[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:05236] Re: IIS への SSL な攻撃を検知するには?
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:05236] Re: IIS への SSL な攻撃を検知するには?
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Sun, 18 Apr 2004 21:38:13 +0900
Port139 伊原です。
XP SP2 の新機能に期待しつつ・・・
On Sun, 18 Apr 2004 16:03:07 +0900
Kanatoko <anvil@xxxxxxxxxxx> wrote:
>> 攻撃が成功した場合は、恐らくメモリ上に悪意あるプロセスが存在する
>> 状況になり
>
>バッファオーバーフローの攻撃が決まりメモリ上で悪意あるコードが動作する場
>合( SQL Slammerみたいなケース)、今まで動いていたプロセスがそのまま悪意
>あるプロセスに変わっちゃうような感じなんではないかと思います。つまり、プ
>ロセスIDとかはいっしょでそのまま動作が悪者になる、みたいな感じです。
SQL Slammer のように感染パケットを送信したり、何かしらのバックドアへの
通信が発生してくれれば、通信ログなどから検知が可能になるのかなぁと妄想
してるのですが、逆に何も活動しれくれない?と、きっと発見できないんだろ
うなぁとか思ってるのは私だけなんですかね(^^;;
#単に IIS がダンマリになった状態に思えてたいして疑わない(笑)
昨日の園田さんのプレゼンでもありましたが、感染パケットやバックドアへの
通信が確認できたり、他のサイトから苦情がきてたり、あきらかに侵害されて
るぢゃん!という場合、そういったログ(証拠)があればメモリダンプは一応
保存したとしても、解析(掘る作業)はやんなくてもよさそうですよねぇ。
#そもそもメモリダンプからそういった悪意あるプロセスの箇所を発見する
#方法を私は知らないんですけど。
##せいぜい、パターンや文字列がわかっていたらそれ探すくらい(^^;;
--
『強いWindowsの基本』 やっとでました(^^;;
http://www.seshop.com/detail.asp?pid=4449
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
Microsoft MVP (Security)
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/