I&U Home > うにまま(仮) ・ 謎ログの友 ・ パスワードコレクション ・ FormMail Scanners
[all] [apache] [exploit] [ftp] [robot] [webalizer] [SEO_SPAM] [others]
ウェブサーバのバージョンを知りたいときに・・・
http://www.skipup.com/~keitsuda/memo/200201_2.html の1月26日のところ。
もう一度ログを良く見直してみると、
冒頭のログと同じIPから来ているアクセスも、動きとしてはロボット系だ。
ならばと http://www.pcbrain.co.jp/index.html を見に行ったのだが、
ここから製品として出しているわけではないらしい。
発注元から販売されているのかも。
初回は9月9日で、それ以降、今日までで7回来ているのだが、これって一体???
あ、msadcs.dll って見たことあるなと思ったら ↑で解説されているのだ。
特徴としては普通の ftp クライアントがそんなに出さないようなコマンドを
出してくるということでしょう。
どんどんスクリプトが充実していくんだろうな。。。
今回のログは、この html を探さずに、
手当たり次第 mailto.exe を使っているサイトを探そうとしている。
mailto を呼び出す html を探すのは結構大変だからかな?
どちらにしても受取り手のアドレスはスクリプト内にハードコートしなきゃだめだめなわけで、、、
ついでに bulkcop で検索したらこんなのが出てきた。
この日、がんがんスクリプト動かしてたんだろうな。。。
今日、9月26日で24日のアクセスログが Google で引っ掛かるなんて、別の意味で驚き。
dip.t-dialin.netはドイツ最大のプロバイダらしいので、これを deny するのはまずいでしょう、という人も多いようだが、、、
でも、パスワードに入っている ano@ano.com 。
ということで、うちのサイト、本当に必要があってアクセスしてくる人っていうのは基本的に固定IPな人達なので、deny しても問題ないんだよン。
ユーザエージェントを偽装?しているようだが、これについての情報は検索しても現れず。
4つログが採れているが、おそらく2つの2ペアだろう。
1つ目の refer に残ったサイトは共に実在のサイト。
とりあえずうちのサイトには formmail は置いてないので 404。
あっ、同じファイルがここにも、、、
謎ログ
ほんとにNaverなの? ▲
218.145.25.49 - - [31/Dec/2002:21:41:57 +0900] "GET /?action=ad HTTP/1.0" 200 915 "-" "dloader(NaverRobot)/1.0"
218.145.25.49 - - [31/Dec/2002:21:41:57 +0900] "GET /?action=faq HTTP/1.0" 200 915 "-" "dloader(NaverRobot)/1.0"
218.145.25.49 - - [31/Dec/2002:21:41:58 +0900] "GET /?action=info HTTP/1.0" 200 915 "-" "dloader(NaverRobot)/1.0"
218.145.25.49 - - [31/Dec/2002:21:41:58 +0900] "GET /?action=mail HTTP/1.0" 200 915 "-" "dloader(NaverRobot)/1.0"
218.145.25.49 - - [31/Dec/2002:21:41:58 +0900] "GET /?action=mailfrz HTTP/1.0" 200 915 "-" "dloader(NaverRobot)/1.0"
218.145.25.49 - - [31/Dec/2002:21:41:58 +0900] "GET /?action=rules HTTP/1.0" 200 915 "-" "dloader(NaverRobot)/1.0"
218.145.25.49 - - [31/Dec/2002:21:41:58 +0900] "GET /?action=service HTTP/1.0" 200 915 "-" "dloader(NaverRobot)/1.0"
218.145.25.49 - - [31/Dec/2002:21:41:58 +0900] "GET /?action=signup HTTP/1.0" 200 915 "-" "dloader(NaverRobot)/1.0"
218.145.25.49 - - [31/Dec/2002:21:41:58 +0900] "GET /?action=spec HTTP/1.0" 200 915 "-" "dloader(NaverRobot)/1.0"
218.145.25.49 - - [31/Dec/2002:21:41:58 +0900] "GET /?action=support HTTP/1.0" 200 915 "-" "dloader(NaverRobot)/1.0"
218.145.25.49 - - [31/Dec/2002:21:41:58 +0900] "GET /?action=troubles HTTP/1.0" 200 915 "-" "dloader(NaverRobot)/1.0"
このアクセス、以前にもあったけれど、今回は別IP。IPを辿っていくと kornet なので Naver のロボットなんだろうけど、
ちょっと困りモノ。
ano@ano.com ▲
http://online.securityfocus.com/archive/75/298759から続くスレッドで・・・
FX-Scannerというらしい。
"GET x HTTP/1.0" ▲
219.93.206.130 - - [26/Nov/2002:01:43:29 +0900] "GET x HTTP/1.0" 400 334 "-" "-"
% telnet localhost 80
Microsoft URL Control - 6.00.8862 ▲
211.110.6.220 - - [23/Nov/2002:18:08:13 +0900] "GET /ftp:/mydmain/pub/ppp HTTP/1.1" 404 315 "-" "Microsoft URL Control - 6.00.8862"
211.110.6.220 - - [23/Nov/2002:18:08:56 +0900] "GET /~ppp/ftp:/mydomain/pub/ppp HTTP/1.1" 404 320 "-" "Microsoft URL Control - 6.00.8862"
これまでもたまに来ていたようだが、こんなログを見つけては黙っていられない。
ということで "Microsoft URL Control - 6.00.8862" で検索をかけたらこんなのが出てきた。
うーむそうなのかなぁとも思いつつ、更に見ていくと
http://isweb31.infoseek.co.jp/area/ra-map/web02.html からのリンクで
http://www.faireal.net/articles/3/08/#d10731a を見つけた。
NIMDA説より説得力あり。
199.4.155.10 - - [01/Nov/2002:17:37:43 +0900] "GET / HTTP/1.1" 200 1332 "-" "Microsoft URL Control - 6.00.8862"
199.4.155.10 - - [02/Nov/2002:17:44:58 +0900] "GET / HTTP/1.1" 200 1332 "-" "Microsoft URL Control - 6.00.8862"
199.4.155.10 - - [03/Nov/2002:18:39:46 +0900] "GET / HTTP/1.1" 200 1332 "-" "Microsoft URL Control - 6.00.8862"
199.4.155.10 - - [04/Nov/2002:17:55:47 +0900] "GET / HTTP/1.1" 200 1332 "-" "Microsoft URL Control - 6.00.8862"
199.4.155.10 - - [05/Nov/2002:20:44:04 +0900] "GET / HTTP/1.1" 200 1332 "-" "Microsoft URL Control - 6.00.8862"
一日に1回見に来るこの動きは、確かに先読みソフトっぽい。
64.48.129.18 - - [07/Oct/2002:19:39:06 +0900] "GET /cgi-bin/formmail.pl?recipient=tupperhorse5@aol.com&subject=please%20close%20your%20open%20formmail&email=woolertm@flashmail.com&=http://xxx.xxx.xxx.xxx/cgi-bin/formmail.pl HTTP/1.1" 404 303 "-" "Microsoft URL Control - 6.00.8862"
