5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

米でレッドコードワームがホワイトハウスを攻撃中!?

1 :アイタタ:2001/07/20(金) 23:38
米でレッドコードワームがホワイトハウスを攻撃中!?
その権威はメリッサ、アイラブユー以上
Microsoft IIS鯖+INDEX鯖経由だって…
Web鯖のその数10万台!
何でMS鯖はパッチ走らせてねえんだよ?

2 :名無しさん@お腹いっぱい。:2001/07/20(金) 23:41
権威?

3 :名無しさん@お腹いっぱい。 :2001/07/20(金) 23:46
脅威だろ?
どちらにせよG8なんて報道してる場合じゃねえぜ(^^;

4 :はい、:2001/07/21(土) 12:01
Red codeは20日早朝に沢山いらっしゃってます。あちこちで変なLogに気がついている管理者はましですが、
過去にクラッキングの経験を持つサイトの殆どはそれっきりで何もしてない管理者が多いですね。
このIndex.serverへのパッチは6/18に既に公開されているのに、一ヶ月間もほったらかし。
ばかぁ=です。
笑っていたら、知り合いのサイトがその状態でした。連絡しようにも連休狙ってラッキーでしたね。
無音信でさっぱりです。ホワイトハウスに10万人デモ攻撃みたいなもんだな。
これはこれで大変だ。

5 :名無しさん@お腹いっぱい。:2001/07/21(土) 13:07
LLLLOG

6 :IIS(J):2001/07/21(土) 13:46
日本の政府機関をターゲットにした亜種が韓国から出たらしんだが
情報持ってる人いる?

7 :名無しさん@お腹いっぱい。:2001/07/21(土) 13:48
>>6
そんなはなし、どこで聞いたの?
カンコクジンならやりそうだけど

8 :名無しさん@お腹いっぱい。:2001/07/22(日) 02:05
今度は添付ファイル形式のw32/sircam発見!
これでも世界一のIT国家目指すか?
>竹中平蔵

9 :IIS:2001/07/22(日) 08:44
うちもレッドコードワームらしい攻撃がいらんな国から来たけど、
とりあえず撃退したみたい。

10 :名無しさん@お腹いっぱい。:2001/07/22(日) 15:36
撃退ってなんだよ?(藁

11 :名無しさん@お腹いっぱい。:2001/07/22(日) 23:54
2001-07-19

■新型ワーム「コード・レッド」/1万2000台のサーバーに感染

 米イーアイ・デジタル・セキュリティは17日(米国時間)、マイクロソフトのウェブ・サーバー・ソフト「IIS」を標的としたワーム「コード・レッド」に注意するよう警告を出した。このワームは、6月に発見されたIISのセキュリティ・ホールを使って侵入し、ウェブページを「Hacked by Chinese」という文章を含む内容に書き換える。イーアイがネットワーク管理者から最初に通知を受けたのは13日で、18日時点で1万2000台以上のウェブ・サーバーが感染しているという。
 このワームは、新たな標的となるIISを捜すため、IPアドレスをランダム走査するが、走査方法の特性により、特定サーバーが感染したサーバー群から集中攻撃を受ける事態も発生する。最悪の場合、システムリソースが枯渇してクラッシュするか、使用不能になるという。

 このセキュリティ・ホールは、IISによってインストールされる「ISAPIエクステンション」の拡張機能である「インデックス・サーバー」(ウインドウズ2000では「インデキシング・サービス」)のコンポーネント「idq.dll」に、確認されないバッファが含まれるのが原因。マイクロソフトはこれを修正するパッチを公開しており、これを直ちに適用するよう強く勧めている。

[米イーアイの発表]
http://www.eeye.com/html/Research/Advisories/AL20010717.html
[マイクロソフトのセキュリティ情報]
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033

(Mainichi DailyMail Internet)

12 :名無しさん@お腹いっぱい。:2001/07/23(月) 00:29

マイクロソフト自社サーバでさえ感染してます。

http://www.wss.net/winupd.jpg

「そんなにしてまで IIS 使う奴は 糞」で決定でしょうか。

13 :名無しさん@お腹いっぱい。:2001/07/23(月) 00:38
Chineseは暇だねぇ

14 :EIGRP:2001/07/23(月) 01:08
うちのルータRedCodeが飛んできてると思われる時間帯にCPU使用率明らかに上がっていました。
どんなパケットきてたことやら。。。

15 :名無しさん:2001/07/23(月) 03:01
>>13
F5キーつかうおとなりの国より
1000万倍ほどまともだとおもわれ、、、

16 :名無しさん:2001/07/23(月) 03:03
>>14
それは単にルーターがヘタレ
7200VXRか12000GSRかJuniper入れろ

17 :某ISP:2001/07/23(月) 11:03
今朝会社に来たら codered@securityfocus.com から、おたくのマシンが
やられてるぜべいべーなメールが2通来てた。1通はダイアルアップユーザの
感染マシンのリスト。こっちはまあしかたがないんだが、もう1通は
社内の個人端末の感染リスト。クソバカヤロー、貴様ら ISP に勤務する資格なしだ。

