2ｃｈの動作報告はここで。 パート19

tmp6で異常発生、負荷も上がってます

>>469
$ uptime
8:46AM up 50 days, 14:46, 1 user, load averages: 25.52, 27.79, 26.26

どうしたんだべ。

bbs.cgi 叩かれまくりか。

http://tmp6.2ch.net/test/read.cgi/download/1138682667/

このスレにすごい勢いで投稿が。

新手のウィルス？
投稿内容の意図が全然見えない

なんか、ウイルスかな。

とりあえずここまで激しいと、バーボンにかかる予感も。

ニュー速のイオナズンの方が速いな

ぴったり1時からか。
ウイルスかも。

http://ch2.ath.cx/load/tmp6.html

　　　　　　ぐったり
　　　　　　　　　 ＿＿＿〆⌒つ＿＿＿　　　　
　　　　　　 　 ／　　　 ∧∧／　　 　／:||　　
　　　　　　 ／＿＿⊂(-д-,,)⊃＿／ ／||
　　　　 　 || ２ちゃんの中の人||／　:::::||
　　　　 　 ||￣￣￣￣￣￣￣￣||::::::::::::||
　　　　 　 || 　 　 　 　　　　　 　 ||　　

　　　　　　　　　　　だら〜ん　
　 　 　　 　　　　 ＿＿＿＿＿＿＿＿＿_
　 　 　 　　 　.／　　　／ 　 ／ 　　 ／.||
　　　　　　 ／　　　／ 　 ／ 　　 ／ ／||
　　　　 　 ||￣￣￣| |　| |￣￣￣||／::::||
　　　　 　 || ￣￣ (-~- '' ) ￣￣ || ::::::::||
　　　　 　 ||　　　　 ∨~∨　　　　.||　

一斉に数十箇所からってかんじみたい。

続々とバーボン入りか。
http://qb6.2ch.net/_403/c403.cgi

とりあえず、今は様子を見たほうがよさげ。

ウィルスだとして、Rockは意味なさそうだし、bbs.cgi止めっぱなしってわけにも。
fusianasanしないから誰かが動かないと焼きもできないし。

これがその前スレかな。
【winny】 ラジオ番組総合スレ 14KHz 【Share】
http://tmp6.2ch.net/test/read.cgi/download/1137953730/

>>475
鯖のキャパが違うからなぁ。
雪だるまでは平気でもbananaではひとたまりもないこともしばしば。

ううむ。

2xx 3xx 4xx 5xx URL
279 0 0 0*/test/bbs.cgi
179 151 0 0 /download/subject.txt
156 152 0 0 /download/SETTING.TXT
14 1 0 0 /download/dat/1143132060.dat
9 0 0 0 /mog2/subject.txt
6 0 0 0 /download/dat/1142418021.dat
5 0 0 0 /download/dat/1142954068.dat
5 3 0 0 /download/dat/1143107622.dat
4 0 0 0 /download/dat/1143112573.dat
4 0 0 0 /test/read.cgi/download/1138789268/
4 0 0 0 /download/dat/1138682667.dat
3 0 0 0 /download/dat/1142766486.dat
3 0 0 0 /download/dat/1143040813.dat

たぶん、一番上のスレとかをめがけて来るんじゃないかなと。(直感)

subject.txt 拾っているのと、SETTING.TXT 拾っていることからも、
それがうかがえますね。

とりあえず緊急に、BBS_BE_TYPE2=checked にしてみた。< download
でも、叩かれるのは直らない予感。

しばらく様子見。

負荷が変わらなければ、>>484 は意味がないんで、戻すかんじで。

だめすね。

bbs.cgi を起動される前に何とかしないと。
元に戻します。

バーボン見ると国内からがたい半ですねぇ
これは時限発動式のウィルスかも

運営系・質雑スレの人が馴れ合うスレ Part110
http://tmp6.2ch.net/test/read.cgi/mog2/1142258384/796-797

なるほど、重くはないのか。
SpeedyCGIでよかったってかんじ。

>>487
そんな気がしますね。

緊急事態なので帽子を被ります。
投稿した文字列を見て気がついたのですがこれってwinnyとかで検索しようとしている
文字列をひたすら投稿するプログラムになっているかも

幸いにもスワップが起こりまくる感じではないし、
サーバが機能しなくなるほどではなさそう。

で、たんたんとバーボン行きになっていると。

>>490
なるほど、新手のウイルスですか。

>490
winny検索文字列を投稿してると判断した決定的な証拠はにハッシュをそのまんま
投稿していることです。

爆撃跡のあるスレタイ見ても共通点はさっぱり。
適当に上or下から爆撃してるわけでもないし、新しいor古いスレからってわけでもない。

投稿内容はこれでビンゴだろうけど、これだけわかっても意味なす。
＞ユーザー名・Download.txt・検索単語をランダムっぽいで（´・ω・） ｽﾈ

この1時間でtmp6で1000回以上bbs.cgiを起動したIPアドレスは、
とりあえず焼き依頼します。

こちらで。

■ウィルス爆撃相談所＆焼き処【RockBBQ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/

しかし、いたちかも。
しかもこの頻度だと「起動されること」自体がいまいちなわけで。

しかも新種のウイルスだとすると、今後広まる可能性が大きいし。

あとは、観察かな。

とりあえずサーバが完全につぶれるほどではないわけで。

http://tmp6.2ch.net/test/read.cgi/download/1143095397/l50
このスレに前々からexeクリックする度に投稿すると予想されてる物とは別物？