64.48.129.18 - - [07/Oct/2002:19:39:06 +0900] "GET /cgi-bin/formmail.cgi?recipient=tupperhorse5@aol.com&subject=please%20close%20your%20open%20formmail&email=woolertm@flashmail.com&=http://xxx.xxx.xxx.xxx/cgi-bin/formmail.cgi HTTP/1.1" 404 304 "-" "Microsoft URL Control - 6.00.8862"
(以下略)
これはUAを偽造したのだろう、といっても偽造というほどでもないけど。
"-" 408 - "-" "-" ▲
66.196.72.79 - - [09/Sep/2002:06:43:29 +0900] "-" 408 - "-" "-"
66.196.73.76 - - [09/Sep/2002:08:47:09 +0900] "-" 408 - "-" "-"
66.196.73.81 - - [12/Sep/2002:14:55:41 +0900] "-" 408 - "-" "-"
66.196.72.19 - - [09/Oct/2002:04:05:09 +0900] "-" 408 - "-" "-"
66.196.72.84 - - [16/Oct/2002:10:04:57 +0900] "-" 408 - "-" "-"
66.196.73.42 - - [26/Oct/2002:05:56:15 +0900] "-" 408 - "-" "-"
66.196.73.47 - - [09/Nov/2002:21:18:34 +0900] "-" 408 - "-" "-"
このログって Nimda の仕業という話なのだが、
ふと気づくと inktomisearch のロボットが使っているアドレスから
やってくることがある。
msadcs.dll ▲
208.203.70.195 - - [08/Nov/2002:10:56:37 +0900] "GET /msadc/msadcs.dll HTTP/1.0" 404 288 "-" "-"
208.203.70.195 - - [08/Nov/2002:10:56:38 +0900] "GET /msadc/msadcs.dll HTTP/1.0" 404 288 "-" "-"
windowsに対する攻撃についての解説
http://www.trusnet.com/pages/sec_info.html
Pub Maker ▲
Nov 10 14:05:20 myhost ftpd[22995]: FTPD: connection from pc-outside.uni-greifswald.de at Sun Nov 10 14:05:20 2002
Nov 10 14:05:20 myhost ftpd[22995]: <--- 220
Nov 10 14:05:20 myhost ftpd[22995]: myhost FTP server () ready.
Nov 10 14:05:20 myhost ftpd[22995]: FTPD: command: USER anonymous^M
Nov 10 14:05:20 myhost ftpd[22995]: <--- 331
Nov 10 14:05:20 myhost ftpd[22995]: Guest login ok, send ident as password.
Nov 10 14:05:21 myhost ftpd[22995]: FTPD: command: PASS pubmaker@axis.net^M
Nov 10 14:05:21 myhost ftpd[22995]: <--- 230
Nov 10 14:05:21 myhost ftpd[22995]: Guest login ok, access restrictions apply.
Nov 10 14:05:21 myhost ftpd[22995]: FTPD: command: MKD _ax^M
Nov 10 14:05:21 myhost ftpd[22995]: <--- 550
Nov 10 14:05:21 myhost ftpd[22995]: _ax: Permission denied.
Nov 10 14:05:21 myhost ftpd[22995]: FTPD: command: CWD /^M
Nov 10 14:05:21 myhost ftpd[22995]: <--- 250
Nov 10 14:05:21 myhost ftpd[22995]: CWD command successful.
Nov 10 14:05:22 myhost ftpd[22995]: FTPD: command: CWD /pub/^M
Nov 10 14:05:22 myhost ftpd[22995]: <--- 250
Nov 10 14:05:22 myhost ftpd[22995]: CWD command successful.
Nov 10 14:05:22 myhost ftpd[22995]: FTPD: command: MKD _ax^M
Nov 10 14:05:22 myhost ftpd[22995]: <--- 550
Nov 10 14:05:22 myhost ftpd[22995]: _ax: Permission denied.
(略)
こういう人達のことを Pub Maker って言うんだ。。。
初のご来訪から1ヶ月ちょっと経った ano@ano.com さん。
ここで少し振り返ってみましょう。
(新しい順に並んでいます)
STRU F
特に ALLO は割り当て要求量によって使用スクリプトが同じかどうかを知ることができそうです。
ということで、4)、6)、8)〜11)は同じスクリプトだと考えられます。
接続元は dip.t-dialin.net だし、、、
もう1つは5)と7)の組。
ところで最近の傾向として、接続してきただけとかストアしようとしないログが採れることがあります。
最初にコネクションを張ってきた時間とパスワードを入れた時間からすると、
スクリプトではなく手動でつなげてきているように感じるのですが。。。
MODE S
REST 0
ALLO
1)
Oct 27 09:39:32
81.13.228.21
ストア動作なし
2)
Oct 26 11:28:13 myhost ftpd[29999]: FTPD: command: PASS ano@ano.com^M
216.58.105.15
つなげただけ
3)
Oct 26 06:48:08 myhost ftpd[29864]: FTPD: command: PASS ano@ano.com^M
xdslb119.osnanet.de
ストア動作なし
4)
Oct 23 09:56:48 myhost ftpd[24163]: FTPD: command: PASS ano@ano.com^M
new-65-28-210-166.new.rr.com
ALLO 104154
5)
Oct 20 08:38:15 myhost ftpd[325]: FTPD: command: PASS ano@ano.com^M
user-1120474.dsl.mindspring.com
ALLO 1048578
6)
Oct 9 01:48:58 myhost ftpd[26512]: FTPD: command: PASS ano@ano.com^M
p50901D0B.dip.t-dialin.net
ALLO 104154
7)
Oct 1 22:45:29 myhost ftpd[25495]: FTPD: command: PASS ano@ano.com^M
CPE0080c6fce0bc.cpe.net.cable.ro
ALLO 1048578
8)
Sep 28 14:06:46 myhost ftpd[18129]: FTPD: command: PASS ano@ano.com^M
pD9589DAD.dip.t-dialin.net
ALLO 104154
9)
Sep 27 19:44:13 myhost ftpd[17026]: FTPD: command: PASS ano@ano.com^M
p508E2CC8.dip.t-dialin.net
ALLO 104154
10)
Sep 25 02:54:32 myhost ftpd[5170]: FTPD: command: PASS ano@ano.com^M
pD9E6BFC9.dip.t-dialin.net
ALLO 104154
11)
Sep 19 02:15:37 myhost ftpd[2300]: FTPD: command: PASS ano@ano.com^M
pD951ED19.dip.t-dialin.net
ALLO 104154
粘着君 ▲
粘着くん発見 → ろぐ
@here.com ▲
Oct 25 03:22:54 myhost ftpd[24850]: FTPD: connection from ca-bordeaux-13-232.abo.wanadoo.f at Fri Oct 25 03:22:54 2002
Oct 25 03:22:54 myhost ftpd[24850]: <--- 220
Oct 25 03:22:54 myhost ftpd[24850]: myhost FTP server () ready.
