[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:05270] Re: IIS Schannelのエラー

To: <port139ml@xxxxxxxxxxxxx>
Subject: [port139ml:05270] Re: IIS Schannelのエラー
From: "Hideaki Ihara" <hideaki@xxxxxxxxxxxxx>
Date: Thu, 29 Apr 2004 09:51:39 +0900

Port139 伊原です。世間は休日ですか・・・

From: "Toyoki Yokouchi" <yokochan@xxxxxxxxxxxxx>
Subject: [port139ml:05269] Re: IIS Schannelのエラー


> > 『リモートクライアント アプリケーションからSSL接続要求を受信しましたが、
> > クライアントでサポートされている暗号がサーバでサポートされていません。
> > SSL接続要求は失敗しました。』
>
> 当方の再現環境は、Windows2000ServicePack4にMS04-011の修正モジュールを
> 適用しただけですが、公開されているコードによる攻撃で同様の現象が再現
> されました。

なるほど、やはり MS04-011 の痕跡でしたか、ありがとうございます。
ちなみに、27日以降は全然きてません。

IIS のログと、syunlog で保存したログを確認してみたのですが、IIS の
ログには特に何も記録されないのですね。
＃syunlog には 443/tcp の通信があるが、IIS のログには存在せず
＃入れててよかった syulog です :-)

全パケットがキャプチャしてあれば、後から Snort なりで確認するのも
簡単かなぁと改めて感じました。
ちなみに、ほとんどの方がご存知のように Snort のシグネチャを公開
してくださってます。＞SecuLog

http://www.7th-angel.net/seculog/index.php?itemid=487

LSA 対応のは、別の日付で言及されています。
けんさんの日記によると、LSA については NULL 接続を拒否すること
でも臨時対応が可能なようですね。
＃XP 以降では不可能な技ですが（笑）

References:
- [port139ml:05268] IIS Schannelのエラー
  - From: Hideaki Ihara
- [port139ml:05269] Re: IIS Schannelのエラー
  - From: Toyoki Yokouchi

Prev by Date: [port139ml:05269] Re: IIS Schannelのエラー
Next by Date: [port139ml:05271] MS04-011 LSASS攻撃の痕跡
Previous by thread: [port139ml:05269] Re: IIS Schannelのエラー
Next by thread: [port139ml:05271] MS04-011 LSASS攻撃の痕跡
Index(es):
- Date
- Thread