18 :名無しさん@お腹いっぱい。:2001/07/23(月) 12:35
>>15
ああ、確かに。人力に比べれば1000万倍マシだね…

>>17
マァマァ 落ち着いて

それにしても、亜種のほうが問題だな。今度はコネクションの
確認なんかしないだろうし。まったく迷惑な話だよ。

19 :17:2001/07/24(火) 20:13
調べてみたら、code red にやられてたマシンは当然のごとく sadmind にも
やられてた。個人端末に IIS なんか入れておくなよお願いだがら。

20 :ネットワークSE:2001/07/29(日) 01:47
20日夜に急にこれのパケット増えたよね
亜種はページ改ざんしないからきずいてないサーバー多い
んじゃないかな。
1日からまた動くけどネット麻痺したりしないのかぁ
漏れは対策立ててるけど・・・
8月1日から夏休みとったのさっ(w

21 :名無しさん@お腹いっぱい。:2001/08/01(水) 00:17
2001-07-31

■コード・レッド活動再燃の恐れ/8月1日は要注意 米FBIが警告
 米連邦捜査局の(FBI)の米国家インフラ保護センター(NIPC)は29日(米国時間)、マイクロソフトのウェブ・サーバー・ソフト「IIS」に感染するワーム「コード・レッド」が、米東部夏時間7月31日午後8時(日本時間8月1日午前9時)に再び活動を再開する恐れがあるとの警告を発した。NIPCはIISユーザーに対し、直ちにセキュリティ修正パッチを当てるよう呼びかけている。
 コード・レッドは7月19日に発見されたワームで、感染すると次の標的を求めてIPアドレスを走査し、セキュリティ欠陥をもつIISサーバーを見つけて自己増殖する。7月19日には、感染したサーバーを踏み台としてホワイトハウスのサーバーに分散サービス拒否(DDoS)攻撃を仕掛けたが、ホワイトハウスはIPアドレスを変更して攻撃を回避した。

 NIPCは、コード・レッドが突然変異して、活動再開時には危険度が増している可能性があると警告。感染が拡大すると、頻繁にIPアドレスを走査することでトラフィックが増加し、企業や個人による電子商取引や電子メール、エンタテインメントといったインターネットの利用が一時不能になる恐れもある。

[NIPCの警告]
http://www.nipc.gov/warnings/alerts/2001/01-016.htm

(Mainichi DailyMail Internet)

22 :名無しさん@お腹いっぱい。:2001/08/01(水) 00:17
データ送受信妨害する「ワーム」1日にまん延と警告
 米政府とコンピューター業界は30日、インターネットのデータ送受信を妨害する「コード・レッド」と呼ばれる新型ワームが米東部時間31日午後8時(日本時間8月1日午前9時)に世界にまん延する恐れがあるとする警告を共同で出した。ワームはウイルスと異なりユーザーがメールを開いたりしなくても感染し、爆発的な勢いで広まるため、マイクロソフトの予防ソフトで直ちに対策をとるよう呼びかけている。
 「コード・レッド」はネットのデータのやりとりを管理するサーバーに侵入し、送受信の渋滞を引き起こす。19日に米国でホワイトハウスのサーバーが被害を受け、9時間で25万台のサーバーに感染したことが確認されている。米国家情報インフラ保護センターによると、ワームに組み込まれた時計により、31日に一斉に感染が再開する見通しだ。被害を食い止めるには、いったんコンピューターの電源を切るしかない。予防ソフト使用法の詳細を示すホームページは以下の通り。http://www.digitalisland.net/codered/

23 :名無しさん@お腹いっぱい:2001/08/01(水) 01:35
死ね死ねIISと能無し技術者。

24 :名無しさん@お腹いっぱい。:2001/08/01(水) 02:09
米は今ITリストラの嵐だから
首切られたSEの報復措置だろうな(w

25 :名無しさん@お腹いっぱい。:2001/08/01(水) 02:12
MSは所詮その程度…
独禁法で逝けば良かったのに!
Linux個人レベルでもうちょっと扱い易くならねえかな?

26 :ななしさん@おなかいぱー:2001/08/01(水) 02:30
昨日はは俺は休みだった。
今日に備えて電話しておいた。
「○○のPCのケーブル抜いといて」
○○=厨房以下の知ったか社員

27 :名無しさん@お腹いっぱい。:2001/08/01(水) 22:03
Code Red 活動してます?
Apache のログ見ても全然攻撃の気配ないんだけど。
7/20日前後にはかなりのそれと思しきアクセスあったのに。

28 :名無しさん@お腹いっぱい。:2001/08/01(水) 22:04
今回は全然無いみたいね

29 : :2001/08/01(水) 22:20
log見たら、さっきアタック来たぞ。
動き出してるんじゃないか?