Oct 25 03:22:58 myhost ftpd[24850]: FTPD: command: USER anonymous^M
Oct 25 03:22:58 myhost ftpd[24850]: <--- 331
Oct 25 03:22:58 myhost ftpd[24850]: Guest login ok, send ident as password.
Oct 25 03:23:06 myhost ftpd[24850]: FTPD: command: PASS guest@here.com^M
Oct 25 03:23:06 myhost ftpd[24850]: <--- 230
Oct 25 03:23:06 myhost ftpd[24850]: Guest login ok, access restrictions apply.
Oct 25 03:23:06 myhost ftpd[24850]: FTPD: command: CWD /pub/^M
Oct 25 03:23:06 myhost ftpd[24850]: <--- 250
Oct 25 03:23:06 myhost ftpd[24850]: CWD command successful.
Oct 25 03:23:07 myhost ftpd[24850]: FTPD: command: MKD 021024202312p^M
Oct 25 03:23:07 myhost ftpd[24850]: <--- 550
Oct 25 03:23:07 myhost ftpd[24850]: 021024202312p: Permission denied.
Oct 25 03:23:07 myhost ftpd[24850]: FTPD: command: CWD /public/^M
Oct 25 03:23:07 myhost ftpd[24850]: <--- 550
Oct 25 03:23:07 myhost ftpd[24850]: /public/: No such file or directory.
Oct 25 03:23:08 myhost ftpd[24850]: FTPD: command: CWD /pub/incoming/^M
Oct 25 03:23:08 myhost ftpd[24850]: <--- 550
Oct 25 03:23:08 myhost ftpd[24850]: /pub/incoming/: No such file or directory.
もうとっくにここに載せていると思っていたけど、確認してみたらまだ載せてませんでしたね。
Grim's ping のパスワードを代えてきたものだと思うけど。。。
ほら、やっぱり悪でしょ、wanadoo.fr って。。。
sss@ ▲
Oct 10 23:51:59 myhost ftpd[2723]: FTPD: connection from 213.226.134.110 at Thu Oct 10 23:51:59 2002
Oct 10 23:51:59 myhost ftpd[2723]: <--- 220
Oct 10 23:51:59 myhost ftpd[2723]: myhost FTP server () ready.
Oct 10 23:52:00 myhost ftpd[2723]: FTPD: command: USER anonymous^M
Oct 10 23:52:00 myhost ftpd[2723]: <--- 331
Oct 10 23:52:00 myhost ftpd[2723]: Guest login ok, send ident as password.
Oct 10 23:52:00 myhost ftpd[2723]: FTPD: command: PASS sss@servxxa.com^M
Oct 10 23:52:00 myhost ftpd[2723]: <--- 230
Oct 10 23:52:00 myhost ftpd[2723]: Guest login ok, access restrictions apply.
Oct 10 23:52:00 myhost ftpd[2723]: FTPD: command: TYPE I^M
Oct 10 23:52:00 myhost ftpd[2723]: <--- 200
Oct 10 23:52:00 myhost ftpd[2723]: Type set to I.
Oct 10 23:52:01 myhost ftpd[2723]: FTPD: command: PORT 213,226,134,110,253,241^M
Oct 10 23:52:01 myhost ftpd[2723]: <--- 200
Oct 10 23:52:01 myhost ftpd[2723]: PORT command successful.
Oct 10 23:52:06 myhost ftpd[2723]: FTPD: command: STOR AFS.TXT^M
Oct 10 23:52:06 myhost ftpd[2723]: <--- 553
Oct 10 23:52:06 myhost ftpd[2723]: AFS.TXT: Permission denied.
Oct 10 23:52:06 myhost ftpd[2723]: <--- 221
Oct 10 23:52:06 myhost ftpd[2723]: You could at least say goodbye.
今度はmailto.exe ▲
217.52.46.8 - - [24/Sep/2002:16:25:49 +0900] "GET /scripts/mailto.exe?sendto=bulkcop@yahoo.com&subject=mydomain/scripts/mailto.exe&email=rockstar@mail.com&message=rockstar HTTP/1.0" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.52.46.8 - - [24/Sep/2002:16:25:49 +0900] "GET /cgi-bin/mailto.exe?sendto=bulkcop@yahoo.com&subject=mydomain/cgi-bin/mailto.exe&email=rockstar@mail.com&message=rockstar HTTP/1.0" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
ここでは、
mailto.exe を呼び出す html には mailto.exe のパスとメールサーバ名が書いてあるので、
これを使ってスパム用スクリプトを書くことができるということを言っている。
mailto のパスを使ってスクリプトを書くか、メールサーバに直接メールを転送させるか、
この情報があればいくつかの手段に応用できるということらしい。
珍しい!! ▲
130.34.78.86 - - [20/Sep/2002:11:29:35 +0900] "GET /~ggggg/favicon.ico HTTP/1.1" 404 303 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"
130.34.78.86 - - [20/Sep/2002:11:29:35 +0900] "GET /favicon.ico HTTP/1.1" 404 295 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"
favicon.ico って、IE がお気に入りを登録したときにお気に入りアイコンを探しているというのは謎ログフリーク?には既知のことがら。
気に入ったディレクトリにアイコンが無かったら、順番に上のディレクトリを探しに行くらしい。
しかし、実際には、トップディレクトリを見に行くだけのブラウザが多くて、無かったから上を探しに行きました、っていうログは初めて見た。
Sep 19 02:15:35 myhost ftpd[2300]: FTPD: connection from pD951ED19.dip.t-dialin.net at Thu Sep 19 02:15:35 2002
Sep 19 02:15:35 myhost ftpd[2300]: <--- 220
Sep 19 02:15:35 myhost ftpd[2300]: myhost FTP server () ready.
