不審なアクセスログ その２

前の記事に書いた、不審なSEARCHコマンドについて、webをさまよって調べると、下記の記事にヒット。
http://memoirs.is.kochi-u.ac.jp/Vol29/MemoirsF29-04.pdf
これによると、W32.HLLW.Gaobot.genなるウィルスが、非常によく似たSEARCHコマンドを投げてくるようだ。
このウィルスが狙っているのは、MS03-007の脆弱性「Windows コンポーネントの未チェックのバッファにより、Web サーバーが侵害される」というもの。
また同時に、MS FrontPageの脆弱性を突くための攻撃、fp30reg.dllも来ているとのこと。

この記事と同じパターンの攻撃のようだ。
やってきていたのは、これの亜種だろうか？
ログをよく見ると、
最初にGETコマンドで接続してURLを確認し、
次にSEARCHコマンドで不正なHTTPリクエストを行い、
最後にFrontPageを攻略するためのdllをPOSTする。
３つがワンセットだ。

MS03-007というのは、2003年にMSからパッチが提供されているものだが、まだ適用されてないPCがたくさんあるということだろうか。

不審なアクセスログ

自宅サーバーは無事に稼働しているのだが、このところ、不審なアクセスログが。
apache2のログを見ると、月数回、多いときは毎日、奇妙なアクセスがあるようだ。

その１。
"SEARCH /\x90\xc9\xc9\xc・・・・\x90\x90"
やたらと長いアクセスログで、およそ意味のある文字ではない。。
何をsearchしてるんだろう？
apacheが、エラーメッセージ"414 Request-URI Too Long" を残して弾いているようだ。

その２。
"POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1"
fp30reg.dllって？自宅サーバーのOSはWindowsではないんだけど・・・
エラーメッセージは400、つまり「不正なリクエスト」らしい。

その３。
"GET HTTP/1.1 HTTP/1.1" 400 303 "-" "Toata dragostea mea pentru diavola"
Toata・・・って、英語かな？
これも「不正なリクエスト」に分類されている。

ログに残ったメッセージをgoogleで検索してみた。
以下のサイトを発見。
http://okasoft.ddo.jp/webmake/bunseki/err_data.html
これによると、その２については、Microsoft FrontPageの脆弱性を突く攻撃らしい・・・
Microsoft FrontPage Server Extensions のバッファ オーバーランにより、コードが実行される (813360) (MS03-051)
このリンクに詳細が掲載されている。以下にもっと詳しい事項が・・・。
CVE-2003-0822　"Frontpage Extensions Remote Command Execution"

その３について。Toata・・・の言葉をそのまま検索してみると、ルーマニア語であるらしい。
google翻訳で調べてみる。
訳：「悪魔のすべての私の愛」だって。なんだこれ。
もう少し調べてみると、どうやら不正アクセスを試しているらしい・・・
検索にひっかかった英語のサイトによると、「脆弱性スキャナのようだ」とのこと。
ログをよく見直すと、いっぱい来ている・・・

セキュリティについて、もう少しよく調べてみなければ。。