5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

米でレッドコードワームがホワイトハウスを攻撃中!?

1 :アイタタ:2001/07/20(金) 23:38
米でレッドコードワームがホワイトハウスを攻撃中!?
その権威はメリッサ、アイラブユー以上
Microsoft IIS鯖+INDEX鯖経由だって…
Web鯖のその数10万台!
何でMS鯖はパッチ走らせてねえんだよ?

69 :名無しさん@お腹いっぱい。:2001/08/03(金) 12:52
port80を3発ずつ叩いてくる奴かい?
コネクション不確立のsyslogが肥大でビビッタよ

24.253.144.228
213.120.115.192
193.253.44.179
128.134.176.140
210.206.77.150
212.143.235.194
209.219.10.208
61.163.218.108
211.227.229.127
212.164.196.17
216.112.83.91
168.131.53.95
206.71.66.138
213.53.162.6
212.135.222.210
211.222.223.52
202.64.132.14
64.80.29.12
193.252.110.30
208.176.34.175
207.30.9.99
139.223.134.140
203.176.75.70
202.98.45.144
61.218.24.74
211.233.21.183
38.203.21.6
24.203.75.6
211.56.217.193
211.48.98.10
211.48.98.11
66.68.32.28
212.156.70.254
61.218.62.52
24.245.6.74
202.106.20.74
202.156.2.246
202.156.200.119
24.0.50.180
202.105.178.185
195.55.211.214
211.22.135.21
211.116.188.200
63.28.209.83
193.251.78.218
212.236.7.227
193.252.223.123
12.79.40.193
62.96.177.23
204.210.177.137

70 :名無しさん@お腹いっぱい。:2001/08/03(金) 16:53
個人鯖なんだけど約30分おきにきている 7/20よりは少ないけど

2001/08/02 00:34:34 62.0.72.21
2001/08/02 01:03:22 203.74.210.30
2001/08/02 01:16:19 202.105.150.114
2001/08/02 02:23:23 24.181.205.153
2001/08/02 03:44:13 168.126.22.203
2001/08/02 04:49:34 206.206.48.90
2001/08/02 05:33:48 195.145.138.60
2001/08/02 06:14:36 208.61.44.46
2001/08/02 06:20:35 212.65.244.5
2001/08/02 06:30:02 209.77.75.11
2001/08/02 06:33:13 200.212.167.137
2001/08/02 06:46:15 61.213.130.152
2001/08/02 07:02:56 194.12.227.98
2001/08/02 07:26:01 210.186.220.2
2001/08/02 07:29:37 65.28.165.173
2001/08/02 12:06:50 24.1.195.70
2001/08/02 12:16:08 24.28.93.179
2001/08/02 13:33:05 211.174.35.154
2001/08/02 14:46:28 203.254.139.21
2001/08/02 14:52:47 129.174.48.38
2001/08/02 15:35:44 64.219.245.65
2001/08/02 15:43:00 64.67.160.132
2001/08/02 15:56:55 216.5.195.131
2001/08/02 16:47:25 210.91.115.232
2001/08/02 17:38:57 24.66.198.226
2001/08/02 18:29:10 210.181.173.3
2001/08/02 19:11:52 194.51.27.51
2001/08/02 21:44:43 24.181.214.112
2001/08/02 21:47:58 211.220.191.153
2001/08/02 21:51:14 203.144.13.33
2001/08/02 21:58:14 211.72.38.53
2001/08/02 22:27:56 202.43.83.106
2001/08/02 23:04:45 195.18.233.44
2001/08/03 00:08:35 208.188.19.13
2001/08/03 01:43:21 195.80.189.33
2001/08/03 02:21:13 204.94.239.179
2001/08/03 02:48:46 61.33.77.194
2001/08/03 03:20:55 210.123.145.15
2001/08/03 03:34:57 200.231.205.97
2001/08/03 04:19:10 211.38.138.14
2001/08/03 06:03:36 24.8.219.28
2001/08/03 06:51:52 194.236.31.24
2001/08/03 08:38:15 216.25.161.101
2001/08/03 08:44:38 64.249.21.34
2001/08/03 09:01:48 61.216.73.165
2001/08/03 09:25:42 61.218.179.18
2001/08/03 09:53:26 64.80.155.131
2001/08/03 11:03:19 210.108.205.221
2001/08/03 11:35:52 64.218.67.77
2001/08/03 12:35:51 61.153.22.212
2001/08/03 13:26:43 65.67.151.196
2001/08/03 15:09:29 212.59.19.90

71 :50:2001/08/03(金) 16:59
追加
前までは2,3ぐらいしかこなかったのに急に増えたぞ。
どういうこと!?