試してみたところでは効果ありそうなので、

■ウィルス爆撃相談所＆焼き処【RockBBQ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/764

のアドレスは、緊急にdenyします。

deny しました。
LA 下がってきた模様。< tmp6

>>498
空の軌跡SCまだぁ〜とは別。挙動が全然違う。
ウィルス自体の解析はダウソに該当スレがあるのでそっちで。

完全にシャットアウトすると、たぶん対策もできなくなる気がするので、
事態が大きく変化するまでは、緊急対応はまずはここまでということで。

ふむ

現状までのまとめ:

1) ２ちゃんねるのダウンロード板に向けて高頻度の投稿(というかbbs.cgiの起動)
を行う、新種のウイルスが現れた模様
2) このウイルスは、subject.txt や SETTING.TXT を(も?)、強烈に触る模様
3) 感染すると、Winny の検索文字列? を、ダウンロード板の特定のスレッドに投稿し続ける模様
4) 新種のウイルスは、2006年3月24日 1:00 JST に、一斉に発動しだした模様
5) 既に数十台のPCに感染している模様

結果、tmp6 サーバは LA=20 超えがずっと続く高負荷な状態に。
緊急に bbs.cgi を叩きまくっている IP アドレスをdenyし、高負荷な状態は脱した。

しかし、今後については予断を許さない状況。

>>504
ところでお前いつ寝てるの?

>>505
機能は狭い機内で爆睡してました。
今日はもう寝る予定で。ぐーぐー。

機能 => 昨日

rootﾀｿいつも遅くまでありがとうね(´；ω；｀)

で、今後の対応をすすめる際のメモというか、情報共有をしておきます。

今後の対応の際にはいったん
.htaccess の該当箇所をはずすことになると思います。
(山田ウイルスの時と同じ)
ということでその旨がわかるように、.htaccess にコメントを書いておきます。

deny したアドレスからは、
あいかわらず subject.txt と SETTING.TXT への超高速アクセスが続いています。
deny して以降、 bbs.cgi の起動数は一段落し、高負荷状態はいったんおさまっています。

でもたぶん、全部の爆撃が止まったわけではないです。
小規模な爆撃はたぶん続いているんではないかなと。
とりあえず、今はあえて残しておきます(>>502)。

寝る前に、管理人と関係者に >>469- からの流れをメールしておこうと。

>>510 done.

お疲れ様です

今はこの辺ですかね

BenQ DW1650 DW1655系専用スレ part1
http://tmp6.2ch.net/test/read.cgi/download/1142808085/
【Winny】騎乗位動画part3【share】
http://tmp6.2ch.net/test/read.cgi/download/1139344805/

【winny】ｲﾝﾃﾞｨｰｽﾞ音源総合!!Part4【share】
http://tmp6.2ch.net/test/read.cgi/download/1139402525/

もうすぐ埋まるけどここもか

>>513
【winny】フェラ動画part5.1【イラマ・手コキ】
http://tmp6.2ch.net/test/read.cgi/download/1141389731/
ここへ移動

>>514
そこ埋まりました
今ココっぽい

【ny】 お笑いバラエティ動画総合Part16 【share】
http://tmp6.2ch.net/test/read.cgi/download/1139757423/

ageｽﾏｿ

こっちも爆撃
【winny】　時代劇すれ　拾参　【 ('A`) 】
http://tmp6.2ch.net/test/read.cgi/download/1141996991/

いやぁ、なんかすごいっすねぇ。

今北産業
どうやらさんより遅れるとはorz

>>517
メールのとおりですね。

とりあえず32個ほど .htaccess で denyしてありますが、
もっと増える傾向の模様。

さて、どうすべきか。

tmp6 ログインしましたが、感染PCは増えているみたい(想定の範囲内だけど)。

>>516
【】が共通してる爆撃対象？

春休み＋週末で、一気に感染PCが増えそうですね。

う〜む、予想通りの展開ですか。。。。。
rockも不可能に近いのでバーボンを超厳しくするしか打つ手無しですね

>>521
対象が分らない…
BenQ DW1650 DW1655系専用スレ part1
http://tmp6.2ch.net/test/read.cgi/download/1142808085/
ここは【】が無いしいｎｙやreも無い

集中しているのだから条件があるっぽいけど、複合条件で中間を選ばれたら...
ブツを捕らえて解析しないと挙動は判明しないでしょうね。

>>524
"part"が怪しいという説がありました

BOT軍団だったら最悪ですね
山田オルタナティブみたいにネットワークを形成し、どこかからの指令で集中攻撃なんて・・・

ひろゆきめっけ( ﾟдﾟ )

ny もしくは ar って感じかな…？

>>526
例外
【winny】　時代劇すれ　拾参　【 ('A`) 】 
http://tmp6.2ch.net/test/read.cgi/download/1141996991/ 


あと
【ｹﾂﾒﾄﾞ】winnyで拾えるアナル物 Part9【菊門】
http://tmp6.2ch.net/test/read.cgi/download/1138682667/l50
【ｹﾂﾒﾄﾞ】winnyで拾えるアナル物 Part9【菊門】
http://tmp6.2ch.net/test/read.cgi/download/1143133214/l50

