コードレッド (Code Red) 赤丸が世界を覆う

このエントリーをはてなブックマークに追加
1風と木の名無しさん
猛威を振るっている Code Red とその亜種 (自称 Code Red II など)
についての情報を追いましょう。
●前スレ コードレッド (Code Red) 逝ってヨシ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588

( ´Д`)/ 先生! よくわからないけど不安です

1. 使ってるOSは Windows NT4.0/2000ですか?
   NT4.0 → 2.
   2000 (Server だけじゃなくて Professional 含む) → 3.
   どちらでもない → ヨカッタネ
2. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofnt4
  を見てすぐに対処しよう
3. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofw2k
  を見てすぐに対処しよう


( ´Д`)/ 先生! 感染しちゃったみたいです。

すぐに IIS を停止しよう。それから
http://www.microsoft.com/japan/technet/security/codeptch.asp#extermination
を見て駆除しましょう。でも、すでに他のバックドア(裏口)を作られ
ちゃってるかもしれないので、なるべくなら OS の再インストール
を。くれぐれも再インストール中に感染しないように注意。

重要リンク>>2)
そのたの情報>>3
感染の確認>>4-5
2風と木の名無しさん:2001/08/08(水) 23:56 ID:rp8BObKU
IPA による CodeRed II 注意喚起 (日本語)
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
JPCERT/CC による Code Red II 注意喚起 (日本語)
http://www.jpcert.or.jp/at/2001/at010019.txt
CERT Advisory 2001-23 和訳
http://www.reasoning.org/jp/cert/incident_notes/in-2001-09-j.html

マイクロソフト、Code Red対策で24時間電話問い合わせ窓口
http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/msn/137249
MSによる防護策・駆除方法の説明
http://www.microsoft.com/japan/technet/security/codeptch.asp
逝っちゃってるプロバイダ情報
http://watch.impress.co.jp/broadband/news/2001/08/06/codered.htm
hash's Security Alert 2001-02
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html
カンコックでは官公庁が感染
http://news.yahoo.co.jp/headlines/reu/010807/int/18345001_japan_47407_1.html
IISから、Apache for win32 にアップグレード (藁
http://www.ring.gr.jp/pub/net/apache/docs/windows.html
3風と木の名無しさん:2001/08/08(水) 23:56 ID:rp8BObKU
Code Red II 情報(英語) : 解析情報へのリンクあり
http://www.incidents.org/react/code_redII.php

Code Red II の警告と解析レポート (英語PDF)
http://aris.securityfocus.com/alerts/codered2/

CodeRed Scanner (英語) : CodeRed 感染の可能性があるホストをスキャン
http://www.eeye.com/html/Research/Tools/codered.html

ヤマハ RT80i, RT50i の脆弱性
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html

古川電工 MUCHO-E シリーズが受ける影響
http://www.humind.or.jp/~higasino/ML/infusers/2001-Aug/msg00003.html

崩壊させられているプロバイダ INTERLINK の障害情報
http://www.interlink.or.jp/notification/backno/2001/trb029.html

東アジア壊滅の図
http://www.security.nl/misc/codered-stats/

Code Red騒ぎでCode Redソーダが絶好調 (日本語)
http://www.zdnet.co.jp/news/0108/04/b_0803_11.html

●IISから、Apache for win32 にアップグレード

ダウンロードはここから
http://www.ring.gr.jp/pub/net/apache/dist/httpd/binaries/win32/apache_1.3.20-win32-no_src-r2.msi
使い方はここをみろ
http://www.ring.gr.jp/pub/net/apache/docs/windows.html
4風と木の名無しさん:2001/08/08(水) 23:57 ID:rp8BObKU
タスクマネージャのプロセスにInetinfo.exe
が存在してたらIISが稼働中です。

また、
 c:\explorer.exe
 d:\explorer.exe
 c:\inetpub\scripts\root.exe
 c:\Program Files\Common Files\System\MSADC\root.exe
 が存在、あるいは、
 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\Scripts
 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\msadc
 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\c
 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\d
 のレジストリキーが存在していれば感染してます。
5風と木の名無しさん:2001/08/08(水) 23:57 ID:rp8BObKU
 なんらかの事情がありパッチを当てられない場合には

 http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofothers
 に従い、
 .idq、.idaのidq.dlへのアプリケーションマッピングの削除を行いましょう

  個人ユーザーで Windows NT/2000 を使っている人も、念のため次の
  確認をしましょう

  ・Ctrl-Alt-Del を押して「タスク マネージャ」を起動
  ・「プロセス」タブを押す
  ・Inetinfo.exe プロセスを探す

  Inetinfo.exe があった人は、インデックスサービスの使用有無に
  *かかわらず* 以下の確認をしましょう
6風と木の名無しさん:2001/08/08(水) 23:57 ID:rp8BObKU
対象商品などのリスト
http://www.microsoft.com/japan/technet/security/codeptch.asp
7風と木の名無しさん:2001/08/09(木) 00:06 ID:Ulnd..GI
別板にきたかと思ったよ。
81
いえ、スレ立て間違ってしまいました(;´Д`)
削除依頼に出して来ます、板の皆さん申し訳ありません・・。