30 :ネットワークSE:2001/08/01(水) 23:10
うちも来はじめた。一番最初のやつは、22時16分。
そのあとたてつづけに来て今までに4回。

確かに動きだしてるよ。

31 :27:2001/08/02(木) 00:08
うちもさっき来ましたね。相手は中国上海。

32 :28:2001/08/02(木) 00:30
うちにも今来た。わざわざPerlで偽鯖作って待ったかいがあったよ。

[Thu Aug 2 00:25:23 2001]
Access from ool-18b8c17a.dyn.optonline.net(24.184.193.122) : 2025
GET /default.ida?NN(略)  HTTP/1.0
Content-type: text/xml
HOST:www.worm.com
Accept: */*
Content-length: 3569

こんなリクエストだった。相変わらず worm.com なんだね

33 :28:2001/08/02(木) 00:55
また別のとこから来た。今度は逆引きできん。

ところで>>32のWEB鯖にアクセスしたら、また
http://24.184.193.122/ これが表示されたけど、
亜種はこれ表示しないんだっけ?

34 :ネットワークSE:2001/08/02(木) 00:57
>>32のやつはページ書き換わってるね。
うちにきたやつはみんなつながらないんだけど
これって鯖落ちたのかなあ。
それともデフォルトがないだけだろうか。
うちのはこれです。
GET /default.ida?NNNN・・・NNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u68
58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%
u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 325

35 :ネットワークSE:2001/08/02(木) 01:02
あげちゃった、すまそ
>>33
これはsadmindのパロかねえ。こんなんが表示される
なんて聞いてない。亜種は改ざんしないって聞いてる。
でもこのページと同じのをどっかで見た記憶があるんだ
けど思い出せない。ひょっとして2重にやられてるだけ
かも。

36 :28:2001/08/02(木) 01:12
あ、そう言えばCodeRedは 「Hacked by Chinese」って
書き換えるんだっけ。
>>32はなんだったかな、とにかく最近の奴だよね

37 :28:2001/08/02(木) 01:15
ああ、失敬。調べたらsadmindそのままだった。
つーことはダブルで感染か。(・∀・)カコイイ!

38 :名無しさん@お腹いっぱい。:2001/08/02(木) 01:18
sadmindは fuck USA 〜じゃないか?
これ fuck Chinese〜になってるよ

39 :名無しさん@お腹いっぱい。:2001/08/02(木) 01:21
ChineseじゃなくてCHINAだった、スマソ

40 :ネットワークSE:2001/08/02(木) 01:33
>>38
そうだね、ただどっかでCHINAになってるのを見た
事がある。
パッチのあたっていないサーバーを知っているけど
いまのところ元気に動いているみたい。
とりあえず日本語環境ならば動作には影響ないのかな。
思ったよりアタック少ないね。増えてくる様子もないし
とりあえず実害なしかな?

41 :28:2001/08/02(木) 01:46
ネットワークの専門家じゃないんでよく分からんが、あんまり
活発じゃないみたいね。とりあえず偽鯖そのままにして寝よ。

42 :うげ:2001/08/02(木) 03:14
http://www.incidents.org/
現在、7万台ほどが感染した恐れあり。

43 :名無しさん@お腹いっぱい。:2001/08/02(木) 03:57
なんかhttpへのアクセス多いと思ったらこのせいか。
うちには決まって3回ずつアクセスしてくる。

44 :ネットワークSE:2001/08/02(木) 07:40
あ、なんか知ってるIISが落ちてるみたい・・・
これの影響かあ
情報ないですか

45 :28:2001/08/02(木) 09:05
朝起きてログ見たらら8回来てた。
一般ユーザーにもこんなに来るもんなんだね。

46 : :2001/08/02(木) 11:53
まだ止まずに来てるよ。うにょうにょ。
www.smartims.net
とかさぁ。おたくやられてるんだけど、、、。

47 :名無しさん@お腹いっぱい。:2001/08/02(木) 12:40
ちょろちょろ来てますね。
5分くらい前にはイタリアから来た。先方のサーバーにアクセスしてやろ
うと思ったら落ちてるみたいで見れん。

48 :名無しさん@お腹いっぱい。:2001/08/02(木) 12:50
>>33の鯖ももう落ちてて見れないね

49 :( ´Д`):2001/08/02(木) 13:12
capricorin.ce.hallym.ac.kr - - [02/Aug/2001:08:24:59 +0900] "GET /default.ida?
NNNNN中略
NNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090
%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u
531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 329 "-" "-"


さすがチョン

50 :sage:2001/08/02(木) 17:14
24.229.50.49
24.112.33.216
211.45.212.222
210.90.239.193
210.177.143.81
213.11.82.35
211.61.184.185
211.23.232.182
148.208.143.4
61.135.110.130
216.76.15.171

51 :名無しさん@お腹いっぱい。:2001/08/02(木) 18:47
203.236.221.24 - - [02/Aug/2001:12:07:28 +0900] "GET /default.ida?NNNNNNNNNNN
HTTP/1.0" 400 324 "-" "-"