63.205.131.29
217.126.69.227
210.85.56.233
212.175.156.35
211.56.9.99
24.12.165.106
24.250.22.176
211.67.218.60
210.102.1.87
209.183.213.143
64.52.176.208
203.248.215.5
61.170.151.202
61.134.82.99

72 :名無しさん@お腹いっぱい。:2001/08/03(金) 17:30
どんどん増えるんだけど。
apacheで同じこと起きたら死ぬね。

73 :名無しさん@お腹いっぱい。:2001/08/03(金) 17:40
http://mclain.wa.com/

74 :名無しさん@お腹いっぱい。:2001/08/03(金) 17:43
http://255.255.255.255/
http://mclain.wa.com/
http://www.digicrime.com/

75 :名無しさん@お腹いっぱい。:2001/08/03(金) 18:00
>>72
それ悲劇
致命的な穴空いてても放置してる管理人多いし

76 :名無しさん@お腹いっぱい。:2001/08/03(金) 18:12
自宅鯖

[02/Aug/2001:01:30:30 +0900] 211.73.210.253
[02/Aug/2001:02:16:36 +0900] 211.176.62.73
[02/Aug/2001:02:51:37 +0900] 209.91.66.240
[02/Aug/2001:03:23:31 +0900] 129.171.67.95
[02/Aug/2001:04:34:56 +0900] 211.233.21.184
[02/Aug/2001:04:38:08 +0900] 203.45.202.154
[02/Aug/2001:06:20:16 +0900] 207.196.191.105
[02/Aug/2001:06:35:25 +0900] 61.35.94.68
[02/Aug/2001:06:53:37 +0900] 38.176.0.228
[02/Aug/2001:11:22:37 +0900] 130.228.2.44
[02/Aug/2001:11:45:22 +0900] 205.130.66.9
[02/Aug/2001:12:41:42 +0900] 211.196.229.58
[02/Aug/2001:13:50:19 +0900] 212.0.128.6
[02/Aug/2001:14:37:26 +0900] 210.59.227.201
[02/Aug/2001:17:02:21 +0900] 64.3.2.98
[02/Aug/2001:17:56:04 +0900] 157.160.128.134
[02/Aug/2001:18:03:02 +0900] 203.248.108.232
[02/Aug/2001:18:36:06 +0900] 211.108.241.111
[02/Aug/2001:18:58:32 +0900] 193.144.185.15
[02/Aug/2001:19:09:02 +0900] 211.242.6.159
[02/Aug/2001:23:20:37 +0900] 207.8.134.168
[03/Aug/2001:00:10:20 +0900] 62.161.253.242
[03/Aug/2001:00:16:18 +0900] 211.247.137.251
[03/Aug/2001:01:45:55 +0900] 210.200.8.81
[03/Aug/2001:04:27:18 +0900] 24.1.5.161
[03/Aug/2001:06:55:49 +0900] 203.230.251.51
[03/Aug/2001:07:16:26 +0900] 210.216.153.20
[03/Aug/2001:07:47:13 +0900] 12.34.156.101
[03/Aug/2001:08:01:05 +0900] 211.36.231.200
[03/Aug/2001:08:38:06 +0900] 195.168.11.109
[03/Aug/2001:11:08:52 +0900] 204.60.95.36
[03/Aug/2001:11:12:39 +0900] 211.75.135.190
[03/Aug/2001:12:16:18 +0900] 216.82.228.21
[03/Aug/2001:12:48:00 +0900] 211.39.105.31
[03/Aug/2001:12:48:04 +0900] 130.91.216.147
[03/Aug/2001:13:34:06 +0900] 195.215.173.11
[03/Aug/2001:13:53:48 +0900] 62.251.192.162
[03/Aug/2001:14:35:56 +0900] 195.249.146.217
[03/Aug/2001:15:35:12 +0900] 200.204.199.52
[03/Aug/2001:16:04:59 +0900] 207.35.47.107
[03/Aug/2001:16:46:37 +0900] 194.228.145.51
[03/Aug/2001:17:22:37 +0900] 211.210.124.66
[03/Aug/2001:18:06:22 +0900] 140.128.118.212