Sep 19 02:15:36 myhost ftpd[2300]: FTPD: command: USER anonymous^M
Sep 19 02:15:36 myhost ftpd[2300]: <--- 331
Sep 19 02:15:36 myhost ftpd[2300]: Guest login ok, send ident as password.
Sep 19 02:15:37 myhost ftpd[2300]: FTPD: command: PASS ano@ano.com^M
Sep 19 02:15:37 myhost ftpd[2300]: <--- 230
Sep 19 02:15:37 myhost ftpd[2300]: Guest login ok, access restrictions apply.
Sep 19 02:15:37 myhost ftpd[2300]: FTPD: command: TYPE I^M
Sep 19 02:15:37 myhost ftpd[2300]: <--- 200
略
Sep 19 02:15:43 myhost ftpd[2300]: FTPD: command: LIST /^M
Sep 19 02:15:43 myhost ftpd[2300]: <--- 150
Sep 19 02:15:43 myhost ftpd[2300]: ASCII data connection for /bin/ls (217.81.237.25,4495) (0 bytes).
Sep 19 02:15:43 myhost ftpd[2300]: <--- 226
Sep 19 02:15:43 myhost ftpd[2300]: ASCII Transfer complete.
Sep 19 02:15:44 myhost ftpd[2300]: FTPD: command: CWD /bin^M
Sep 19 02:15:44 myhost ftpd[2300]: <--- 250
Sep 19 02:15:44 myhost ftpd[2300]: CWD command successful.
Sep 19 02:15:45 myhost ftpd[2300]: FTPD: command: PASV^M
Sep 19 02:15:45 myhost ftpd[2300]: <--- 227
Sep 19 02:15:45 myhost ftpd[2300]: Entering Passive Mode (xxx,xxx,205,101,252,42)
Sep 19 02:15:46 myhost ftpd[2300]: FTPD: command: TYPE I^M
Sep 19 02:15:46 myhost ftpd[2300]: <--- 200
Sep 19 02:15:46 myhost ftpd[2300]: Type set to I.
Sep 19 02:15:46 myhost ftpd[2300]: FTPD: command: ALLO 104154^M
Sep 19 02:15:46 myhost ftpd[2300]: <--- 202
Sep 19 02:15:46 myhost ftpd[2300]: ALLO command ignored.
Sep 19 02:15:47 myhost ftpd[2300]: FTPD: command: STOR 918.373^M
Sep 19 02:15:47 myhost ftpd[2300]: <--- 553
略
dip.t-dialin.net と言った時点で、すでに私の中では悪なんだけれど。
FTPクライアントの初期パスワードかと思って検索してみたのだけれど、検索してヒットするページって英語じゃないし。
やはりヨーロッパで活躍している人?らしい。
formmail ふたたび ▲
80.3.64.5 - - [19/Sep/2002:06:54:41 +0900] "HEAD /cgi-bin/formmail.pl HTTP/1.0" 404 0 "http://mydomain/" "-"
80.3.64.5 - - [19/Sep/2002:06:54:42 +0900] "HEAD /cgi-bin/formmail.cgi HTTP/1.1" 404 0 "http://mydomain/" "-"
それにしても、次から次へと、、、
行儀悪いんじゃ? ▲
211.101.4.15 - - [16/Sep/2002:03:11:51 +0900] "GET /?action=signup HTTP/1.1" 302 298 "-" "Internet Explore 5.x"
211.101.4.15 - - [16/Sep/2002:03:11:51 +0900] "GET /?action=spec HTTP/1.1" 302 298 "-" "Internet Explore 5.x"
211.101.4.15 - - [16/Sep/2002:03:11:51 +0900] "GET /?action=rules HTTP/1.1" 302 298 "-" "Internet Explore 5.x"
211.101.4.15 - - [16/Sep/2002:03:11:52 +0900] "GET /?action=ad HTTP/1.1" 302 298 "-" "Internet Explore 5.x"
211.101.4.15 - - [16/Sep/2002:03:11:52 +0900] "GET /?action=faq HTTP/1.1" 302 298 "-" "Internet Explore 5.x"
211.101.4.15 - - [16/Sep/2002:03:11:52 +0900] "GET /?action=support HTTP/1.1" 302 298 "-" "Internet Explore 5.x"
211.101.4.15 - - [16/Sep/2002:03:11:52 +0900] "GET /?action=service HTTP/1.1" 302 298 "-" "Internet Explore 5.x"
211.101.4.15 - - [16/Sep/2002:03:11:52 +0900] "GET /?action=aboutus HTTP/1.1" 302 298 "-" "Internet Explore 5.x"
ロボットなんだろうけど、これはダメなんじゃないの? っていうかある意味scan。
なぜうちに??? ▲
68.51.199.14 - - [12/Sep/2002:08:36:15 +0900] "GET /f.sb.gif HTTP/1.1" 404 292 "http://lw4fd.law4.hotmail.msn.com/cgi-bin/getmsg?curmbox=F000000001&a=365318a02b1caf1a79d75a731f7ec54c&msg=MSG1031786230.22&start=806672&len=2698" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
hotmailでhtml形式のメールが届くと参照される画像らしいんですが、なんでうちのIPがついたんですかね?
refer偽造 ▲
209.142.168.7 - - [11/Sep/2002:08:22:25 +0900] "POST /cgi-bin/formmail.pl HTTP/1.0" 404 291 "http://gib.genes.nig.ac.jp/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)"
209.142.168.7 - - [11/Sep/2002:08:22:29 +0900] "GET / HTTP/1.0" 200 3906 "http://mydomain/cgi-bin/formmail.pl" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)"
209.142.168.7 - - [11/Sep/2002:08:23:09 +0900] "POST /cgi-bin/formmail.pl HTTP/1.0" 404 288 "http://www.kuba.co.jp/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)"
209.142.168.7 - - [11/Sep/2002:08:23:13 +0900] "GET / HTTP/1.0" 200 1332 "http://mydomain/cgi-bin/formmail.pl" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)"
formmail.pl 狙いのアクセスログに refer が採れた。
これまでは refer は "-" だったのに。
うちのサイトとは全く関係が無いわけではない。リンクをずっと辿ればうちのサイトにたどり着かなくもないだろう、、、が、ここから辿り着くのはかなりの粘着君。
その後、その存在しないはずの formmail.pl を refer にしてページトップにアクセス。
何がしたいのだろう?
formmail を使いたいのではなくて、サイトが実在するかを確認しているのだろうか?
