469 :
動け動けウゴウゴ2ちゃんねる :
2006/03/24(金) 01:46:12 ID:MwxVLPgA0 tmp6で異常発生、負荷も上がってます
470 :
root▲ ★ :2006/03/24(金) 01:47:03 ID:???0 BE:3284249-#
>>469 $ uptime
8:46AM up 50 days, 14:46, 1 user, load averages: 25.52, 27.79, 26.26
どうしたんだべ。
471 :
root▲ ★ :2006/03/24(金) 01:50:31 ID:???0 BE:5107687-#
bbs.cgi 叩かれまくりか。
472 :
root▲ ★ :2006/03/24(金) 01:53:26 ID:???0 BE:1824645-#
新手のウィルス? 投稿内容の意図が全然見えない
474 :
root▲ ★ :2006/03/24(金) 01:56:49 ID:???0 BE:1460328-#
なんか、ウイルスかな。 とりあえずここまで激しいと、バーボンにかかる予感も。
ニュー速のイオナズンの方が速いな
476 :
root▲ ★ :2006/03/24(金) 01:59:36 ID:???0 BE:1642436-#
ぐったり ___〆⌒つ___ / ∧∧/ /:|| /__⊂(-д-,,)⊃_/ /|| || 2ちゃんの中の人||/ :::::|| || ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄||::::::::::::|| || || だら〜ん __________ ./ / / /.|| / / / / /|| || ̄ ̄ ̄| | | | ̄ ̄ ̄||/::::|| ||  ̄ ̄ (-~- '' )  ̄ ̄ || ::::::::|| || ∨~∨ .||
478 :
root▲ ★ :2006/03/24(金) 02:06:28 ID:???0 BE:5745997-#
一斉に数十箇所からってかんじみたい。
479 :
root▲ ★ :2006/03/24(金) 02:09:08 ID:???0 BE:2189546-#
481 :
root▲ ★ :2006/03/24(金) 02:12:17 ID:???0 BE:3831067-#
ううむ。 2xx 3xx 4xx 5xx URL 279 0 0 0*/test/bbs.cgi 179 151 0 0 /download/subject.txt 156 152 0 0 /download/SETTING.TXT 14 1 0 0 /download/dat/1143132060.dat 9 0 0 0 /mog2/subject.txt 6 0 0 0 /download/dat/1142418021.dat 5 0 0 0 /download/dat/1142954068.dat 5 3 0 0 /download/dat/1143107622.dat 4 0 0 0 /download/dat/1143112573.dat 4 0 0 0 /test/read.cgi/download/1138789268/ 4 0 0 0 /download/dat/1138682667.dat 3 0 0 0 /download/dat/1142766486.dat 3 0 0 0 /download/dat/1143040813.dat
482 :
root▲ ★ :2006/03/24(金) 02:12:55 ID:???0 BE:2188883-#
たぶん、一番上のスレとかをめがけて来るんじゃないかなと。(直感)
483 :
root▲ ★ :2006/03/24(金) 02:13:36 ID:???0 BE:1824454-#
subject.txt 拾っているのと、SETTING.TXT 拾っていることからも、 それがうかがえますね。
484 :
root▲ ★ :2006/03/24(金) 02:15:30 ID:???0 BE:2189838-#
とりあえず緊急に、BBS_BE_TYPE2=checked にしてみた。< download でも、叩かれるのは直らない予感。
485 :
root▲ ★ :2006/03/24(金) 02:16:49 ID:???0 BE:1916137-#
しばらく様子見。
負荷が変わらなければ、
>>484 は意味がないんで、戻すかんじで。
486 :
root▲ ★ :2006/03/24(金) 02:18:01 ID:???0 BE:5837388-#
だめすね。 bbs.cgi を起動される前に何とかしないと。 元に戻します。
バーボン見ると国内からがたい半ですねぇ これは時限発動式のウィルスかも
488 :
root▲ ★ :2006/03/24(金) 02:21:01 ID:???0 BE:6566898-#
489 :
root▲ ★ :2006/03/24(金) 02:21:16 ID:???0 BE:2554447-#
緊急事態なので帽子を被ります。 投稿した文字列を見て気がついたのですがこれってwinnyとかで検索しようとしている 文字列をひたすら投稿するプログラムになっているかも
491 :
root▲ ★ :2006/03/24(金) 02:22:47 ID:???0 BE:1277827-#
幸いにもスワップが起こりまくる感じではないし、 サーバが機能しなくなるほどではなさそう。 で、たんたんとバーボン行きになっていると。
492 :
root▲ ★ :2006/03/24(金) 02:23:28 ID:???0 BE:3648858-#
>490 winny検索文字列を投稿してると判断した決定的な証拠はにハッシュをそのまんま 投稿していることです。
