[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:10664] Re: Log of apache
-
From:Etsuo SUMIYA
-
Date:Sat, 18 Aug 2001 15:28:35 +0900
- Subject: [plamo:10664] Re: Log of apache
- From: Etsuo SUMIYA <sumiya@xxxxxxxxxxxxxxxxxx>
- Date: Sat, 18 Aug 2001 15:28:35 +0900
- Posted: Sat, 18 Aug 2001 15:28:30 +0900
炭屋といいます。
「[plamo:10663] Log of apache」にて
早間義博 <yossi@yedo.src.co.jp> さん:
> Code Red 関連のログをみていると中にホスト名が記録されている
> (HostnameLookups on) アクセスでホスト名で逆引き出来ないホスト名が
> あります。apache に嘘(?)のホスト名を直接送り込めるのでしょうか
いい加減に、収束してくれないかと思っていますが、なかなか終ら
ずうんざりしてしまいます。
私の所属している会社ではホスティングサービスを利用して、
Mail, Web serverを利用しています。8月のアタックが始まった頃、
会社のサーバにもアタックがありました。
「アタックをしているサーバの管理者に対して、攻撃を止めるよう
連絡したりはしないのか?」とサービス会社に問い合わせた所、
「IPを偽称しているホストがあり無理だ」という返事をもらいまし
た。その時はそれなりに納得したのですが、JPCERTの記事などを参
考にすると、Code Redの場合は
> "GET /default.ida?XX..."
を送った後、応答のあったサーバに対してファイル、システムの改
竄を行なって始めてサーバの攻撃が完了したことになります。IPの
偽称を行なっていると"GET /default.ida?XX..."の応答をもらえな
いことになり、攻撃する意味がありません。だから、私はサービス
会社の説明は「間違い」だと最近は思っています。
逆引きできないのは、DNSに登録されていないだけだと思います。
---
炭屋悦緒 また野望に一歩近付いた...
Mail: sumiya@tiger.dnsalias.org
http://www.ymg.urban.ne.jp/home/sumiya/
- References
-
- [plamo:10663] Log of apache, 早間義博
[検索ページ]
[メール一覧]
Plamo ML 公開システム