77 :ななしさん@かれー:2001/08/03(金) 19:41
まだ来てるねぇ。

78 :なー:2001/08/03(金) 19:44
jordan.korea.ac.kr
derecho.unca.edu.ar
ppi03-0529.din.or.jp
iweb2.deai.ac
ci26005-a.nash1.tn.home.com
cx839844-a.meta1.la.home.com
211-56-235-206.panworldnet.com
srnf0801.asplenium.net
61-218-171-106.HINET-IP.hinet.net
mail.seg-outdoor.com
host53.trantech-inc.com
rr-26-69-118.atl.mediaone.net
bw1-188pub43.bluewin.ch
www.pseudo.cz
cs666817-100.austin.rr.com
211-232-158-190.panworldnet.com
ptb46.sion.net
evrtwa1-ar5-054-226.evrtwa1.dsl.gtei.net
pD904830A.dip.t-dialin.net
pc-obs.bretagne.ens-cachan.fr
sea-adsl10-91.wolfenet.com
66-74-213-156.san.rr.com

逆引きしてみた。

79 ::2001/08/03(金) 23:09
なんか飽和に達したみたい
クラックできるところはクラックしつくしたのか?

80 :名無しさん@お腹いっぱい。:2001/08/03(金) 23:20
うちは今のところ収まったみたいだけど、前回と比べて3倍ぐらい
に増えてる。(回線細いのにたまらんよ)
けっこーな騒ぎだったはずだがパッチ当てたやつが少なかったって
ことか?

81 :名無しさん@お腹いっぱい。:2001/08/03(金) 23:34
61.74.223.143 - - [03/Aug/2001:23:26:33 ;0900]
またはじまったよ
>>72
Apache/1.3.20 だけど死なねゾ(w

82 :名無しさん@お腹いっぱい。:2001/08/04(土) 00:25
俺の処も今始まった、
2001/08/04 00:22:20 195.243.198.221

83 :名無しさん@お腹いっぱい。:2001/08/04(土) 00:27
はじまり遅いな

84 :名無しさん@お腹いっぱい。:2001/08/04(土) 15:09
http://www.theecozone.com/logs/access_log
http://www.gerrish.net/logs/access_log
HTTP/1.0 400 324 ってどういう意味?

85 :名無しさん@お腹いっぱい。:2001/08/04(土) 21:57
grep 'default.ida' /var/log/apache/access.log | awk '{ print $1 ; }' | perl -ne 'chop ; print `nslookup $_ | grep Name` '

86 :なー:2001/08/04(土) 22:02
>>84
HTTP/1.0はリクエストのバージョン。
400はHTTPステータスコードでBad Request。
324は送出したバイト数。

87 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:13
>>85
こういう使い方を見ると、もっとかっちょええのに修正したくなるんだよなぁ(藁。

awk '/default.ida/{print $1}' access.log | xargs -n 1 nslookup | grep Name

88 :ハート?:2001/08/04(土) 22:30
cj3147636-a.kkbnj1.kt.home.ne.jp

89 :なー:2001/08/04(土) 22:35
210.220.138.168 - - [04/Aug/2001:21:22:10 +0900] "GET /default.ida?萌え萌え萌え
萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え
萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え
萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え%u9090%u6858%ucbd3%u7801%u909
0%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%
u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 200 12

激しくワラタ

90 :ハート?:2001/08/04(土) 22:38
cj3168809-a.kkbnj1.kt.home.ne.jp

91 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:39
# awk '/jp.*default.ida/{print $1$4$5}' /usr/local/apache/logs/acc
ess_log
i252120.ppp.asahi-net.or.jp[04/Aug/2001:21:41:15+0900]
i212167.ppp.asahi-net.or.jp[04/Aug/2001:21:49:31+0900]
i252120.ppp.asahi-net.or.jp[04/Aug/2001:21:54:50+0900]
i231133.ppp.asahi-net.or.jp[04/Aug/2001:21:56:36+0900]
i212167.ppp.asahi-net.or.jp[04/Aug/2001:22:00:47+0900]