SuperScanの足跡 ▲
Sep 6 06:05:46 myhost ftpd[22667]: FTPD: connection from 217.172.194.74 at Fri Sep 6 06:05:46 2002
Sep 6 06:05:46 myhost ftpd[22667]: <--- 220
Sep 6 06:05:46 myhost ftpd[22667]: myhost FTP server () ready.
Sep 6 06:05:46 myhost ftpd[22667]: FTPD: command: ftp://%a:%p/,^M
Sep 6 06:05:46 myhost ftpd[22667]: <--- 500
Sep 6 06:05:46 myhost ftpd[22667]: 'FTP://%A:%P/,': command not understood.
Sep 6 06:05:47 myhost ftpd[22667]: <--- 221
Sep 6 06:05:47 myhost ftpd[22667]: You could at least say goodbye.
+,21,File Transfer Protocol [Control],,ftp://%a:%p/,\r\n
という記述あり。
同じファイルで HTTP に対しては、
+,80,World Wide Web HTTP,C:\Program Files\Internet =Explorer\IEXPLORE.EXE,http://%a:%p/,HEAD / HTTP/1.0\r\n\r\n
うーん、悪の匂い。
この辺から続くスレッドで、どうやら SuperScan という windows用ポートスキャンの設定ファイルらしいということが判明。
ポートスキャンを食らったということですな。
FrontPage2000の脆弱性 ▲
長いので適当なところで折り曲げているけど、
200.181.159.14 - - [06/Sep/2002:15:00:35 +0900] "GET /_vti_bin/_vti_aut/fp30reg.dll?\xfffxaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa%cb\x18\xd5gb\x18\xd5gb\
x18\xd5gb\x18\xd5gb\x18\xd5gb\x18\xd5gb\x18\xd5gb\x18\xd5gb\x18\xd5gb\x18\xd5gb\x18\xd5gb\x18\xd5gb\x18\xd5gb\x18\xd5gb\x18
\xd5gb\x18\xd5gb\x18\xd5gb\x18\xd5gb\x18\xd5gb\x18\xd5gaaa HTTP/1.1" 404 313 "-" "-"
| こことか、 ここ によると FrontPage 2000 のサーバ側にある fp30reg.dll にはバッファオーバーフローの危険性があり、それによって一定の権限を奪取することができるらしい。 |
ログは長いのでこちら。
proxy経由じゃないってとこが、ある意味勇敢。。。
今まで気づかなかったけど、最初のアタックは昨年の11月でした。(とほほ、、、)
NaverRobotったら ▲
218.145.63.93 - - [06/Sep/2002:20:39:21 +0900] "GET /~7Eggggg/ HTTP/1.0" 404 282 "-" "dloader(NaverRobot)/1.0"
ロボットだったらちゃんとティルダを出して欲しい。
1日で1750回のミスアクセス。。。NaverRobotったら。。。
気になる? ▲
ps.melco.co.jp - - [27/Aug/2002:14:24:27 +0900] "GET /spec/server.html HTTP/1.0" 200 2258 "http://www.google.co.jp/search?q=CD-R+CD-RW+Windows2000+Server&hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&start=100&sa=N" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 4.0; .NET CLR 1.0.3705)"
検索キーと接続元の組織名を見ると、、、気になるんだ。
proxy サービスはしておりません ▲
158.252.215.43 - - [21/Aug/2002:00:34:24 +0900] "CONNECT mx2.mail.yahoo.com:25 HTTP/1.0" 405 309
213.37.58.178 - - [21/Aug/2002:15:35:52 +0900] "GET http://mytest.maddock.net/cgi-bin/myinfo HTTP/1.1" 404 298
やっぱ悪でしょう。
お盆でお休みしている間に、、、アタックその2 ▲
ところが、こちらはかなり執拗。14日から17日にかけて31回も接続があった。
最初は IE で、その後はおそらく手動で、そして smartFTP。
passwd や group ファイルを軒並お持ち返りになって、結局は、
Aug 16 11:58:21 myhost ftpd[29463]: FTPD: command: STOR Language.dll
が目的だったようだけど、ゲーム用データの倉庫にしたかったのかな?
お盆でお休みしている間に、、、アタックその1 ▲
この FTP scan の特徴( AFS.TXT と sss@servxxa.com)で検索してみたところ、
INTEROP 2002 in VEGAS での講演のレジュメに載っている手法だった。
2回アタックして失敗したから? もう来ないかも。
Aug 12 23:07:17 myhost ftpd[2756]: FTPD: connection from xx.xx.accsnet.ne.jp at Mon Aug 12 23:07:17 2002
Aug 12 23:07:17 myhost ftpd[2756]: <--- 220
Aug 12 23:07:17 myhost ftpd[2756]: myhost FTP server () ready.
Aug 12 23:07:17 myhost ftpd[2756]: FTPD: command: USER anonymous^M
Aug 12 23:07:17 myhost ftpd[2756]: <--- 331
Aug 12 23:07:17 myhost ftpd[2756]: Guest login ok, send ident as password.
Aug 12 23:07:17 myhost ftpd[2756]: FTPD: command: PASS sss@servxxa.com^M
Aug 12 23:07:17 myhost ftpd[2756]: <--- 230
Aug 12 23:07:17 myhost ftpd[2756]: Guest login ok, access restrictions apply.
Aug 12 23:07:17 myhost ftpd[2756]: FTPD: command: TYPE I^M
Aug 12 23:07:17 myhost ftpd[2756]: <--- 200
Aug 12 23:07:17 myhost ftpd[2756]: Type set to I.
Aug 12 23:07:18 myhost ftpd[2756]: FTPD: command: PORT 219,164,xx,xx,5,143^M
Aug 12 23:07:18 myhost ftpd[2756]: <--- 200
Aug 12 23:07:18 myhost ftpd[2756]: PORT command successful.
