- ベストアンサー
apacheのログからNIMDA、CODEREDの見分け方
apacheのログから、Nimda,CodeRed,Codered(2)のそれぞれの 攻撃を受けたかを判別する方法はあるのでしょうか? root.exe,cmd.exe,default.idar,Admin.dll等は、nimdaでも CodeRedでもありえるのでしょうか?
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
noname#41381
回答No.2
J_ANBIさんのいうとおりCodeRed(2も)は「default.ida」にリクエストだしますね。 http://www.ae.wakwak.com/~sysportcore/sysport/kb/security/coderedworm.htm Nimdaと区別が難しいのはCodeBlueですね。(参考URLを) これは一連のリクエスト動作から判断するのではないでしょうか?
その他の回答 (1)
- J_ANBI
- ベストアンサー率48% (24/49)
回答No.1
default.idaを狙ってくるのが、CodeREDで、root.exeとcmd.exeを狙ってくるのが、Nimdaの筈です。また、特徴として、両方ともオーバーフローを狙ってくるので、要求されたアドレスが大変冗長になっている筈です。 これをヒントにgrepか何かを使ってaccess_logを検索すれば、判別できるでしょう。