同一でなのに上は埋められ、下はあらされていない。（1000に気づかずスクリプトが攻撃し続けてるのかもしれないが）

%uptime
6:44PM up 51 days, 43 mins, 1 user, load averages: 8.27, 6.10, 4.88

LA、上がってきましたね。< tmp6

>>526>>529
>>530
今までとは索敵が違うんだよな…
例えば
ID:HVetDKcR0は
【ny】 お笑いバラエティ動画総合Part16 【share】
http://tmp6.2ch.net/test/read.cgi/download/1139757423/
と
BenQ DW1650 DW1655系専用スレ part1
http://tmp6.2ch.net/test/read.cgi/download/1142808085/
と
【winny】　時代劇すれ　拾参　【 ('A`) 】
http://tmp6.2ch.net/test/read.cgi/download/1141996991/
に爆撃してるけど、3つのスレタイに共通項が無い

arでしょ。

ｎ

>>532
あえて共通というなら「ｎ」か。

ny と ar の両方かな。

強いて言えば、"a"OR"A"だな

変態紳士とえろげすれ1690
http://tmp6.2ch.net/test/read.cgi/download/1143155121/
このスレのID:YZxIXePP0はどうでしょ？

そんなアバウトに爆撃対象絞るなら
一番上とか書き込みが新しいとことかでいい気がするが、、、

というかもはやどんな亜種が出ても、想定の範囲内かと。

どれも「ｎｙ」か「Part」がｽﾚﾀｲに入ってるけど
【】の入ってるスレが多いのを見ると
3つのキーワードのどれかがあると反応するんじゃ？

>>535-537
となるともっと他ｽﾚに爆撃ありそうなもんですが…
現状は爆撃するスレがある程度固定してる

>>540
だすなｗ

対象条件変えるなんて簡単にできるしね。

>>538
他に変なのいないから、スクリプト荒しじゃないかな

nyとかならいっぱいスレがあるのでスレの順位を含めた総合で判断しているかと思います
もしくは頭がいて命令を出しているんでしょかね

(w|i|n|y|W|I|N|Y)　　かなーと勝手に予想。

今回はやる事なさそうだから野次馬野次馬。

さて、どうするかですが、、、。

bbs.cgi を起動されたら負けなので、
起動される前に止めるしかないかんじですね。

単位時間あたりのCGI実行回数を制限するようなしくみを
httpd 的に入れるとか。

放置でええやん。
潰れたほうがいい板なんだし。

板はつぶれてもいいけどサーバはつぶれられると困るわけです

Samba24:180

ウイルスの書き込みってきちんと書き込み成功してるんですかね？
もしウイルスがきちんと作られてなかったら、bbs.cgiの起動回数のわりにバーボンに行きにくい。

今の書き込みバーボンって、書き込まれないとバーボンにならないし(BBSを使ってるから。)
読み込みバーボンはdatとかread.cgiを想定してるからbbs.cgi起動という観点としては閾値が高いし。

>>549
困ったもんだな。

> 単位時間あたりのCGI実行回数を制限するようなしくみを
> httpd 的に入れるとか。

そして、感染している事を分かるようなページを作って飛ばしちゃうとか。
とか、適当に言ってみるテスト。

UAで弾くとかできないでしょうか？

283 ：ひろゆき＠どうやら管理人 ★ ：2006/03/19(日) 11:17:03  BE:227366-#
http://tmp6.2ch.net/test/read.cgi/download/1142495725/179
</b>ZE048099.ppp.dion.ne.jp<b><>age<>2006/03/16(木) 20:43:59 h46D5c6z0<> <br> 明日、小泉純一郎日本国首<><>ZE048099.ppp.dion.ne.jp<>220.217.48.99<><>
 
他の種類だが、ここからUAなしというのが分かったので。

あららー。

どーも時限式でやるってのがパターンとして
定着しつつありますねー。

何日〜何週間か前に流しておいてー、ウィルス自体に
忘れた頃に起動するってやつですねー。
時間差があると、ファイルを特定しにくくなりますしー。

Rockも既に警戒してるんだなー。
Winnyの検索文字とか入ってるテキストからランダムに
文字を抽出して投稿してる感じですねー。

って分析したところで鯖の防衛には役に立たんけどー（汗）。

>>554
仮にそれでつぶせるとしても、ここで「UA無い奴は弾くようにした」って公表した途端
UAも送りつけてくる亜種が出来るだけのような。

この手の対策はどうやって対策したかをわからないようにするのも重要なんだけど、
ここの仕組みはそれが出来難いから･･･

それでですがー、バーボンハウスに入ったものは、
とりあえずBBQで焼きますかねー。＞downloadだけ

どーせ1〜2時間後に解除されたら、また書き込んで
バーボン逝くのを繰り返すんでしょうからー。

1〜数日単位で焼いておいた方が、傾向が見えるかもー。

>>556
そうなんですよね。対応できるのはあくまで今拡散しているものであって、改善（？）されてしまっては意味がない。
いっそのことトラップに自爆機能でもつけてくれたほうがサーバー側にとっては楽だったリして

随分勢いがあるな

ちなみにうちの県は今日、小中学校の修了式。春休み突入で爆発的に増える予感

まー、対症療法には限界がありますからねー。

病原菌であるウィルスファイルを特定して、
アンチウィルスソフト各社に検出してもらうよーに
してもらう以外、根本的な治療方法は無い予感ですー。

地道で時間かかる作業ですけどー、検索文字列をランダムに
書き込んでるってことはー、共通で拾ってくる分野のファイルって、
絞り込めないですかねー。

基本的に、検索対象のファイルしかダウンロードしない仕組みですしー。

どうせ動的にサーバー名取得してないだろうから、破滅的な攻撃になったらコロコロサーバー名変えるという手もあるかも

>>561
＞共通で拾ってくる分野のファイルって、絞り込めないですかねー
それ色々考えたんですが、なかなか難しいです
アニメ、音楽、声優、エロ系多数…
｢寺光敦史｣のID:PjOKEUGX0が気になる…