Aug 12 23:07:18 myhost ftpd[2756]: FTPD: command: STOR AFS.TXT^M
Aug 12 23:07:18 myhost ftpd[2756]: <--- 553
Aug 12 23:07:18 myhost ftpd[2756]: AFS.TXT: Permission denied.
Aug 12 23:07:18 myhost ftpd[2756]: <--- 221
Aug 12 23:07:18 myhost ftpd[2756]: You could at least say goodbye.
検索 ▲
"GET /unimama/download.html HTTP/1.1" 200 4084 "http://apple.excite.co.jp/search.gw?target=combined&look=applejp_jp&lang=all&search=Stufflt+Expandar&pref=all"
これでひっかかるとなると、検索エンジンとして情報量が少なすぎやしませんか?
判明 408 ▲
久しぶりに
"-" 408 -
のログが残っていたのでWebで検索してみたら、こんなのを見つけた。
元の質問メールの「聞きたいのはステータスコード408の意味じゃないんだ!」という質問の仕方もどうかと思うが。。。
メモリリーク狙いっていうのは、これと関係あるのかな?
分からん(2) ▲
なぞ
formmail続報 ▲
64.48.129.24 - - [15/Jul/2002:08:03:15 +0900] "POST /cgi-bin/formmail.pl HTTP/1.0" 404 291
64.48.129.24 - - [15/Jul/2002:08:03:19 +0900] "POST /cgi-bin/formmail.cgi HTTP/1.0" 404 292
64.48.129.24 - - [15/Jul/2002:08:03:24 +0900] "POST /cgibin/formmail.pl HTTP/1.0" 404 290
64.48.129.24 - - [15/Jul/2002:08:03:28 +0900] "POST /cgibin/formmail.cgi HTTP/1.0" 404 291
64.48.129.24 - - [15/Jul/2002:08:03:31 +0900] "POST /cgi-local/formmail.pl HTTP/1.0" 404 293
64.48.129.24 - - [15/Jul/2002:08:03:36 +0900] "POST /cgi-local/formmail.cgi HTTP/1.0" 404 294
formmail の有無を調べるようになったらしい。
フリーメールとはいえ、自分のメールアドレスをログに残して反撃でも受けたのかな?
機種名まで渡しているとは ▲
[09/Jul/2002:10:02:17 +0900] "GET / HTTP/1.0" 200 339 "-" "DoCoMo/1.0/N503i/c10"
IEだけじゃなくって、NN7も favicon.ico を見るようになったらしい ▲
[09/Jul/2002:00:25:19 +0900] "GET /favicon.ico HTTP/1.1" 302 222 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ja-JP; rv:1.0rc2) Gecko/20020512 Netscape/7.0b1"
2002.07.20追記
それがブックマークを作るときじゃなくって、ブックマークから飛んできたときに見るみたい。
分からん ▲
65.116.145.138 - - [18/Apr/2002:03:13:17 +0900] "GET /%2016945926%2010000%202157 HTTP/1.1" 404 303
65.116.145.138 - - [18/Apr/2002:03:16:41 +0900] "GET /%20185464%2010000%2028 HTTP/1.1" 404 296
formmail.pl/formmail.cgiにセキュリティホールがあるらしい ▲
24.26.60.165 - - [24/Jun/2002:01:17:21 +0900] "GET /cgi-bin/formmail.pl?recipient=ASLEEPYANA@aol.com&subject=http://xxx.xxx.xxx.jp/cgi-bin/formmail.pl&body=JupZ&email=srt@aol.com HTTP/1.1" 404 300
24.26.60.165 - - [24/Jun/2002:01:17:21 +0900] "GET /cgi-bin/formmail.cgi?recipient=ASLEEPYANA@aol.com&subject=http://xxx.xxx.xxx.jp/cgi-bin/formmail.cgi&body=JupZ&email=mim@aol.com HTTP/1.1" 404 301
24.26.60.165 - - [24/Jun/2002:01:17:21 +0900] "GET /cgi-local/formmail.cgi?recipient=ASLEEPYANA@aol.com&subject=http://xxx.xxx.xxx.jp/cgi-local/formmail.cgi&body=JupZ&email=boh@aol.com HTTP/1.1" 404 303
24.26.60.165 - - [24/Jun/2002:01:17:21 +0900] "GET /cgi-local/formmail.pl?recipient=ASLEEPYANA@aol.com&subject=http://xxx.xxx.xxx.jp/cgi-local/formmail.pl&body=JupZ&email=prs@aol.com HTTP/1.1" 404 302
http://www.rapidsite.co.jp/www/news/news.php3
そんな、いきなり、、、 ▲
他所のサイトのパスワードファイルを書き換えようとするなんて、、、
Jun 23 17:15:19 myhost ftpd[2542]: FTPD: connection from 216.61.121.107 at Sun Jun 23 17:15:19 2002
Jun 23 17:15:19 myhost ftpd[2542]: <--- 220
Jun 23 17:15:19 myhost ftpd[2542]: myhost FTP server () ready.
Jun 23 17:15:20 myhost ftpd[2542]: FTPD: command: USER anonymous
Jun 23 17:15:20 myhost ftpd[2542]: <--- 331
Jun 23 17:15:20 myhost ftpd[2542]: Guest login ok, send ident as password.
Jun 23 17:15:20 myhost ftpd[2542]: FTPD: command: PASS ftpvuser@unknown.com
Jun 23 17:15:20 myhost ftpd[2542]: <--- 230
Jun 23 17:15:20 myhost ftpd[2542]: Guest login ok, access restrictions apply.
Jun 23 17:15:21 myhost ftpd[2542]: FTPD: command: PWD
Jun 23 17:15:21 myhost ftpd[2542]: <--- 257
Jun 23 17:15:21 myhost ftpd[2542]: "/" is current directory.
Jun 23 17:15:21 myhost ftpd[2542]: FTPD: command: CWD /etc
Jun 23 17:15:21 myhost ftpd[2542]: <--- 250
Jun 23 17:15:21 myhost ftpd[2542]: CWD command successful.
Jun 23 17:15:21 myhost ftpd[2542]: FTPD: command: TYPE I
Jun 23 17:15:21 myhost ftpd[2542]: <--- 200
Jun 23 17:15:21 myhost ftpd[2542]: Type set to I.