213.142.192.82 - - [01/Aug/2001:21:15:15 +0900]
212.90.74.100 - - [01/Aug/2001:23:33:43 +0900]
211.117.6.14 - - [01/Aug/2001:23:46:41 +0900]
199.239.29.3 - - [02/Aug/2001:00:01:27 +0900]
61.77.150.163 - - [02/Aug/2001:02:49:13 +0900]
210.236.73.201 - - [02/Aug/2001:04:06:51 +0900]
208.168.93.234 - - [02/Aug/2001:04:20:59 +0900]
65.105.83.231 - - [02/Aug/2001:05:16:28 +0900]
213.97.203.43 - - [02/Aug/2001:05:56:20 +0900]
200.196.67.249 - - [02/Aug/2001:06:35:49 +0900]
195.70.152.198 - - [02/Aug/2001:06:48:13 +0900]
210.110.88.76 - - [02/Aug/2001:07:32:59 +0900]
210.55.57.45 - - [02/Aug/2001:08:32:13 +0900]

211.178.88.3 - - [02/Aug/2001:09:10:22 +0900]
195.224.227.2 - - [02/Aug/2001:09:54:48 +0900]
61.211.4.180 - - [02/Aug/2001:10:07:03 +0900]
24.147.235.36 - - [02/Aug/2001:11:03:50 +0900]
166.104.61.20 - - [02/Aug/2001:11:36:53 +0900]
203.236.221.24 - - [02/Aug/2001:12:07:28 +0900]
203.247.202.90 - - [02/Aug/2001:12:32:25 +0900]
213.151.136.8 - - [02/Aug/2001:16:20:32 +0900]
202.104.104.80 - - [02/Aug/2001:16:58:17 +0900]

212.181.151.4 - - [02/Aug/2001:17:18:35 +0900]
211.234.190.83 - - [02/Aug/2001:17:24:41 +0900]
止まらネーヨ(w

52 :うう;;:2001/08/02(木) 18:54
http://www.himawari.sakura.ne.jp/%7Eloveseat/index.html
  ∧_∧    ∧_∧     ∧_∧
 ( ・∀・)  ( ・∀・)   ( ・∀・)
⊂ ⊂  )  ( U  つ  ⊂__へ つ
 < < <    ) ) )     (_)|
 (_(_)  (__)_)    彡(__)
http://www.himawari.sakura.ne.jp/%7Eloveseat/index.html

53 :名無しさん@お腹いっぱい。:2001/08/02(木) 19:03
うげ!
思いっきり感染したよ。

54 :名無しさん@お腹いっぱい。:2001/08/02(木) 20:12
普段は1日数回ポートスキャンが来るだけなのに
今日に限ってHTTPばかり狙って20回以上。
これだったのか...

55 :名無しさん@お腹いっぱい。:2001/08/02(木) 20:33
昨日からやけにアタックが多いと思ったらこれかい?

56 :-------->(0101(:2001/08/02(木) 21:49
NULL.idq狙ってくるやつがあったが、変種か?

57 :名無しさん@お腹いっぱい。:2001/08/02(木) 22:05
うちの会社のウェブサーバ(Linux)にもたくさんきました。
8/2だけで100件近くあった。
適当に20件ほどたどってみたところ半島が多かったなぁ。
最初原因不明だったので半島からの攻撃かと勘ぐってしまったよ。

58 :名無しさん@お腹いっぱい。:2001/08/02(木) 23:00
うちのサーバもひどい
ログがどんどんふくらんでいく
うちは半島より欧州から多いんでヨローピアンな感じだ

59 :うーん:2001/08/02(木) 23:54
関係あるかも。東めた被害

東京めたりっく,不正アクセスにより一部回線不通に

8月2日の20時,東京めたりっく通信の一部ADSLモデムに対し無差別に大量の不正
アクセスが行われ,現在もすべての収容局のFamily,SOHO契約のユーザーの一部
が接続困難な状況になっている。同社Webのサポートページによると,前面LEDラ
ンプ異常点灯,モデム動作不良,速度低下状態などの症状が起きているという。

 同社では,一部ポート(TCP80番)に対しての接続制限を行っており, WWWサ
ーバを設置しているユーザーのWebを外部から参照できない状態だ。

http://www.zdnet.co.jp/broadband/0108/02/meta.html

60 :名無しさん@お腹いっぱい。:2001/08/02(木) 23:54
うちの場合7月のは欧米とゆー感じだったけど、今度のは半島&中国
がほとんどだね。

61 :なー:2001/08/03(金) 00:56
うちにも来たぜ〜>code red
昨日辺りからhttpdのエラーログに「なんだろこれ?」と思っていたが。
…いまみたら着実に増えてる。すごい勢いだ。韓国とアメリカが多いかな?