検体絞り込めたらいつもみたいにベンダー送りにできるのですが、なんともはや、、、

47氏と相談して「あんたのPC感染しとるよ」ってメッセージが
winnyに送り返せたりできるといいんだけどね

>>564
バージョン警告みたいに？

>>565
ん？Share？

>>566
ny使ってる時にnypに接続されるとステータスバーの上に警告が出るよ

>>563
いっそ、それらのキーワードで全部入れてー、
どんどんダウンロードして調べるとかー。

ってのは、ちょっとリスキーですよねー(汗）。

>>564
相手が２ちゃんねる見ていない以上、警告する手段
ないですからねー。

唯一の手がかりはプロバイダなんですけどねー。
前にもう断られたって話ですしー。

けど、前とは状況は違ってますからねー。
再度交渉してみるって手はあるんじゃないですかねー。
こんだけ荒らしてるんだって添えてー。

ん？nypはnyに対して警告は出させないよ

>>567
なるへそ
でも、弄ると京都府警がうるさいかも。

>568
確かに前に通報したときはいくつかのプロバイダから対応しないとの回答を
いただきました。
今回はＩＤ抽出してＩＤごとに掘った上で通報すれば対応してくれるんじゃない
かと思ってます。
それに今は芋掘りもしてないのでこちらも暇ですし（苦笑

BBQしちゃうとバーボンには行かなくなるからbbs.cgiが起動しちゃったりする

>>572
あ、そうかー。
bbs.cgiでチェックしてるんでしたよねー。

あとはバーボンハウスの時間を少し延ばすとかくらいかー。

>>554
今問題になっているのは、UAなしですね。

ちなみにUAなしをはじくと、正規の投稿も相当数はじかれるようです。
前に、おじさんにしかられました。

BBQで焼くのはそれなりには効果あるかもですが、
既にこの回数になると、bbs.cgi での対応では解決にならないですね。
起動負荷だけで、現在の状況なわけで。

bbs.cgi を起動される＊前＊に、対策しないと。

>>572
そうなんですよね。

>>555
BBQでも、bbs.cgiは起動しちゃうから
やばいんじゃないですかねぇ、、

そもそも書きこまれる以前に
bbs.cgiをもの凄い勢いでアクセスされてるのがアレな点だったような、、

重婚だーｗ

って書いたらいつの間にか質問と回答がでてきてた（汗

http://tmp6.2ch.net/test/read.cgi/download/1142594523/
の135以降は既出？

まだじゃないですか。これはたちが悪いな。

でもこれで検体ｹﾞｯﾄの道が開けたんじゃね？

>>579
僕は初めてみた。山田系かな？80,8080ポートはあいてないな

名前＝0 ホスト名　:OSに登録したアドレス
本文
ユーザーネーム:ユーザ

おそらくOutlockかExpressのアドレス帳一覧

行数オーバーすると、

名前＝1 ホスト名
本文
おそらくOutlockかExpressのアドレス帳一覧

というフォーマットみたい

一応報告
ついにプロバイダーが動く
http://tmp6.2ch.net/test/read.cgi/download/1142594523/
147


【ny】 お笑いバラエティ動画総合Part16 【share】
http://tmp6.2ch.net/test/read.cgi/download/1139757423/
556 557 559 562 563 564 565 567 569 571 573 574 576 577 578 581 583 586 588 752 754 756 759 760 761
【winny】　時代劇すれ　拾参　【 ('A`) 】
http://tmp6.2ch.net/test/read.cgi/download/1141996991/
354 361 366 373 379 386 391
BenQ DW1650 DW1655系専用スレ part1
http://tmp6.2ch.net/test/read.cgi/download/1142808085/
730 731 732 733 734 735 736 737 738 739 741 742 743 744 745 746 850 851 852 854 855 856

>>579
ざっとみたけど他の感染疑惑IDも爆撃痕ありますな
でも結局元から立たないと意味無い事ですが…

DL板のアドレス変えるとかはダメなの？

突撃されてる板に特定の内容がかかれたら攻撃対象とか・・・ないか。

爆撃きたー

【share】アニメDVDISOスレPart12【洒落】
http://tmp6.2ch.net/test/read.cgi/download/1141701860/

md5 : 600ecec655fbaf8df9912a194ece0733 size : 18
584 名前：[名無し]さん(bin+cue).rar [sage] 投稿日：2006/03/24 09:26:43 ID:sf6VduLs0
カードキャプター
http://tmp6.2ch.net/test/read.cgi/download/1139757423/584 2006/03/24 09:26:43 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1141996991/215 2006/03/24 10:51:51 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1141996991/229 2006/03/24 10:55:07 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1141996991/392 2006/03/24 11:40:19 ID:sf6VduLs0
md5 : 7055ad04f34c015cea688de985e2986b size : 6
789 名前：[名無し]さん(bin+cue).rar [sage] 投稿日：2006/03/24 07:00:02 ID:sf6VduLs0
pc98
http://tmp6.2ch.net/test/read.cgi/download/1139344805/789 2006/03/24 07:00:02 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1139344805/892 2006/03/24 07:45:19 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1139402525/572 2006/03/24 05:02:36 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1139402525/584 2006/03/24 05:07:40 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1139402525/893 2006/03/24 06:12:20 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1141389731/351 2006/03/24 07:23:01 ID:sf6VduLs0
md5 : 5657ac6c6a6f17af14787f4be8004402 size : 49
627 名前：[名無し]さん(bin+cue).rar [sage] 投稿日：2006/03/24 05:25:21 ID:sf6VduLs0
(HCG） カードキャプターさくら　オナニー動画.gif
http://tmp6.2ch.net/test/read.cgi/download/1139344805/627 2006/03/24 05:25:21 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1139402525/494 2006/03/24 04:38:51 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1141389731/305 2006/03/24 07:09:21 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1141389731/701 2006/03/24 08:50:48 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1141996991/94 2006/03/24 10:17:45 ID:sf6VduLs0
なんだかなぁ〜