爆撃跡のあるスレタイ見ても共通点はさっぱり。 適当に上or下から爆撃してるわけでもないし、新しいor古いスレからってわけでもない。 投稿内容はこれでビンゴだろうけど、これだけわかっても意味なす。 >ユーザー名・Download.txt・検索単語をランダムっぽいで(´・ω・) スネ
495 :
root▲ ★ :2006/03/24(金) 02:35:03 ID:???0 BE:2462393-#
496 :
root▲ ★ :2006/03/24(金) 02:40:22 ID:???0 BE:1459182-#
しかし、いたちかも。 しかもこの頻度だと「起動されること」自体がいまいちなわけで。 しかも新種のウイルスだとすると、今後広まる可能性が大きいし。
497 :
root▲ ★ :2006/03/24(金) 02:43:07 ID:???0 BE:2188883-#
あとは、観察かな。 とりあえずサーバが完全につぶれるほどではないわけで。
499 :
root▲ ★ :2006/03/24(金) 02:52:01 ID:???0 BE:730324-#
500 :
root▲ ★ :2006/03/24(金) 02:54:35 ID:???0 BE:5107687-#
deny しました。 LA 下がってきた模様。< tmp6
>>498 空の軌跡SCまだぁ〜とは別。挙動が全然違う。
ウィルス自体の解析はダウソに該当スレがあるのでそっちで。
502 :
root▲ ★ :2006/03/24(金) 03:00:09 ID:???0 BE:4925669-#
完全にシャットアウトすると、たぶん対策もできなくなる気がするので、 事態が大きく変化するまでは、緊急対応はまずはここまでということで。
ふむ
504 :
root▲ ★ :2006/03/24(金) 03:12:24 ID:???0 BE:1094843-#
現状までのまとめ: 1) 2ちゃんねるのダウンロード板に向けて高頻度の投稿(というかbbs.cgiの起動) を行う、新種のウイルスが現れた模様 2) このウイルスは、subject.txt や SETTING.TXT を(も?)、強烈に触る模様 3) 感染すると、Winny の検索文字列? を、ダウンロード板の特定のスレッドに投稿し続ける模様 4) 新種のウイルスは、2006年3月24日 1:00 JST に、一斉に発動しだした模様 5) 既に数十台のPCに感染している模様 結果、tmp6 サーバは LA=20 超えがずっと続く高負荷な状態に。 緊急に bbs.cgi を叩きまくっている IP アドレスをdenyし、高負荷な状態は脱した。 しかし、今後については予断を許さない状況。
506 :
root▲ ★ :2006/03/24(金) 03:15:07 ID:???0 BE:1642436-#
>>505 機能は狭い機内で爆睡してました。
今日はもう寝る予定で。ぐーぐー。
507 :
root▲ ★ :2006/03/24(金) 03:15:19 ID:???0 BE:7387799-#
機能 => 昨日
rootタソいつも遅くまでありがとうね(´;ω;`)
509 :
root▲ ★ :2006/03/24(金) 03:37:15 ID:???0 BE:912252-#
で、今後の対応をすすめる際のメモというか、情報共有をしておきます。
今後の対応の際にはいったん
.htaccess の該当箇所をはずすことになると思います。
(山田ウイルスの時と同じ)
ということでその旨がわかるように、.htaccess にコメントを書いておきます。
deny したアドレスからは、
あいかわらず subject.txt と SETTING.TXT への超高速アクセスが続いています。
deny して以降、 bbs.cgi の起動数は一段落し、高負荷状態はいったんおさまっています。
でもたぶん、全部の爆撃が止まったわけではないです。
小規模な爆撃はたぶん続いているんではないかなと。
とりあえず、今はあえて残しておきます(
>>502 )。
510 :
root▲ ★ :2006/03/24(金) 03:41:47 ID:???0 BE:1094843-#
寝る前に、管理人と関係者に
>>469 - からの流れをメールしておこうと。
511 :
root▲ ★ :2006/03/24(金) 03:55:22 ID:???0 BE:2462393-#
515 :
動け動けウゴウゴ2ちゃんねる :2006/03/24(金) 10:28:30 ID:6XqFjvsl0 BE:138083663-#
517 :
ひろゆき@どうやら管理人 ★ :2006/03/24(金) 11:17:26 ID:???0 BE:89227-#
いやぁ、なんかすごいっすねぇ。
518 :
七宝焼 ★ :2006/03/24(金) 11:19:18
株 ID:???0 BE:3158674-#
今北産業 どうやらさんより遅れるとはorz
>>517 メールのとおりですね。
とりあえず32個ほど .htaccess で denyしてありますが、
もっと増える傾向の模様。
さて、どうすべきか。
tmp6 ログインしましたが、感染PCは増えているみたい(想定の範囲内だけど)。
春休み+週末で、一気に感染PCが増えそうですね。
う〜む、予想通りの展開ですか。。。。。 rockも不可能に近いのでバーボンを超厳しくするしか打つ手無しですね
集中しているのだから条件があるっぽいけど、複合条件で中間を選ばれたら... ブツを捕らえて解析しないと挙動は判明しないでしょうね。
>>524 "part"が怪しいという説がありました
BOT軍団だったら最悪ですね 山田オルタナティブみたいにネットワークを形成し、どこかからの指令で集中攻撃なんて・・・
ひろゆきめっけ( ゚д゚ )
ny もしくは ar って感じかな…?