62 :名無しさん@お腹いっぱい。:2001/08/03(金) 01:53
うちに来たやつのホスト名リスト。ダイヤルアップPPPも多いねぇ。

Name: 61-218-161-203.HINET-IP.hinet.net
Name: ndslppp44.sttl.uswest.net
Name: host213-121-125-145.in-addr.btopenworld.com
Name: webproxy223.bcs.ee
Name: line89.comsat.net.ar
Name: fs-gw.teleworks.co.uk
Name: server1-kma.kma.local
Name: ingeopc01.ingeo.tuwien.ac.at
Name: 61-218-213-201.HINET-IP.hinet.net
Name: kather.xs4all.nl
Name: adsl-66-120-218-182.dsl.sntc01.pacbell.net
Name: schilling4u.schilling4u.com
Name: user-33qt5ng.dialup.mindspring.com
Name: utlhq301.utl.co.ug
Name: c1639423-a.bvrtn1.or.home.com
Name: dyn-102-014.admin.purdue.edu

63 :NULL.idq:2001/08/03(金) 02:13
>>56
うちでも1件だけまじってた。malformed Host header じゃなくて
File does not exist になる奴。
こっちはまだ情報みないね。

64 :田尻さん@お腹いっぱい。:2001/08/03(金) 04:45
http://www.tajiri.com/

65 :50:2001/08/03(金) 05:55
追加

217.15.64.198
64.242.115.165
195.178.183.203
216.53.74.93
195.122.185.132
216.16.224.130
206.153.58.147
163.121.197.150
208.57.255.99
62.161.74.159
210.201.72.136
205.205.100.19
203.169.156.130
210.205.191.50
203.58.197.228
211.223.14.137

66 :なー:2001/08/03(金) 07:40
わしも混ぜれ。
163.152.19.198
217.116.226.12
200.128.57.163
208.167.16.50
210.67.59.189
211.200.7.2
216.13.15.206
170.210.136.18
211.248.9.118
212.14.239.242
211.183.42.79
64.182.205.79
202.211.32.42
210.189.122.229
61.119.41.130
193.192.87.10
24.5.114.56
202.110.225.161
211.22.7.29
65.100.162.185
210.91.80.130
65.1.20.12
211.56.235.206
193.45.11.54
61.218.171.106

67 :ななしさん@おなかいぱーい:2001/08/03(金) 10:42
飽きたね。まだ来てるけど。

68 :名無しさん@お腹いっぱい。:2001/08/03(金) 12:25

IIS うざい。

134.75.107.68
140.131.114.216
193.82.0.69
195.96.76.126
196.32.159.98
200.213.3.2
202.125.80.51
202.31.147.31
203.190.131.28
203.236.139.6
203.236.230.19
203.237.51.93
206.124.12.149
210.103.160.2
210.106.188.215
210.110.64.197
210.12.191.1
210.201.104.184
210.220.227.217
210.222.65.144
211.172.176.181
211.174.163.221
211.175.207.144
211.20.246.210
211.62.36.31
211.63.143.217
216.244.196.16
216.37.41.65
216.86.204.77
217.59.53.131
24.12.85.15
24.160.158.121
24.19.89.233
24.4.229.243
61.132.122.177
61.136.117.45
61.180.170.2
62.155.251.157
63.221.191.10
64.105.47.178
64.172.243.18
65.106.42.36
65.7.154.252
66.108.72.62

69 :名無しさん@お腹いっぱい。:2001/08/03(金) 12:52
port80を3発ずつ叩いてくる奴かい?
コネクション不確立のsyslogが肥大でビビッタよ

24.253.144.228
213.120.115.192
193.253.44.179
128.134.176.140
210.206.77.150
212.143.235.194
209.219.10.208
61.163.218.108
211.227.229.127
212.164.196.17
216.112.83.91
168.131.53.95
206.71.66.138
213.53.162.6
212.135.222.210
211.222.223.52
202.64.132.14
64.80.29.12
193.252.110.30
208.176.34.175
207.30.9.99
139.223.134.140
203.176.75.70
202.98.45.144
61.218.24.74
211.233.21.183
38.203.21.6
24.203.75.6
211.56.217.193
211.48.98.10
211.48.98.11
66.68.32.28
212.156.70.254
61.218.62.52
24.245.6.74
202.106.20.74
202.156.2.246
202.156.200.119
24.0.50.180
202.105.178.185
195.55.211.214
211.22.135.21
211.116.188.200
63.28.209.83
193.251.78.218
212.236.7.227
193.252.223.123
12.79.40.193
62.96.177.23
204.210.177.137