92 :ハート?:2001/08/04(土) 22:41
cj3020122-a.sugnm1.kt.home.ne.jp

93 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:42
10.20.183.45

94 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:42
210.20.183.45

95 :91:2001/08/04(土) 22:43
自宅サーバーにも来た。

日本製は、NNNNでなく、XXXXXだ。

i252120.ppp.asahi-net.or.jp - - [04/Aug/2001:21:54:50 +0900] "GET /default.ida?X
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd
3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%
u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 280 "-" "-"

96 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:43
IPだけ貼り付けてる奴は邪魔だからどっか逝ってね。

>ハート?
プロバイダ板のJ-COMスレ逝け

97 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:44
なんで日本製?

98 :91:2001/08/04(土) 22:47
日本製=.JPから来たと言うだけ

99 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:48
じゃあ日本製って言うなよ

100 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:49
うーん、うちのログ見ても
たしかにJPドメインからきているやつは
全部XXXXだな、NNNNNじゃなくて
つまり、純正CODE REDではなくて
亜種ということか?

101 :なー:2001/08/04(土) 22:51
nsレコード使った方がドメインが確実に判るよ。

102 :sage:2001/08/04(土) 22:52
漏れのサーバー晒しあげ
漏れのサーバーにきたクソIPを晒し上げキャンペーン中

http://takuomix.homeip.net/

103 :なー:2001/08/04(土) 22:55
>>102
にゅ?apache??

104 :さげ:2001/08/04(土) 22:59
漏れの鯖はApacheですが何か?

105 :うらら:2001/08/04(土) 23:02
XXXはcnやkrからも来てるよ。

106 :IIS:2001/08/04(土) 23:05
いまApacheつかってるんだけど
ちょっとだけ感染したくなってきた・・
IIS入れちまおう、という衝動が・
普通にインストールすると *.idaはスクリプトマッピング
されるのかな、IIS使ったことないのでよくしらないのだが

107 :91:2001/08/04(土) 23:09
>>100
response code も 404(Not Found) になっている。 

108 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:13
>>105内もそう
XXXがやたら増えた
u40-129.u203.giga.net.tw
203.141.153.39.user.at.il24.net
>>86こいつらはXXXのバカは HTTP/1.0 302 267だった


>>85 >>87 それはどこに書けばいいのですか?
httpd.confですか?

109 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:14
>>95
来たね
急にXXXXXXXXXXXXXXXXXXXXXこればっかりになったよ

110 :さげ:2001/08/04(土) 23:18
NNNの場合は400
XXXの場合は404
どちらにも共通し、たまに200

この違いは何なのでしょうか?

111 :なー:2001/08/04(土) 23:19
>>106
ワシも(^^;
帯域つかってバリバリ送出してー。
ついでに亜種も作りてー(それは犯罪)
デフォのままインストールすると感染対象になるらしい。

112 :なー:2001/08/04(土) 23:23
>>108
違うよ。コマンドラインから書くの。シェルスクリプトでもいいけど。
ログの位置は個々に変える必要はある。

113 :っとに:2001/08/05(日) 01:58
岡山情報ビジネス学院 情報工学化
〒700-0901 岡山市本町6-30 フジビル9F
Free Dial 0120-682336

CodeRED スレ ヨンデ下さい。オネガイシマス。
ウゼェんだよ〜〜〜!

114 :108:2001/08/05(日) 02:20
>>112
了解

115 :くらぁ!:2001/08/05(日) 02:48
>ページを表示できません
>現在、多数の人が Web サイトにアクセスしています。

f094041.ppp.asahi-net.or.jp
アホが何公開してんだか....やられてまっせ

116 :厨房:2001/08/05(日) 07:25
>>87
(1)awk '/default.ida/{print $1}' access.log | xargs -n 1 nslookup | grep Name
(2)awk '/default.ida/{print $1}' access.log | nslookup | grep Name

(2)でもいいみたいなのだが、違いはなーに?

117 :名無しさん@お腹いっぱい。:2001/08/05(日) 13:45
httpd.confにHostnameLookups Double
をいれとけー。

118 :なー:2001/08/05(日) 13:59
HostnameLookups Onで十分だよ。

35 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)