Jun 23 17:15:22 myhost ftpd[2542]: FTPD: command: PORT 216,61,121,107,19,142
Jun 23 17:15:22 myhost ftpd[2542]: <--- 200
Jun 23 17:15:22 myhost ftpd[2542]: PORT command successful.
Jun 23 17:15:22 myhost ftpd[2542]: FTPD: command: STOR passwd
Jun 23 17:15:22 myhost ftpd[2542]: <--- 553
Jun 23 17:15:22 myhost ftpd[2542]: passwd: Permission denied.
Jun 23 17:15:52 myhost ftpd[2542]: FTPD: command: PORT 216,61,121,107,19,145
Jun 23 17:15:52 myhost ftpd[2542]: <--- 200
Jun 23 17:15:52 myhost ftpd[2542]: PORT command successful.
Jun 23 17:15:53 myhost ftpd[2542]: FTPD: command: STOR passwd
Jun 23 17:15:53 myhost ftpd[2542]: <--- 553
Jun 23 17:15:53 myhost ftpd[2542]: passwd: Permission denied.
Jun 23 17:16:25 myhost ftpd[2542]: FTPD: command: QUIT
Jun 23 17:16:25 myhost ftpd[2542]: <--- 221
Jun 23 17:16:25 myhost ftpd[2542]: Goodbye.
|
ところがログを良く見ると、この日だけで十数回も同じIPから接続されており、毎回、passwd をストアしようとする。執拗ですな。中にはご丁寧に group を get しておいてから passwd をストアしようとしたり。
dev や bin も見て回っている。
http://www.uvm.edu/cit/ftpvoyager/
それではFTPvoyagerで検索。
もしかすると、デフォルトでうちのサイトが登録されているのかとも思ったが、どうやらそうでは無いらしい。(マニアなサイトだからねぇ) で、書き込み不可のファイルに put しようとすると当然ながらPermission deniedなのだが、このソフト、中止しない限りはデフォルトで3回(最大100回)コネクションを張り直して延々putし続ける、ゾンビみたいに。困ったもんですね。 |
FTPゲートウェイにクライアントとして接続する方法を説明したページでは、
そんなことを考えながら過去のログを見ていると、anonymous で繋げただけで何もしないで接続を切っているログを発見。おそらく ftpd の種類やバージョンを探っているのだろう。
勝手に命名したので説明しておくと、○gpuser 攻撃とは以下のような特徴を持つ攻撃である。
既に半年以上前のことなので告白するが、実はうちのサイト、前任の管理者が anonymous ftp の設定を間違えて、この ○gpuser 攻撃にやられてしまったことがある。
この攻撃の狙いは、設定の甘い ftp サイトにディレクトリを作って、そこに勝手にデータを置くというものだ。
それもご丁寧に、1ファイル何メガまで作れるかというテスト用のファイルまで作っていく。
作成されたファイルは何かのデータらしいが、その時の記憶では、そこにあるファイル名と良く似た名前のネット型対戦ゲームのサイトが検索で引っ掛かった。
とにかく倉庫として使われていたようだ。
http://lists.insecure.org/incidents/2001/Dec/0199.html
から辿っていくと、本当は Grim's Ping と言うらしい。
更にいろいろ調べていくと、FTPゲートウェイというものがあり、その設定例として anonymous@ftp.microsoft.com をユーザ名にしているページがある。
FTPポートが開いていると FTPゲートウェイの設定がしてあって、もしかしたらそんなユーザ名で入れるかもしれないとアタックかけてきているのかな?
案外、デフォルトだと anonymous@ftp.microsoft.com がユーザ名に登録されているようなソフトがあったりして、、、
じゃ、ディスカッションサーバで検索すると、行き当たったのが以下。
うーん、上記のログは必ずペアで残されるということなんだけどな?
ま、とりあえず、ワームではないということでヨシとしましょう。
anonymous@ftp.microsoft.com 続報 ▲
ftpd のログをチェックしていて気づいたのだが、anonymous@ftp.microsoft.com ログと ○gpuser 攻撃(勝手に命名)には関連があるようだ。
anonymous@ftp.microsoft.com で繋げてきた数時間後、○gpuser 攻撃をかけてくるというパターン。
やっぱり anonymous@ftp.microsoft.com で繋げてくるのは邪(おぉ、よこしまを変換したらこんな字になった!)な考えを持っているのだな。
という説明になっているので、
ユーザ名
anonymous@接続先ドメイン名
パスワード
ゲートウェイで許可されたパスワードで形式はメールアドレスみたいな形式
の組合わせで入れる確立は相当低いはずだが、それでも繋げてきているのは、失敗したときに ftpd が返してくるコードで FTPゲートウェイがサービスされているかどうかが分かるのかも知れない。
ユーザ名
anonymous@ftp.microsoft.com
パスワード
anonymous@ftp.microsoft.com
そういえば、昔、ユーザ名を入れたときに、そのユーザ名が登録されている場合と、登録されてはいるがパスワードが間違った場合で、エラーメッセージが違うというデーモンがいたな。ftpd だったか login だったかは忘れたけれど。
ほとんどが proxy から。特にうちのサイトには wanadoo.fr からが多い
正規表現に慣れていない方のために、[A-Z]は英大文字一文字ということ
スクリプトにも因るのだろうが、home.com じゃなくて here.com の場合もあり。
スクリプトに因っては、/pub にディレクトリを作ろうとするものもある。
踏み台攻撃? ▲
Mar 10 06:23:37 myhost ftpd[3735]: FTPD: connection from modemcable091.124-202-24.mtl.mc. at Sun Mar 10 06:23:37 2002
Mar 10 06:23:37 myhost ftpd[3735]: <--- 220
Mar 10 06:23:37 myhost ftpd[3735]: myhost FTP server () ready.
Mar 10 06:23:38 myhost ftpd[3735]: FTPD: command: USER anonymous@ftp.microsoft.com
Mar 10 06:23:38 myhost ftpd[3735]: <--- 331
Mar 10 06:23:38 myhost ftpd[3735]: Password required for anonymous@ftp.microsoft.com.