%uptime 6:44PM up 51 days, 43 mins, 1 user, load averages: 8.27, 6.10, 4.88 LA、上がってきましたね。< tmp6
arでしょ。
n
ny と ar の両方かな。
強いて言えば、"a"OR"A"だな
そんなアバウトに爆撃対象絞るなら 一番上とか書き込みが新しいとことかでいい気がするが、、、
というかもはやどんな亜種が出ても、想定の範囲内かと。
どれも「ny」か「Part」がスレタイに入ってるけど 【】の入ってるスレが多いのを見ると 3つのキーワードのどれかがあると反応するんじゃ?
対象条件変えるなんて簡単にできるしね。
>>538 他に変なのいないから、スクリプト荒しじゃないかな
nyとかならいっぱいスレがあるのでスレの順位を含めた総合で判断しているかと思います もしくは頭がいて命令を出しているんでしょかね
(w|i|n|y|W|I|N|Y) かなーと勝手に予想。 今回はやる事なさそうだから野次馬野次馬。
547 :
root▲ ★ :2006/03/24(金) 11:59:08 ID:???0 BE:821333-#
さて、どうするかですが、、、。 bbs.cgi を起動されたら負けなので、 起動される前に止めるしかないかんじですね。 単位時間あたりのCGI実行回数を制限するようなしくみを httpd 的に入れるとか。
放置でええやん。 潰れたほうがいい板なんだし。
549 :
外野ァァン :2006/03/24(金) 12:05:37 ID:mzQ8Oq/U0
板はつぶれてもいいけどサーバはつぶれられると困るわけです
Samba24:180
ウイルスの書き込みってきちんと書き込み成功してるんですかね? もしウイルスがきちんと作られてなかったら、bbs.cgiの起動回数のわりにバーボンに行きにくい。 今の書き込みバーボンって、書き込まれないとバーボンにならないし(BBSを使ってるから。) 読み込みバーボンはdatとかread.cgiを想定してるからbbs.cgi起動という観点としては閾値が高いし。
> 単位時間あたりのCGI実行回数を制限するようなしくみを > httpd 的に入れるとか。 そして、感染している事を分かるようなページを作って飛ばしちゃうとか。 とか、適当に言ってみるテスト。
554 :
動け動けウゴウゴ2ちゃんねる :2006/03/24(金) 12:16:49 ID:g0pkvpwa0
UAで弾くとかできないでしょうか?
283 :ひろゆき@どうやら管理人 ★ :2006/03/19(日) 11:17:03 BE:227366-#
http://tmp6.2ch.net/test/read.cgi/download/1142495725/179 </b>ZE048099.ppp.dion.ne.jp<b><>age<>2006/03/16(木) 20:43:59 h46D5c6z0<> <br> 明日、小泉純一郎日本国首<><>ZE048099.ppp.dion.ne.jp<>220.217.48.99<><>
他の種類だが、ここからUAなしというのが分かったので。
あららー。 どーも時限式でやるってのがパターンとして 定着しつつありますねー。 何日〜何週間か前に流しておいてー、ウィルス自体に 忘れた頃に起動するってやつですねー。 時間差があると、ファイルを特定しにくくなりますしー。 Rockも既に警戒してるんだなー。 Winnyの検索文字とか入ってるテキストからランダムに 文字を抽出して投稿してる感じですねー。 って分析したところで鯖の防衛には役に立たんけどー(汗)。
>>554 仮にそれでつぶせるとしても、ここで「UA無い奴は弾くようにした」って公表した途端
UAも送りつけてくる亜種が出来るだけのような。
この手の対策はどうやって対策したかをわからないようにするのも重要なんだけど、
ここの仕組みはそれが出来難いから・・・
それでですがー、バーボンハウスに入ったものは、 とりあえずBBQで焼きますかねー。>downloadだけ どーせ1〜2時間後に解除されたら、また書き込んで バーボン逝くのを繰り返すんでしょうからー。 1〜数日単位で焼いておいた方が、傾向が見えるかもー。
>>556 そうなんですよね。対応できるのはあくまで今拡散しているものであって、改善(?)されてしまっては意味がない。