70 :名無しさん@お腹いっぱい。:2001/08/03(金) 16:53
個人鯖なんだけど約30分おきにきている 7/20よりは少ないけど

2001/08/02 00:34:34 62.0.72.21
2001/08/02 01:03:22 203.74.210.30
2001/08/02 01:16:19 202.105.150.114
2001/08/02 02:23:23 24.181.205.153
2001/08/02 03:44:13 168.126.22.203
2001/08/02 04:49:34 206.206.48.90
2001/08/02 05:33:48 195.145.138.60
2001/08/02 06:14:36 208.61.44.46
2001/08/02 06:20:35 212.65.244.5
2001/08/02 06:30:02 209.77.75.11
2001/08/02 06:33:13 200.212.167.137
2001/08/02 06:46:15 61.213.130.152
2001/08/02 07:02:56 194.12.227.98
2001/08/02 07:26:01 210.186.220.2
2001/08/02 07:29:37 65.28.165.173
2001/08/02 12:06:50 24.1.195.70
2001/08/02 12:16:08 24.28.93.179
2001/08/02 13:33:05 211.174.35.154
2001/08/02 14:46:28 203.254.139.21
2001/08/02 14:52:47 129.174.48.38
2001/08/02 15:35:44 64.219.245.65
2001/08/02 15:43:00 64.67.160.132
2001/08/02 15:56:55 216.5.195.131
2001/08/02 16:47:25 210.91.115.232
2001/08/02 17:38:57 24.66.198.226
2001/08/02 18:29:10 210.181.173.3
2001/08/02 19:11:52 194.51.27.51
2001/08/02 21:44:43 24.181.214.112
2001/08/02 21:47:58 211.220.191.153
2001/08/02 21:51:14 203.144.13.33
2001/08/02 21:58:14 211.72.38.53
2001/08/02 22:27:56 202.43.83.106
2001/08/02 23:04:45 195.18.233.44
2001/08/03 00:08:35 208.188.19.13
2001/08/03 01:43:21 195.80.189.33
2001/08/03 02:21:13 204.94.239.179
2001/08/03 02:48:46 61.33.77.194
2001/08/03 03:20:55 210.123.145.15
2001/08/03 03:34:57 200.231.205.97
2001/08/03 04:19:10 211.38.138.14
2001/08/03 06:03:36 24.8.219.28
2001/08/03 06:51:52 194.236.31.24
2001/08/03 08:38:15 216.25.161.101
2001/08/03 08:44:38 64.249.21.34
2001/08/03 09:01:48 61.216.73.165
2001/08/03 09:25:42 61.218.179.18
2001/08/03 09:53:26 64.80.155.131
2001/08/03 11:03:19 210.108.205.221
2001/08/03 11:35:52 64.218.67.77
2001/08/03 12:35:51 61.153.22.212
2001/08/03 13:26:43 65.67.151.196
2001/08/03 15:09:29 212.59.19.90

71 :50:2001/08/03(金) 16:59
追加
前までは2,3ぐらいしかこなかったのに急に増えたぞ。
どういうこと!?

63.205.131.29
217.126.69.227
210.85.56.233
212.175.156.35
211.56.9.99
24.12.165.106
24.250.22.176
211.67.218.60
210.102.1.87
209.183.213.143
64.52.176.208
203.248.215.5
61.170.151.202
61.134.82.99

72 :名無しさん@お腹いっぱい。:2001/08/03(金) 17:30
どんどん増えるんだけど。
apacheで同じこと起きたら死ぬね。

73 :名無しさん@お腹いっぱい。:2001/08/03(金) 17:40
http://mclain.wa.com/

74 :名無しさん@お腹いっぱい。:2001/08/03(金) 17:43
http://255.255.255.255/
http://mclain.wa.com/
http://www.digicrime.com/