変態紳士とえろげすれ1690
http://tmp6.2ch.net/test/read.cgi/download/1143155121/

どうみても Search.txt にある単語をランダムに書き込んでる様子です。

こんな感じ
http://tmp6.2ch.net/test/read.cgi/download/1137953730/732 2006/03/24 01:07:27 ID:sf6VduLs0 ネウロ
http://tmp6.2ch.net/test/read.cgi/download/1134825502/793 2006/03/24 01:07:59 ID:sf6VduLs0 テイルズ
http://tmp6.2ch.net/test/read.cgi/download/1137953730/755 2006/03/24 01:08:33 ID:sf6VduLs0 あふがに
http://tmp6.2ch.net/test/read.cgi/download/1134825502/811 2006/03/24 01:09:05 ID:sf6VduLs0 エンジェル フォイゾン
http://tmp6.2ch.net/test/read.cgi/download/1142808085/135 2006/03/24 01:09:37 ID:sf6VduLs0 スーパープレイ
http://tmp6.2ch.net/test/read.cgi/download/1137953730/779 2006/03/24 01:10:10 ID:sf6VduLs0 スーパープレイ
http://tmp6.2ch.net/test/read.cgi/download/1137953730/790 2006/03/24 01:10:47 ID:sf6VduLs0 一般小説
http://tmp6.2ch.net/test/read.cgi/download/1134825502/830 2006/03/24 01:11:20 ID:sf6VduLs0 鉄拳
http://tmp6.2ch.net/test/read.cgi/download/1137953730/804 2006/03/24 01:11:59 ID:sf6VduLs0 おキツネさまで
http://tmp6.2ch.net/test/read.cgi/download/1134825502/839 2006/03/24 01:12:31 ID:sf6VduLs0 ∀ガンダム
http://tmp6.2ch.net/test/read.cgi/download/1142808085/159 2006/03/24 01:13:03 ID:sf6VduLs0 クロスボーン
http://tmp6.2ch.net/test/read.cgi/download/1137953730/831 2006/03/24 01:13:45 ID:sf6VduLs0 AirRPG
http://tmp6.2ch.net/test/read.cgi/download/1137953730/841 2006/03/24 01:14:22 ID:sf6VduLs0 アリシアＹ
http://tmp6.2ch.net/test/read.cgi/download/1134825502/856 2006/03/24 01:14:54 ID:sf6VduLs0 愛国者のための .swf

【winny】うｐ研復活!TBSがファイル交換推奨【闇】
http://tmp6.2ch.net/test/read.cgi/download/1142461155/

こういうのに引っかかるバカってクエリ6段とか尋常じゃないことしてるから
絞り込むのは不可能に近いと思う。

時期的にジャンプorエロゲじゃないかね

24日の1時に一斉スタートか。
潜伏期間ほとんど置いてないとしたらnyのジャンプ2006-17のデスノ120かな？
9M前後でいつもの週に比べて捏造やけに多く出回ってる。
俺はhamanaで確認してるだけだから何入ってるかみてないけどね。

ふうむ。

これからちと、いくつか試してみる予定。
(さっき、一瞬.htaccessがおかしくなったかも)

誤爆なんか無い変態紳士板ですが・・・
うぇるすでみんなの性癖が

どうかな。

どうかな。< tmp6

爆撃止まった様子です

止んだ気がもうちょっと見回ってみます

とりあえず、どうやったか関係者に連絡しておきます。
問題なければ、これで様子見で。

【winny】うｐ研復活!TBSがファイル交換推奨【闇】
http://tmp6.2ch.net/test/read.cgi/download/1142461155/258

これの後は症状が出てないのかな。
いつもお疲れ様です。

>>594
これか？
md5 : 5a30c8b5c0a83f87788d823e0a3b7d33 size : 19
929 名前：[名無し]さん(bin+cue).rar [sage] 投稿日：2006/03/24 03:18:43 ID:/JhGytCh0
ジャンプ　2006-17

http://tmp6.2ch.net/test/read.cgi/download/1138682667/929 2006/03/24 03:18:43 ID:/JhGytCh0
http://tmp6.2ch.net/test/read.cgi/download/1139402525/667 2006/03/24 05:24:54 ID:/JhGytCh0
http://tmp6.2ch.net/test/read.cgi/download/1139757423/799 2006/03/24 11:53:52 ID:/JhGytCh0
http://tmp6.2ch.net/test/read.cgi/download/1141389731/405 2006/03/24 07:33:19 ID:/JhGytCh0
http://tmp6.2ch.net/test/read.cgi/download/1141389731/837 2006/03/24 09:39:58 ID:/JhGytCh0
http://tmp6.2ch.net/test/read.cgi/download/1142808085/757 2006/03/24 09:41:03 ID:/JhGytCh0