いっそのことトラップに自爆機能でもつけてくれたほうがサーバー側にとっては楽だったリして
随分勢いがあるな
ちなみにうちの県は今日、小中学校の修了式。春休み突入で爆発的に増える予感
まー、対症療法には限界がありますからねー。 病原菌であるウィルスファイルを特定して、 アンチウィルスソフト各社に検出してもらうよーに してもらう以外、根本的な治療方法は無い予感ですー。 地道で時間かかる作業ですけどー、検索文字列をランダムに 書き込んでるってことはー、共通で拾ってくる分野のファイルって、 絞り込めないですかねー。 基本的に、検索対象のファイルしかダウンロードしない仕組みですしー。
562 :
動け動けウゴウゴ2ちゃんねる :2006/03/24(金) 12:42:09 ID:g0pkvpwa0
どうせ動的にサーバー名取得してないだろうから、破滅的な攻撃になったらコロコロサーバー名変えるという手もあるかも
>>561 >共通で拾ってくる分野のファイルって、絞り込めないですかねー
それ色々考えたんですが、なかなか難しいです
アニメ、音楽、声優、エロ系多数…
「寺光敦史」のID:PjOKEUGX0が気になる…
検体絞り込めたらいつもみたいにベンダー送りにできるのですが、なんともはや、、、
564 :
外野ァァン :2006/03/24(金) 12:43:55 ID:mzQ8Oq/U0
47氏と相談して「あんたのPC感染しとるよ」ってメッセージが winnyに送り返せたりできるといいんだけどね
>>566 ny使ってる時にnypに接続されるとステータスバーの上に警告が出るよ
>>563 いっそ、それらのキーワードで全部入れてー、
どんどんダウンロードして調べるとかー。
ってのは、ちょっとリスキーですよねー(汗)。
>>564 相手が2ちゃんねる見ていない以上、警告する手段
ないですからねー。
唯一の手がかりはプロバイダなんですけどねー。
前にもう断られたって話ですしー。
けど、前とは状況は違ってますからねー。
再度交渉してみるって手はあるんじゃないですかねー。
こんだけ荒らしてるんだって添えてー。
ん?nypはnyに対して警告は出させないよ
>>567 なるへそ
でも、弄ると京都府警がうるさいかも。
>568 確かに前に通報したときはいくつかのプロバイダから対応しないとの回答を いただきました。 今回はID抽出してIDごとに掘った上で通報すれば対応してくれるんじゃない かと思ってます。 それに今は芋掘りもしてないのでこちらも暇ですし(苦笑
BBQしちゃうとバーボンには行かなくなるからbbs.cgiが起動しちゃったりする
>>572 あ、そうかー。
bbs.cgiでチェックしてるんでしたよねー。
あとはバーボンハウスの時間を少し延ばすとかくらいかー。
574 :
root▲ ★ :2006/03/24(金) 12:57:00 ID:???0 BE:1095326-#
>>554 今問題になっているのは、UAなしですね。
ちなみにUAなしをはじくと、正規の投稿も相当数はじかれるようです。
前に、おじさんにしかられました。
BBQで焼くのはそれなりには効果あるかもですが、
既にこの回数になると、bbs.cgi での対応では解決にならないですね。
起動負荷だけで、現在の状況なわけで。
bbs.cgi を起動される*前*に、対策しないと。
575 :
root▲ ★ :2006/03/24(金) 12:57:18 ID:???0 BE:5746379-#
>>555 BBQでも、bbs.cgiは起動しちゃうから
やばいんじゃないですかねぇ、、
そもそも書きこまれる以前に
bbs.cgiをもの凄い勢いでアクセスされてるのがアレな点だったような、、
重婚だーw
って書いたらいつの間にか質問と回答がでてきてた(汗
まだじゃないですか。これはたちが悪いな。
でもこれで検体ゲットの道が開けたんじゃね?
>>579 僕は初めてみた。山田系かな?80,8080ポートはあいてないな
名前=0 ホスト名 :OSに登録したアドレス
本文
ユーザーネーム:ユーザ
おそらくOutlockかExpressのアドレス帳一覧
行数オーバーすると、
名前=1 ホスト名
本文
おそらくOutlockかExpressのアドレス帳一覧
というフォーマットみたい
>>579 ざっとみたけど他の感染疑惑IDも爆撃痕ありますな
でも結局元から立たないと意味無い事ですが…
DL板のアドレス変えるとかはダメなの?
