
特に被害はないけど、変なログが混ざるのは気持ち悪いですね。SEARCHメソッドなんて使わないから、httpd.confを設定し直してメソッドから除外したらいいかな。