Mar 10 06:23:38 myhost ftpd[3735]: FTPD: command: PASS
anonymous FTP に繋げて悪さをしようとするログはチェックしているが、ユーザ名を入れているので気づかなかった。が、月に1−2回この手のログが残っていた。
anonymous@ftp.microsoft.comで検索をかけると、こんなサイトが見つかった。
ftp://anonymous@ftp.microsoft.com
ここに繋ぐと anonymous@ftp.microsoft.com に対するパスワードを聞いてくる。
やっと判明??? "GET /_vti_bin/owssvr.dll", "GET /MSOffice/cltreq.asp" ▲
"GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=2614&STRMVER=4&CAPREQ=0 HTTP/1.0" 404 290
"GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=2614&STRMVER=4&CAPREQ=0 HTTP/1.0" 404 290
検索をかけても国内サイトは、「なぞだー」というページばかりなので、英文のサイトも検索。
すると、IE や Office 2000 で Web discussionという機能があり、
IIS で運用しているサイトだとコメントが掲示板のように書き込めるらしく、
その機能を使おうとすると上記のようなログが残るということだ。
ほんとにそんなログが残るかどうか試してみるが、
「ディスカッションサーバの名前を入れてください」とか言って先に進めない。
http://www.denpa.org/~go/denpa/200104/from01.html
ここにある通り、Office のヘルプを見るとディスカッションサーバには
Webサーバのドメイン名を指定すればよいらしい。
とりあえず自分のサーバを書いてみると、
「××サーバからデータをダウンロードできません。
サーバは Office Server Extension によって拡張されていません。」
これが、404 なのね、と思ってログをチェックすると、
見事に cltreq.asp のログが残されていた。
2002.03.01追記
/_vti_bin/owssvr.dll の方は、Web discussion のクライアントがサーバを探すときにこのファイルにアクセスするとのこと。
ふーん。
なんでこんなことする? ▲
"GET /pub/ppp HTTP/1.0" 404 278
"GET /pub/ppp HTTP/1.0" 404 278
気をつけよう ▲
"GET /phf?Qalias=x%0a/bin/cat%20/etc/passwd HTTP/1.0" 404 274
"GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=2614&STRMVER=4&CAPREQ=0 HTTP/1.0" 404 290
"GET /workshop/single.gif HTTP/1.0" 200 32157
"GET /workshop/proJnew.html HTTP/1.0" 200 74861
"GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=2614&STRMVER=4&CAPREQ=0 HTTP/1.0" 404 290
でも、途中に普通のログを残すのが新鮮
"GET x HTTP/1.0" 400 333
きっと '~' (チルダ) だろうけど、何をするとこうなるのかなぁ? ▲
"GET /%E2%80%BEfoo/tools2.html HTTP/1.0" 404 290
"GET /窶セgenome/whatgtop-j.html HTTP/1.0" 404 296
"GET /窶セgenome/grpsblt.html HTTP/1.0" 404 293
不思議なのは、このログと前後して同じ IP から正しく ~ が入力できていること
最近現れるなぞ
の(おそらく)ロボット? ▲
"-" 408 -
なんだろう?
へんなログ発見 ▲
"..." 501 -
"GET HTTP://www.microsoft.com/ HTTP/1.0" 200 3895 (unknown host)
".." 501 -
"." 501 -
"." 501 -
なにやってるんだろう?
Dec 23 05:37:33 myhost in.ftpd[3900]: connect from 217.107.83.109
Dec 23 05:37:33 myhost in.ftpd[3900]: connect from 217.107.83.109
Dec 23 05:38:03 myhost in.ftpd[3902]: connect from 217.107.83.109
Dec 23 05:38:03 myhost in.ftpd[3903]: connect from 217.107.83.109
と思ったら、直前に ftp で繋げてきている
Dec 23 05:37:33 myhost ftpd[3900]: FTPD: connection from 217.107.83.109 at Sun Dec 23 05:37:33 2001
Dec 23 05:37:33 myhost ftpd[3900]: <--- 220
Dec 23 05:37:33 myhost ftpd[3900]: myhost FTP server () ready.
Dec 23 05:37:37 myhost ftpd[3900]: lost connection
Dec 23 05:38:03 myhost ftpd[3902]: FTPD: connection from 217.107.83.109 at Sun Dec 23 05:38:03 2001
Dec 23 05:38:03 myhost ftpd[3902]: <--- 220
Dec 23 05:38:03 myhost ftpd[3902]: myhost FTP server () ready.
Dec 23 05:38:03 myhost ftpd[3903]: FTPD: connection from 217.107.83.109 at Sun Dec 23 05:38:03 2001
Dec 23 05:38:03 myhost ftpd[3903]: <--- 220
Dec 23 05:38:03 myhost ftpd[3903]: myhost FTP server () ready.
Dec 23 05:38:04 myhost ftpd[3902]: FTPD: command: user mss
Dec 23 05:38:04 myhost ftpd[3902]: <--- 331
Dec 23 05:38:04 myhost ftpd[3902]: Password required for mss.
Dec 23 05:38:04 myhost ftpd[3902]: FTPD: command:
Dec 23 05:38:04 myhost ftpd[3902]: <--- 500
Dec 23 05:38:04 myhost ftpd[3902]: '': command not understood.
Dec 23 05:38:04 myhost ftpd[3903]: FTPD: command: helo mss
Dec 23 05:38:04 myhost ftpd[3903]: <--- 500
Dec 23 05:38:04 myhost ftpd[3903]: 'HELO mss': command not understood.
Dec 23 05:38:04 myhost ftpd[3903]: FTPD: command:
Dec 23 05:38:04 myhost ftpd[3903]: <--- 500
Dec 23 05:38:04 myhost ftpd[3903]: '': command not understood.
Dec 23 05:38:04 myhost ftpd[3902]: <--- 221
Dec 23 05:38:04 myhost ftpd[3902]: You could at least say goodbye.
Dec 23 05:38:04 myhost ftpd[3903]: lost connection
結局何がしたかったのかは不明
なぞじゃないけど、、、チルダが入力できない私の知り合い ▲
"GET /%EF%BD%9Emydir/zenkoku.html HTTP/1.1" 404 305
"GET /%EF%BD%9Emydir/zenkoku.html HTTP/1.1" 404 305
"GET /%EF%BD%9Emydir/zenkoku.html HTTP/1.1" 404 305
"GET /mydir/zenkoku.html HTTP/1.1" 404 302
"GET /%EF%BC%BEmydir/zenkoku.html HTTP/1.1" 404 305
I&U Home >
うにまま(仮) ・
謎ログの友 ・
パスワードコレクション ・
FormMail Scanners