突撃されてる板に特定の内容がかかれたら攻撃対象とか・・・ないか。
こういうのに引っかかるバカってクエリ6段とか尋常じゃないことしてるから 絞り込むのは不可能に近いと思う。
時期的にジャンプorエロゲじゃないかね
24日の1時に一斉スタートか。 潜伏期間ほとんど置いてないとしたらnyのジャンプ2006-17のデスノ120かな? 9M前後でいつもの週に比べて捏造やけに多く出回ってる。 俺はhamanaで確認してるだけだから何入ってるかみてないけどね。
595 :
root▲ ★ :2006/03/24(金) 14:25:19 ID:???0 BE:3283766-#
ふうむ。 これからちと、いくつか試してみる予定。 (さっき、一瞬.htaccessがおかしくなったかも)
誤爆なんか無い変態紳士板ですが・・・ うぇるすでみんなの性癖が
597 :
root▲ ★ :2006/03/24(金) 14:34:21 ID:???0 BE:5837388-#
どうかな。
598 :
root▲ ★ :2006/03/24(金) 14:34:31 ID:???0 BE:6566898-#
どうかな。< tmp6
爆撃止まった様子です
止んだ気がもうちょっと見回ってみます
601 :
root▲ ★ :2006/03/24(金) 14:36:40 ID:???0 BE:912825-#
とりあえず、どうやったか関係者に連絡しておきます。 問題なければ、これで様子見で。
rootさんどうもありがとう(・ω・)
rootさんお疲れ様です
rootたん乙なのですよ〜
610 :
root▲ ★ :2006/03/24(金) 15:05:59 ID:???0 BE:4104959-#
小泉も一緒に規制しろよカス
/ \ ヽ / ,r'⌒ヽ、 \ ヽ /  ̄ ̄ \ ゙l / \ ,l / \ ,l (⌒`゙`¬ー-、、__ \ ,l V レ' ;|:.:.:.:.://`゙`フ¬ー-、断断 \ ,l /-、ヽ,:|:.:.:,/ /:.:.://.:,:ィ断断断断 \ _」 /'ヽ、ヾi ゙´.: /__;:;:-'"´ ,;|断断断断断 _V ,r'ゝ-`';:/ .:〈ニ=-=ニ二 ̄ヽレ',!断断断断 / ̄ ,l::::;;;;;/ ' ,, ニ`ー-,、__\〉ィ,!ミミミ断断断断 / ,l';:::::/ ::. ::.,,\_ゞ;'> 〈;,!ミミマ7コ断断断断 彡:::::iヾ-'、::.. '';~ ,;:'彡州ミミジ/断断断断 ,彡彡´l_、,.` .: ,;:'彡彡州ジ’/ 断断断 彡彡 ('ー、ヽ ..: ,;'彡彡シジ’ / 断断 彡彡 `ヾ:、゙、 ,..:'.:'"彡彡シジ’ /,!、 "彡彡;, ¨` , ; ;彡彡シジ’ / `゙`ーー─-、、_ "彡彡彡彡彡彡彡彡彡ジ / / "彡彡彡彡彡彡彡ジ’ / / "彡彡彡彡彡ジ ノ / 将軍 ダガ・コ・トワル [ Daga co Towal ] ( 西暦一世紀前半 〜 没年不明 )
>>594 デスノだけではないと思う
2006-17の捏造はデスノ以外でも普段の倍以上、
流れたのも1週間くらい前だった。
たぶん2006-17の捏造の多くに混入してる。
615 :
root▲ ★ :2006/03/24(金) 15:59:02 ID:???0 BE:1915373-#
>>612 そのものだよ
3.If the Winny process is running, it searches for the following files in the folder where Winny is
installed, and then saves the contents of the files to C:\[JAPANESE CHARACTERS].dat:
Tab1.txt
Tab2.txt
download.txt
>590
×Search.txt
○Tab1.txt, Tab2.txt, download.txt
download.txtのやつ
md5 : 82fdbca7c44c17269bfbab666bbf8c72 size : 78
810 名前:[名無し]さん(bin+cue).rar [sage] 投稿日:2006/03/24 11:55:32 ID:6YZTg1dB0
【Win】 A列車で行こう7.rar,Fjwo8afvTz,0,0,dc9947232e1a18096e9962317af0adf8,1
http://tmp6.2ch.net/test/read.cgi/download/1139757423/810 2006/03/24 11:55:32 ID:6YZTg1dB0
http://tmp6.2ch.net/test/read.cgi/download/1141389731/426 2006/03/24 07:36:25 ID:6YZTg1dB0
http://tmp6.2ch.net/test/read.cgi/download/1142808085/370 2006/03/24 03:17:27 ID:6YZTg1dB0
http://tmp6.2ch.net/test/read.cgi/download/1142808085/510 2006/03/24 05:24:24 ID:6YZTg1dB0
http://tmp6.2ch.net/test/read.cgi/download/1142808085/647 2006/03/24 07:37:29 ID:6YZTg1dB0
md5 : a9d8990f430d98910d20c12b95dd875b size : 110