↓これはなんだろ？
md5 : d9e7347b3c82aec5f0dece0cf96096d9 size : 12
136 名前：[名無し]さん(bin+cue).rar [sage] 投稿日：2006/03/24 09:12:15 ID:YZxIXePP0
|∀･)･････

http://tmp6.2ch.net/test/read.cgi/download/1143155121/136 2006/03/24 09:12:15 ID:YZxIXePP0
http://tmp6.2ch.net/test/read.cgi/download/1143155121/137 2006/03/24 09:13:35 ID:YZxIXePP0
http://tmp6.2ch.net/test/read.cgi/download/1143155121/142 2006/03/24 09:14:36 ID:YZxIXePP0
http://tmp6.2ch.net/test/read.cgi/download/1143155121/144 2006/03/24 09:15:31 ID:YZxIXePP0

止まったみたいだね

rootﾀﾝ乙なんよ
http://rainbow.sakuratan.com/data2/img/rainbow1965.jpg

rootさんどうもありがとう(・ω・)

rootさんお疲れ様です

rootたん乙なのですよ〜

>>604
コラコラｗ

http://ch2.ath.cx/load/tmp6.html

急降下

>>601 done.

小泉も一緒に規制しろよｶｽ

これかな
http://www.symantec.com/avcenter/venc/data/trojan.kakkeys.d.html

　　　　　　　 　 /　　　　　　　　　　＼　　　　　　　　 　 　 　 ヽ
　　　　　 　 　 /　,r'⌒ヽ､　　　　　　　＼　　　　　 　 　 　 　　ヽ
　 　 　 　　　 /　　￣￣　　　　　 　　　　＼　　　　　　 　 　 　 ﾞl
　　　 　 　 ／　　　　　 　 　 　 　 　 　　　　＼　　　　　　　　 　,l
　　　 　 ／　　　　　　　 　 　 　 　 　 　　　　　＼　　　 　 　 　 ,l
　 　 　 （⌒｀ﾞ`¬ｰ-､、_＿　　 　 　 　 　　　　　　＼　 　 　 　 ,l
　　　　　Ｖ　ﾚ'　;|:.:.:.:.:／/｀ﾞ`フ¬ｰ-､断断　　 　　　＼　　 　 ,l
　　　 　 /-､ヽ,:|:.:.:,／　/:.:.:/／.:,:ｨ断断断断　　　　　　＼　 _」
　 　 　 /'ヽ､ヾi ﾞ´.: 　 /__;:;:-'"´ ,;|断断断断断　　　　 　 _Ｖ
　　 　,r'ゝ-`';:/　.:〈ﾆ=-=ﾆ二￣ヽレ',!断断断断　　 ／￣
　　　,ｌ::::;;;;;／　　'　,, ﾆ｀ｰ-,､__＼〉ｨ,!ﾐﾐﾐ断断断断 /
　　,l';:::::／　::.　　　　::.,,＼_ゞ;'＞ 〈;,!ﾐﾐﾏ7ｺ断断断断
　彡:::::iヾ-'、::..　　　　　　 '';~　,;:'彡州ﾐﾐジ/断断断断
,彡彡´l_､,.`　　　　　　　 .:　,;:'彡彡州ジ’/　 断断断
彡彡 ('ー､ヽ　　　　　　..: ,;'彡彡ｼジ’　 / 　　断断
彡彡 　`ヾ:､ﾞ､ 　 　 ,..:'.:'"彡彡ｼジ’ 　 /,!、
"彡彡;, 　 　 ¨` 　 , ; ;彡彡ｼジ’　 　 /　 ｀ﾞ`ｰー─-､、_
　 "彡彡彡彡彡彡彡彡彡ジ　　 　 / 　 /
　　 "彡彡彡彡彡彡彡ジ’ 　 　　 / 　 /
　 　 　"彡彡彡彡彡ジ　　 　 　 ノ　　/

　将軍 ダガ・コ・トワル　[ Daga co Towal ]　　（ 西暦一世紀前半 〜 没年不明 ）

>>594
デスノだけではないと思う

2006-17の捏造はデスノ以外でも普段の倍以上、
流れたのも1週間くらい前だった。

たぶん2006-17の捏造の多くに混入してる。

>>612
それっぽいですね。とっても。

>>612
そのものだよ
3.If the Winny process is running, it searches for the following files in the folder where Winny is
installed, and then saves the contents of the files to C:\[JAPANESE CHARACTERS].dat:

Tab1.txt
Tab2.txt
download.txt

>590
×Search.txt
○Tab1.txt, Tab2.txt, download.txt

download.txtのやつ
md5 : 82fdbca7c44c17269bfbab666bbf8c72 size : 78
810 名前：[名無し]さん(bin+cue).rar [sage] 投稿日：2006/03/24 11:55:32 ID:6YZTg1dB0
【Win】 A列車で行こう7.rar,Fjwo8afvTz,0,0,dc9947232e1a18096e9962317af0adf8,1

http://tmp6.2ch.net/test/read.cgi/download/1139757423/810 2006/03/24 11:55:32 ID:6YZTg1dB0
http://tmp6.2ch.net/test/read.cgi/download/1141389731/426 2006/03/24 07:36:25 ID:6YZTg1dB0
http://tmp6.2ch.net/test/read.cgi/download/1142808085/370 2006/03/24 03:17:27 ID:6YZTg1dB0
http://tmp6.2ch.net/test/read.cgi/download/1142808085/510 2006/03/24 05:24:24 ID:6YZTg1dB0
http://tmp6.2ch.net/test/read.cgi/download/1142808085/647 2006/03/24 07:37:29 ID:6YZTg1dB0
md5 : a9d8990f430d98910d20c12b95dd875b size : 110
612 名前：[名無し]さん(bin+cue).rar [sage] 投稿日：2006/03/24 09:43:01 ID:8H7mBYHU0
(18禁ゲーム) [030328](May-BeSoft)grope〜闇の中の小鳥たち〜.part3.rar,,0,0,75f891b47580e5f21b49b9338607c7ef,1

