私自身も不穏です。どうも、ダムログの時間です。
サーバ管理用の覚え書きです。
なんか矢鱈とイベントビューアにHTMLの403とか400とかエラーが吐き出されるので、何となく怪しく思い、IISのログを見てみる事に。
イベントビューアは日本時間ですが、IISのログはGMTなので、イベントビューアの時間をマイナス9時間してまずは同一時間をgrep。
んで、ひとつひとつ見ていくと、なんだか妙なログが・・・。
2009-09-04 08:24:10 72.3.226.174 – こちらのIP 80 GET /hogehoge.htm.temp – 404 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727)+NOSEC.JSky/1.0
IPは晒しておきますが、アジア系ではなくアメリカなのも気になります。で、hogehoge.htm.tempなんていうファイルは置いていないのにDLしようとする・・・。さらには「NOSEC.JSky」ってこりゃなんじゃ?
他にもMS-Accessを入れていないのに.dbファイルやら、設定していないのにGlobal.asaファイルやらをDLしようとする・・・。
さてはこれはサーバ内をくまなく歩いて、後でハッキングしようという事か!?
さらにはIP制限してあるディレクトリまで侵入を試みようとする・・・むむむ。危険な匂いがプンプンする。
というわけで、netshで排除。あとは様子見です。
で、「NOSEC.JSky」って何だ?
「NOSEC」って「NO SECurity」の略なのかなぁ・・・。
「JSky」は何だか昔のケータイを思い出すし・・・。
っと思って調べたらすぐに出てきた。
>>JSky – Web Application Vulnerabilty Scanner for FREE
ん、webアプリ脆弱性スキャナー・・・。ここのサイト、SQLインジェクションツールまであって、怪しさ満点です。
たまらんなぁ。ここ最近の重い現象とは無関係っぽいけど。
3 Comments