612 名前:[名無し]さん(bin+cue).rar [sage] 投稿日:2006/03/24 09:43:01 ID:8H7mBYHU0
(18禁ゲーム) [030328](May-BeSoft)grope〜闇の中の小鳥たち〜.part3.rar,,0,0,75f891b47580e5f21b49b9338607c7ef,1
http://tmp6.2ch.net/test/read.cgi/download/1139757423/612 2006/03/24 09:43:01 ID:8H7mBYHU0
http://tmp6.2ch.net/test/read.cgi/download/1141389731/393 2006/03/24 07:31:41 ID:8H7mBYHU0
http://tmp6.2ch.net/test/read.cgi/download/1142808085/362 2006/03/24 03:16:03 ID:8H7mBYHU0
http://tmp6.2ch.net/test/read.cgi/download/1142808085/619 2006/03/24 07:31:08 ID:8H7mBYHU0
↓クラスタ download.txt固有
md5 : 0ac45666f71f56c012b613ddaaa1fdc3 size : 17
569 名前:[名無し]さん(bin+cue).rar [sage] 投稿日:2006/03/24 05:01:59 ID:sf6VduLs0
pc98,,4096,0,,0
http://tmp6.2ch.net/test/read.cgi/download/1139344805/569 2006/03/24 05:01:59 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1139344805/944 2006/03/24 08:12:30 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1139402525/729 2006/03/24 05:32:30 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1139757423/688 2006/03/24 10:24:23 ID:sf6VduLs0
わーお、ノートン先生はどうやって捕獲したんだろ?
爆撃再開したかもです・・・
それは前々からある奴じゃん
だれか故意に放流したのでは?
>>622 最近、亜種の名前はベンダー間で統一が取れてないですよ・・・・
Symantec的には23日に発見したヤツに「Kakkeys.C」「Kakkeys.D」と命名した模様
復活?
【winny】うp研復活!TBSがファイル交換推奨【闇】
http://tmp6.2ch.net/test/read.cgi/download/1142461155/l50 268 名前: [名無し]さん(bin+cue).rar [sage] 投稿日: 2006/03/24(金) 16:14:49 ID:+AhTZUYP0
堺 鉱一郎
269 名前: [名無し]さん(bin+cue).rar [sage] 投稿日: 2006/03/24(金) 16:16:06 ID:GCnFH7ia0
Owner
270 名前: [名無し]さん(bin+cue).rar [sage] 投稿日: 2006/03/24(金) 16:16:25 ID:+AhTZUYP0
堺 鉱一郎
271 名前: [名無し]さん(bin+cue).rar [sage] 投稿日: 2006/03/24(金) 16:18:00 ID:+AhTZUYP0
堺 鉱一郎
272 名前: [名無し]さん(bin+cue).rar [sage] 投稿日: 2006/03/24(金) 16:57:04 ID:GCnFH7ia0
Owner
273 名前: [名無し]さん(bin+cue).rar [sage] 投稿日: 2006/03/24(金) 16:58:39 ID:GCnFH7ia0
Owner
板アドレスの/download/を他のに変えてみたらどうだろ
そういうので対処可能だろうとは思われるわけだが 結局亜種が出てきたら意味がないわけで
tmp7にすれば解決
>>629 新種大量発生で、3年後にはtmp274.2ch.netになる予感。そして板名は原形をとどめないほど改変されまくり
完全復活らしい
【winny】うp研復活!TBSがファイル交換推奨【闇】
http://tmp6.2ch.net/test/read.cgi/download/1142461155/286-289 286 名前: [名無し]さん(bin+cue).rar [sage] 投稿日: 2006/03/24(金) 18:40:03 ID:/JhGytCh0
ダウンタウン リンカーン
287 名前: [名無し]さん(bin+cue).rar [sage] 投稿日: 2006/03/24(金) 18:41:40 ID:/JhGytCh0
ウルフルズ
288 名前: [名無し]さん(bin+cue).rar [sage] 投稿日: 2006/03/24(金) 18:43:16 ID:/JhGytCh0
ジャンプ 2006-17
289 名前: [名無し]さん(bin+cue).rar [sage] 投稿日: 2006/03/24(金) 18:44:53 ID:/JhGytCh0
ダウンタウン ガキの使い
286 ?
287 mp3か?