75 :名無しさん@お腹いっぱい。:2001/08/03(金) 18:00
>>72
それ悲劇
致命的な穴空いてても放置してる管理人多いし

76 :名無しさん@お腹いっぱい。:2001/08/03(金) 18:12
自宅鯖

[02/Aug/2001:01:30:30 +0900] 211.73.210.253
[02/Aug/2001:02:16:36 +0900] 211.176.62.73
[02/Aug/2001:02:51:37 +0900] 209.91.66.240
[02/Aug/2001:03:23:31 +0900] 129.171.67.95
[02/Aug/2001:04:34:56 +0900] 211.233.21.184
[02/Aug/2001:04:38:08 +0900] 203.45.202.154
[02/Aug/2001:06:20:16 +0900] 207.196.191.105
[02/Aug/2001:06:35:25 +0900] 61.35.94.68
[02/Aug/2001:06:53:37 +0900] 38.176.0.228
[02/Aug/2001:11:22:37 +0900] 130.228.2.44
[02/Aug/2001:11:45:22 +0900] 205.130.66.9
[02/Aug/2001:12:41:42 +0900] 211.196.229.58
[02/Aug/2001:13:50:19 +0900] 212.0.128.6
[02/Aug/2001:14:37:26 +0900] 210.59.227.201
[02/Aug/2001:17:02:21 +0900] 64.3.2.98
[02/Aug/2001:17:56:04 +0900] 157.160.128.134
[02/Aug/2001:18:03:02 +0900] 203.248.108.232
[02/Aug/2001:18:36:06 +0900] 211.108.241.111
[02/Aug/2001:18:58:32 +0900] 193.144.185.15
[02/Aug/2001:19:09:02 +0900] 211.242.6.159
[02/Aug/2001:23:20:37 +0900] 207.8.134.168
[03/Aug/2001:00:10:20 +0900] 62.161.253.242
[03/Aug/2001:00:16:18 +0900] 211.247.137.251
[03/Aug/2001:01:45:55 +0900] 210.200.8.81
[03/Aug/2001:04:27:18 +0900] 24.1.5.161
[03/Aug/2001:06:55:49 +0900] 203.230.251.51
[03/Aug/2001:07:16:26 +0900] 210.216.153.20
[03/Aug/2001:07:47:13 +0900] 12.34.156.101
[03/Aug/2001:08:01:05 +0900] 211.36.231.200
[03/Aug/2001:08:38:06 +0900] 195.168.11.109
[03/Aug/2001:11:08:52 +0900] 204.60.95.36
[03/Aug/2001:11:12:39 +0900] 211.75.135.190
[03/Aug/2001:12:16:18 +0900] 216.82.228.21
[03/Aug/2001:12:48:00 +0900] 211.39.105.31
[03/Aug/2001:12:48:04 +0900] 130.91.216.147
[03/Aug/2001:13:34:06 +0900] 195.215.173.11
[03/Aug/2001:13:53:48 +0900] 62.251.192.162
[03/Aug/2001:14:35:56 +0900] 195.249.146.217
[03/Aug/2001:15:35:12 +0900] 200.204.199.52
[03/Aug/2001:16:04:59 +0900] 207.35.47.107
[03/Aug/2001:16:46:37 +0900] 194.228.145.51
[03/Aug/2001:17:22:37 +0900] 211.210.124.66
[03/Aug/2001:18:06:22 +0900] 140.128.118.212

77 :ななしさん@かれー:2001/08/03(金) 19:41
まだ来てるねぇ。

78 :なー:2001/08/03(金) 19:44
jordan.korea.ac.kr
derecho.unca.edu.ar
ppi03-0529.din.or.jp
iweb2.deai.ac
ci26005-a.nash1.tn.home.com
cx839844-a.meta1.la.home.com
211-56-235-206.panworldnet.com
srnf0801.asplenium.net
61-218-171-106.HINET-IP.hinet.net
mail.seg-outdoor.com
host53.trantech-inc.com
rr-26-69-118.atl.mediaone.net
bw1-188pub43.bluewin.ch
www.pseudo.cz
cs666817-100.austin.rr.com
211-232-158-190.panworldnet.com
ptb46.sion.net
evrtwa1-ar5-054-226.evrtwa1.dsl.gtei.net
pD904830A.dip.t-dialin.net
pc-obs.bretagne.ens-cachan.fr
sea-adsl10-91.wolfenet.com
66-74-213-156.san.rr.com

逆引きしてみた。

79 ::2001/08/03(金) 23:09
なんか飽和に達したみたい
クラックできるところはクラックしつくしたのか?

80 :名無しさん@お腹いっぱい。:2001/08/03(金) 23:20
うちは今のところ収まったみたいだけど、前回と比べて3倍ぐらい
に増えてる。(回線細いのにたまらんよ)
けっこーな騒ぎだったはずだがパッチ当てたやつが少なかったって
ことか?

81 :名無しさん@お腹いっぱい。:2001/08/03(金) 23:34
61.74.223.143 - - [03/Aug/2001:23:26:33 ;0900]
またはじまったよ
>>72
Apache/1.3.20 だけど死なねゾ(w

82 :名無しさん@お腹いっぱい。:2001/08/04(土) 00:25
俺の処も今始まった、
2001/08/04 00:22:20 195.243.198.221

83 :名無しさん@お腹いっぱい。:2001/08/04(土) 00:27
はじまり遅いな

84 :名無しさん@お腹いっぱい。:2001/08/04(土) 15:09
http://www.theecozone.com/logs/access_log
http://www.gerrish.net/logs/access_log
HTTP/1.0 400 324 ってどういう意味?

85 :名無しさん@お腹いっぱい。:2001/08/04(土) 21:57
grep 'default.ida' /var/log/apache/access.log | awk '{ print $1 ; }' | perl -ne 'chop ; print `nslookup $_ | grep Name` '

86 :なー:2001/08/04(土) 22:02
>>84
HTTP/1.0はリクエストのバージョン。
400はHTTPステータスコードでBad Request。
324は送出したバイト数。

87 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:13
>>85
こういう使い方を見ると、もっとかっちょええのに修正したくなるんだよなぁ(藁。

awk '/default.ida/{print $1}' access.log | xargs -n 1 nslookup | grep Name

88 :ハート?:2001/08/04(土) 22:30
cj3147636-a.kkbnj1.kt.home.ne.jp

89 :なー:2001/08/04(土) 22:35
210.220.138.168 - - [04/Aug/2001:21:22:10 +0900] "GET /default.ida?萌え萌え萌え
萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え
萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え
萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え%u9090%u6858%ucbd3%u7801%u909
0%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%
u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 200 12