http://tmp6.2ch.net/test/read.cgi/download/1139757423/612 2006/03/24 09:43:01 ID:8H7mBYHU0
http://tmp6.2ch.net/test/read.cgi/download/1141389731/393 2006/03/24 07:31:41 ID:8H7mBYHU0
http://tmp6.2ch.net/test/read.cgi/download/1142808085/362 2006/03/24 03:16:03 ID:8H7mBYHU0
http://tmp6.2ch.net/test/read.cgi/download/1142808085/619 2006/03/24 07:31:08 ID:8H7mBYHU0

↓クラスタ download.txt固有
md5 : 0ac45666f71f56c012b613ddaaa1fdc3 size : 17
569 名前：[名無し]さん(bin+cue).rar [sage] 投稿日：2006/03/24 05:01:59 ID:sf6VduLs0
pc98,,4096,0,,0

http://tmp6.2ch.net/test/read.cgi/download/1139344805/569 2006/03/24 05:01:59 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1139344805/944 2006/03/24 08:12:30 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1139402525/729 2006/03/24 05:32:30 ID:sf6VduLs0
http://tmp6.2ch.net/test/read.cgi/download/1139757423/688 2006/03/24 10:24:23 ID:sf6VduLs0

>>612
ビンゴ♪

わーお、ノートン先生はどうやって捕獲したんだろ？

爆撃再開したかもです・・・

それは前々からある奴じゃん

なんで今頃kakkeys.dが流行ってるの？？
http://www.google.com/search?num=100&hl=ja&newwindow=1&c2coff=1&q=kakkeys.g&lr=

だれか故意に放流したのでは？

>>618
白パンだったのかｗｗｗｗｗｗ

>>622
最近、亜種の名前はベンダー間で統一が取れてないですよ・・・・
Symantec的には23日に発見したヤツに「Kakkeys.C」「Kakkeys.D」と命名した模様

復活？
【winny】うｐ研復活!TBSがファイル交換推奨【闇】
http://tmp6.2ch.net/test/read.cgi/download/1142461155/l50
268 名前： [名無し]さん(bin+cue).rar [sage] 投稿日： 2006/03/24(金) 16:14:49 ID:+AhTZUYP0
堺　鉱一郎
269 名前： [名無し]さん(bin+cue).rar [sage] 投稿日： 2006/03/24(金) 16:16:06 ID:GCnFH7ia0
Owner
270 名前： [名無し]さん(bin+cue).rar [sage] 投稿日： 2006/03/24(金) 16:16:25 ID:+AhTZUYP0
堺　鉱一郎
271 名前： [名無し]さん(bin+cue).rar [sage] 投稿日： 2006/03/24(金) 16:18:00 ID:+AhTZUYP0
堺　鉱一郎
272 名前： [名無し]さん(bin+cue).rar [sage] 投稿日： 2006/03/24(金) 16:57:04 ID:GCnFH7ia0
Owner
273 名前： [名無し]さん(bin+cue).rar [sage] 投稿日： 2006/03/24(金) 16:58:39 ID:GCnFH7ia0
Owner

板アドレスの/download/を他のに変えてみたらどうだろ

そういうので対処可能だろうとは思われるわけだが
結局亜種が出てきたら意味がないわけで

tmp7にすれば解決

>>629
新種大量発生で、3年後にはtmp274.2ch.netになる予感。そして板名は原形をとどめないほど改変されまくり

完全復活らしい

【winny】うｐ研復活!TBSがファイル交換推奨【闇】
http://tmp6.2ch.net/test/read.cgi/download/1142461155/286-289
286 名前： [名無し]さん(bin+cue).rar [sage] 投稿日： 2006/03/24(金) 18:40:03 ID:/JhGytCh0
ダウンタウン　リンカーン

287 名前： [名無し]さん(bin+cue).rar [sage] 投稿日： 2006/03/24(金) 18:41:40 ID:/JhGytCh0
ウルフルズ

288 名前： [名無し]さん(bin+cue).rar [sage] 投稿日： 2006/03/24(金) 18:43:16 ID:/JhGytCh0
ジャンプ　2006-17

289 名前： [名無し]さん(bin+cue).rar [sage] 投稿日： 2006/03/24(金) 18:44:53 ID:/JhGytCh0
ダウンタウン　ガキの使い


286 ?
287 mp3か？
288 無視リストにジャンプが入ってる
289 「ガキの使い〜あらへんで」だっけ？

LA=10を恒常的に超えるようになったら、ここで知らせてくださいです。< tmp6

　　 　　　∧＿∧　　　　
　　　　　（,, ・∀・)　　　　
　　　　 　(　O┬O
　〜　 ◎-ヽJ┴◎ 　ｷｺｷｺ

【MX移行組】Winny ｴﾛｹﾞｰ総合ｽﾚ Part79【お断り】
http://tmp6.2ch.net/test/read.cgi/download/1138882062/564 (ファイル名)
http://tmp6.2ch.net/test/read.cgi/download/1138882062/744 (解析っぽい)
>744 名前： [名無し]さん(bin+cue).rar [sage] 投稿日： 2006/03/24(金) 19:39:50 ID:U9GjfRUb0
> NoDVDパッチ [18禁ゲーム] がくと！ [060317].exe 200,192 Bytes
> UPX解凍後 508,416Bytes
> 言語：Delphi
> 2chへの書き込みをするらしい