288 無視リストにジャンプが入ってる
289 「ガキの使い〜あらへんで」だっけ?
632 :
root▲ ★ :2006/03/24(金) 18:53:44 ID:???0 BE:1094843-#
LA=10を恒常的に超えるようになったら、ここで知らせてくださいです。< tmp6
∧_∧ (,, ・∀・) ( O┬O 〜 ◎-ヽJ┴◎ キコキコ
vipが標的なのが…w
>>637 あー、遊んで突っついてたのか_| ̄|○
640 :
639 :2006/03/24(金) 22:39:41 ID:cYvtN4zF0
間違った・・・
643 :
root▲ ★ :2006/03/25(土) 00:08:32 ID:???0 BE:1459744-#
>>642 現状では、しょうがないすね。
ウイルスからのアクセスそのものが止まったわけではないわけだし、
そもそもtmp6って、standard bananaの中でもかなり忙しい部類だし。
644 :
root▲ ★ :2006/03/25(土) 00:11:27 ID:???0 BE:3831067-#
ちょっとだけいじってみます。< tmp6
645 :
root▲ ★ :2006/03/25(土) 00:14:41 ID:???0 BE:4378368-#
646 :
root▲ ★ :2006/03/25(土) 12:18:09 ID:???0 BE:2280555-#
>>612 を読むと、
> 5. Retrieves URL lists of 2ch bulletin boards by searching for them using Google.
> 6. Attempts to send the gathered information and contents of
> C:\[JAPANESE CHARACTERS].dat to the bulletin boards that it finds.
つまり、Google の検索結果から板URLのリストをとっているから、
・サーバ移転・板名変更・板フォルダ名変更では対応できない可能性が強い
・ダウンロード板が存在する限り、現在のレベル or それ以上の高速アクセスを受け続ける
と。
ダウンロード板にNOINDEXを加えちゃったり
Googleの対応よりはやく変更し続ければOKだね♪
いっそのことダウソ板に板名変更とか
>>646 そうだす('A`)
ゴニョってくれたおかげ(?)とBBQで多少は負荷緩和しているようですが
今後どうなるかは…
>3:If the Winny process is running, it searches for the following files in the folder where Winny is installed,
>and then saves the contents of the files to C:\[JAPANESE CHARACTERS].dat:
>6:Attempts to send the gathered information and contents of
>C:\[JAPANESE CHARACTERS].dat to the bulletin boards that it finds.
nyの検索やリストにあるキーワードから爆撃スレ絞ってると思われ
>>648 そりゃそうだw最初爆撃されたスレは過疎スレが多かったし
651 :
桶屋 :2006/03/25(土) 13:30:12 ID:vEz63dqg0
つまりGooglebotのクロールを弾いておいてから、 板のサーバ移転を行えばよいと……。 労力がかかりますねー
Symantecに問い合わせれば解決法教えてもらえるんでねーの?
653 :
動け動けウゴウゴ2ちゃんねる :2006/03/25(土) 13:45:32 ID:5ibPQ/2l0 BE:25239124-#
654 :
動け動けウゴウゴ2ちゃんねる :2006/03/25(土) 13:56:03 ID:prD9KwaJ0
『園児の園児による三色玉遊び』 異なる三色の玉それぞれ三つずつ(計9個)外から 見えない袋に入れて三人でそれぞれ一個取り出す 同色又は三色異色ならばドロー二個同じならば 2対1で同じ色が多い方が勝ち!
えんじ色ばかりでオール引き分け灘
少し、対策を工夫してみた。< tmp6
>>657 あんまり、代わり映えしないですね。
元に戻した。
659 :
root▲ ★ :2006/03/27(月) 20:15:52 ID:???0
animeサーバ、ちょっとしくりました。 subject.txt とんだ気がするので、これから直します。
660 :
root▲ ★ :2006/03/27(月) 20:16:54 ID:???0
ちなみにしくったのは*私*です。 別のことでメモリディスクを試していて、間違って数秒間ディスクフルに。 ごめんなさいです。
661 :
root▲ ★ :2006/03/27(月) 20:25:48 ID:???0
done のはず。 おさわがせいたしました。
・`)っ▲
665 :
動け動けウゴウゴ2ちゃんねる :2006/03/27(月) 23:01:39 ID:YVhLpYUV0
で、即死は?
668 :
動け動けウゴウゴ2ちゃんねる :2006/03/28(火) 00:11:09 ID:OehS3j920
ターゲットになったスレはスレッドストッパーで停止して、投稿に対してはエラー返さず受理したと見せかけたらいいのでは?
