[plamo:10664] Re: Log of apache

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:10664] Re: Log of apache

From:Etsuo SUMIYA

Date:Sat, 18 Aug 2001 15:28:35 +0900

Subject: [plamo:10664] Re: Log of apache
From: Etsuo SUMIYA <sumiya@xxxxxxxxxxxxxxxxxx>
Date: Sat, 18 Aug 2001 15:28:35 +0900
Posted: Sat, 18 Aug 2001 15:28:30 +0900

炭屋といいます。

「[plamo:10663] Log of apache」にて
早間義博 <yossi@yedo.src.co.jp> さん:

> Code Red 関連のログをみていると中にホスト名が記録されている
> (HostnameLookups on) アクセスでホスト名で逆引き出来ないホスト名が
> あります。apache に嘘(?)のホスト名を直接送り込めるのでしょうか

いい加減に、収束してくれないかと思っていますが、なかなか終ら
ずうんざりしてしまいます。

私の所属している会社ではホスティングサービスを利用して、
Mail, Web serverを利用しています。8月のアタックが始まった頃、
会社のサーバにもアタックがありました。

「アタックをしているサーバの管理者に対して、攻撃を止めるよう
連絡したりはしないのか？」とサービス会社に問い合わせた所、

「IPを偽称しているホストがあり無理だ」という返事をもらいまし
た。その時はそれなりに納得したのですが、JPCERTの記事などを参
考にすると、Code Redの場合は

> "GET /default.ida?XX..."

を送った後、応答のあったサーバに対してファイル、システムの改
竄を行なって始めてサーバの攻撃が完了したことになります。IPの
偽称を行なっていると"GET /default.ida?XX..."の応答をもらえな
いことになり、攻撃する意味がありません。だから、私はサービス
会社の説明は「間違い」だと最近は思っています。

逆引きできないのは、DNSに登録されていないだけだと思います。
---
炭屋悦緒   また野望に一歩近付いた...
Mail: sumiya@tiger.dnsalias.org
http://www.ymg.urban.ne.jp/home/sumiya/

References
: [plamo:10663] Log of apache, 早間義博

Prev by Date: [plamo:10663] Log of apache
Next by Date: [plamo:10665] Re: Log of apache
Previous by thread: [plamo:10663] Log of apache
Next by thread: [plamo:10665] Re: Log of apache
Index(es):
- Date
- Thread

[検索ページ] [メール一覧]
Plamo ML 公開システム