激しくワラタ

90 :ハート?:2001/08/04(土) 22:38
cj3168809-a.kkbnj1.kt.home.ne.jp

91 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:39
# awk '/jp.*default.ida/{print $1$4$5}' /usr/local/apache/logs/acc
ess_log
i252120.ppp.asahi-net.or.jp[04/Aug/2001:21:41:15+0900]
i212167.ppp.asahi-net.or.jp[04/Aug/2001:21:49:31+0900]
i252120.ppp.asahi-net.or.jp[04/Aug/2001:21:54:50+0900]
i231133.ppp.asahi-net.or.jp[04/Aug/2001:21:56:36+0900]
i212167.ppp.asahi-net.or.jp[04/Aug/2001:22:00:47+0900]

92 :ハート?:2001/08/04(土) 22:41
cj3020122-a.sugnm1.kt.home.ne.jp

93 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:42
10.20.183.45

94 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:42
210.20.183.45

95 :91:2001/08/04(土) 22:43
自宅サーバーにも来た。

日本製は、NNNNでなく、XXXXXだ。

i252120.ppp.asahi-net.or.jp - - [04/Aug/2001:21:54:50 +0900] "GET /default.ida?X
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd
3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%
u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 280 "-" "-"

96 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:43
IPだけ貼り付けてる奴は邪魔だからどっか逝ってね。

>ハート?
プロバイダ板のJ-COMスレ逝け

97 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:44
なんで日本製?

98 :91:2001/08/04(土) 22:47
日本製=.JPから来たと言うだけ

99 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:48
じゃあ日本製って言うなよ

100 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:49
うーん、うちのログ見ても
たしかにJPドメインからきているやつは
全部XXXXだな、NNNNNじゃなくて
つまり、純正CODE REDではなくて
亜種ということか?

101 :なー:2001/08/04(土) 22:51
nsレコード使った方がドメインが確実に判るよ。

102 :sage:2001/08/04(土) 22:52
漏れのサーバー晒しあげ
漏れのサーバーにきたクソIPを晒し上げキャンペーン中

http://takuomix.homeip.net/

103 :なー:2001/08/04(土) 22:55
>>102
にゅ?apache??

104 :さげ:2001/08/04(土) 22:59
漏れの鯖はApacheですが何か?

105 :うらら:2001/08/04(土) 23:02
XXXはcnやkrからも来てるよ。

106 :IIS:2001/08/04(土) 23:05
いまApacheつかってるんだけど
ちょっとだけ感染したくなってきた・・
IIS入れちまおう、という衝動が・
普通にインストールすると *.idaはスクリプトマッピング
されるのかな、IIS使ったことないのでよくしらないのだが

107 :91:2001/08/04(土) 23:09
>>100
response code も 404(Not Found) になっている。 

108 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:13
>>105内もそう
XXXがやたら増えた
u40-129.u203.giga.net.tw
203.141.153.39.user.at.il24.net
>>86こいつらはXXXのバカは HTTP/1.0 302 267だった


>>85 >>87 それはどこに書けばいいのですか?
httpd.confですか?

109 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:14
>>95
来たね
急にXXXXXXXXXXXXXXXXXXXXXこればっかりになったよ

110 :さげ:2001/08/04(土) 23:18
NNNの場合は400
XXXの場合は404
どちらにも共通し、たまに200

この違いは何なのでしょうか?

111 :なー:2001/08/04(土) 23:19
>>106
ワシも(^^;
帯域つかってバリバリ送出してー。
ついでに亜種も作りてー(それは犯罪)
デフォのままインストールすると感染対象になるらしい。

112 :なー:2001/08/04(土) 23:23
>>108
違うよ。コマンドラインから書くの。シェルスクリプトでもいいけど。
ログの位置は個々に変える必要はある。

113 :っとに:2001/08/05(日) 01:58
岡山情報ビジネス学院 情報工学化
〒700-0901 岡山市本町6-30 フジビル9F
Free Dial 0120-682336

CodeRED スレ ヨンデ下さい。オネガイシマス。
ウゼェんだよ〜〜〜!

114 :108:2001/08/05(日) 02:20
>>112
了解

115 :くらぁ!:2001/08/05(日) 02:48
>ページを表示できません
>現在、多数の人が Web サイトにアクセスしています。

f094041.ppp.asahi-net.or.jp
アホが何公開してんだか....やられてまっせ

116 :厨房:2001/08/05(日) 07:25
>>87
(1)awk '/default.ida/{print $1}' access.log | xargs -n 1 nslookup | grep Name
(2)awk '/default.ida/{print $1}' access.log | nslookup | grep Name

(2)でもいいみたいなのだが、違いはなーに?

117 :名無しさん@お腹いっぱい。:2001/08/05(日) 13:45
httpd.confにHostnameLookups Double
をいれとけー。

118 :なー:2001/08/05(日) 13:59
HostnameLookups Onで十分だよ。

35 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)