>>669 今までのやりとり全く見ていないのかよ。
問題は「書き込み処理が起動される事」。
671 :
動け動けウゴウゴ2ちゃんねる :2006/03/28(火) 17:21:56 ID:tfx6Ia660
ダウソの頭2、3スレに物凄い勢いで連投あり キーワードでは無い模様 このままじゃスレ頭から続々と落ちるんじゃ..
672 :
動け動けウゴウゴ2ちゃんねる :2006/03/28(火) 17:36:38 ID:bSSb8VJy0
>>670 あくまで、ユーザー側の立場から言っただけ。
ユーザーにとっちゃ裏で何やってようが、スレがウイルスに侵食されなければそれでいい。
というかスレストされたらユーザーとして困るだろw
675 :
動け動けウゴウゴ2ちゃんねる :2006/03/28(火) 17:43:38 ID:bSSb8VJy0
>>670 ついでに
サーバー側にとって辛いCGI起動を防ぐ一番手っ取り早い方法(いつまで持つかは分からないが)は、tmp6の名前を変更すること。
どうせウイルスは、302の転送先なんて解析しないだろうし、永遠と存在しないcgiをリクエストし続けるでしょ。
302のテキスト返すだけならCGI回すよりはるかに低負荷だし
676 :
動け動けウゴウゴ2ちゃんねる :2006/03/28(火) 17:44:05 ID:wM0M/g1i0
ググルの更新タイミングを見計らって、更新の直後に名前を変えつづけるのだ
679 :
動け動けウゴウゴ2ちゃんねる :2006/03/28(火) 17:47:34 ID:bSSb8VJy0
>>677 Googleはおりこうさんだからrobots.txtに拒否と記述すれば回避してくれるよ。
むかし狼が爆撃食らってた時に、loveからoooへ移転されたのを思い出した
>>679 利用者の流入が減るのが嫌だろうからそれはやらないだろうなぁ
ノートンのLiveUpdateで対応されたのやっと今日になってからだしなぁ。 ウィルスにかかるような人間が定義の手動更新なんかしてる訳ないし、 感染者の大半はこれからようやく気付き始めるんだろう。
684 :
動け動けウゴウゴ2ちゃんねる :2006/03/28(火) 19:52:48 ID:wM0M/g1i0
このウイルスって内部にワードリストでも持ってるのかな? 小説スレが二つあるんだが両方同時に来てる
685 :
age :2006/03/28(火) 20:16:45 ID:sAJeiKl70
竹元正紙 遺伝子組み換え
686 :
root▲ ★ :2006/03/29(水) 00:19:39 ID:???0 BE:1094562-#
life7で、HDD内を整理する作業をしています。 LAが高めになっているのは、そのせいということで。 # game10 life7 hobby7 あたりは、初夏あたりにはリフレッシュ工事かもかも。
boo80も効かないのはそのせいか。
移転や検索よけは一時的な対策にしかなりません。 今後、攻撃対象を手動で指定できるウイルスがでてくる可能性も考えられます。 Beログイン強制&BeIDが表示されないログイン方法を用意する という対策はできないでしょうか。
アクセスされる事自体で負荷増えるからどうしようもないわな
ageで爆撃する新ウイルスの条件:仮説 ・WinnyまたはShareまたは数字4桁でdatナンバーが古い順に爆撃 ・「Winny」で一つ、「Share」で一つ、「数字4桁」で一つ攻撃の可能性もあり(二つのワードが含まれているとどうなるかは不明) 予想があっていると 1140684650.dat 【Share】DVDISO 無修正 専用スレ Part7【共有】 (958) 1140874458.dat 【Winny】巨乳/パイズリ動画スレ22【おっぱい市民】 (889) 1140965580.dat WinnyからHDDを守るツールを作ろう Part3.1 (234) 1141039876.dat Winny週刊少年マガジン魔法先生ネギま!専用スレ part6 (653) 1141217092.dat 【野外露出】人ごみの中で全裸になる動画【Winny】4 (113) 1141325645.dat 【Winny】nnnn 写真集 37冊目 nnnn【?】 (321) 1141337563.dat 【Share】 アイドル写真集 11冊目 (141) こんな順番で攻撃?(上二つは既に爆撃されてるが) ただ、仮にそうだったとしても、何の解決にもならないが
今のところ仮説通りの挙動を示しているようです。
692 :
動け動けウゴウゴ2ちゃんねる :2006/03/29(水) 22:28:45 ID:BoIW8Z4P0
俺の稲さんスレが…
694 :
root▲ ★ :2006/03/30(木) 11:34:25 ID:???0 BE:6567089-#
いろんなパターンがあるようですね。
>>692 > 一つ質問ですが、subject.txtに対するリクエストでバーボンになりますか?
なります。
> 24日からtmp6に対してありえないほどのリクエストがあるようです。
既に、(りゃ。