> 中身の文字列
> ex14.2ch.net
> news4vip
> Monazilla/1.00 (Jane2ch/0.1.12.2)

ウィルス爆撃の予感？

vipが標的なのが…ｗ

http://tmp6.2ch.net/test/read.cgi/download/1142746786/200
http://tmp6.2ch.net/test/read.cgi/download/1142746786/283

今日のはこれかな。

>>634
SC系ッスね
>>636
違うッス

>>637
あー、遊んで突っついてたのか＿|￣|○

http://www.symantec.com/avcenter/venc/data/trojan.kakkeys.d.html
今回のものは上のものらしいですが、>>200に入ってるかどうかは不明のような気が・・・

間違った・・・

http://qb5.2ch.net/test/read.cgi/operate/1142144559/899

899 名前：ひろゆき[] 投稿日：2006/03/24(金) 22:57:48 ID:5VoY1bli0 ?#
live22xのキャップ削除のスクリプトはどこになるのだろう。。

だそうです。

もっさり風味
ttp://sv2ch.baila6.jp/server.cgi?server=tmp6.2ch.net

>>642
現状では、しょうがないすね。

ウイルスからのアクセスそのものが止まったわけではないわけだし、
そもそもtmp6って、standard bananaの中でもかなり忙しい部類だし。

ちょっとだけいじってみます。< tmp6

ううむそうか。
>>644 はとりけし。

>>612 を読むと、

> 5. Retrieves URL lists of 2ch bulletin boards by searching for them using Google.
> 6. Attempts to send the gathered information and contents of
> C:\[JAPANESE CHARACTERS].dat to the bulletin boards that it finds.

つまり、Google の検索結果から板URLのリストをとっているから、

・サーバ移転・板名変更・板フォルダ名変更では対応できない可能性が強い
・ダウンロード板が存在する限り、現在のレベル or それ以上の高速アクセスを受け続ける

と。

ダウンロード板にNOINDEXを加えちゃったり

Googleの対応よりはやく変更し続ければOKだね♪

いっそのことダウソ板に板名変更とか

>>646
そうだす('A｀)
ｺﾞﾆｮってくれたおかげ(?)とBBQで多少は負荷緩和しているようですが
今後どうなるかは…

＞3：If the Winny process is running, it searches for the following files in the folder where Winny is installed,
＞and then saves the contents of the files to C:\[JAPANESE CHARACTERS].dat:
＞6：Attempts to send the gathered information and contents of
＞C:\[JAPANESE CHARACTERS].dat to the bulletin boards that it finds.
nyの検索やリストにあるキーワードから爆撃スレ絞ってると思われ

>>648
そりゃそうだｗ最初爆撃されたスレは過疎スレが多かったし

つまりGooglebotのクロールを弾いておいてから、
板のサーバ移転を行えばよいと……。

労力がかかりますねー

Symantecに問い合わせれば解決法教えてもらえるんでねーの？

Googleの検索結果から外してもらうツールがあるみたい。
http://www.google.co.jp/intl/ja/remove.html#exclude_website
の「注意」。ただ、なんかリンク先がクソ重いけど。

『園児の園児による三色玉遊び』

異なる三色の玉それぞれ三つずつ（計９個）外から
見えない袋に入れて三人でそれぞれ一個取り出す
同色又は三色異色ならばドロー二個同じならば
２対１で同じ色が多い方が勝ち！

えんじ色ばかりでオール引き分け灘

日本語版貼ってみる
ttp://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-trojan.kakkeys.d.html

少し、対策を工夫してみた。< tmp6

>>657
あんまり、代わり映えしないですね。
元に戻した。

animeサーバ、ちょっとしくりました。
subject.txt とんだ気がするので、これから直します。

ちなみにしくったのは＊私＊です。
別のことでメモリディスクを試していて、間違って数秒間ディスクフルに。

ごめんなさいです。

done のはず。

おさわがせいたしました。

・`)っ▲

http://sabo2.kakiko.com/pageview/daydata.cgi?date=20060326
これ見ると、.tmp6の*.txtに対するリクエストが物凄いことになってるのですが、大丈夫ですか？
他のサーバーより桁ひとつ違いますが

http://sabo2.kakiko.com/pageview/hourdata.cgi?date=20060324&server=tmp6.2ch.net
きっかけは、この間のウイルスみたいですが

【winny】PCゲーム総合ｽﾚpart74
ttp://tmp6.2ch.net/test/read.cgi/download/1142512174/

また少し爆撃されてた

で、即死は？

[Winny Share] [DVDISO](18禁アニメ) Part.1
http://tmp6.2ch.net/test/read.cgi/download/1138684813/

今日の爆撃ｽﾚ

ttp://sv2ch.baila6.jp/server.cgi?server=tmp6.2ch.net
開いてびっくりしたｗ
いつもこの時間はじわじわ来ますな

なんか降ってきています。

概要は↓で報告しました。
■ウィルス爆撃相談所＆焼き処【RockBBQ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/812

ターゲットになったスレはスレッドストッパーで停止して、投稿に対してはエラー返さず受理したと見せかけたらいいのでは？

>>669
今までのやりとり全く見ていないのかよ。
問題は「書き込み処理が起動される事」。

ダウソの頭２、３スレに物凄い勢いで連投あり
キーワードでは無い模様

このままじゃスレ頭から続々と落ちるんじゃ．．　

>>670
あくまで、ユーザー側の立場から言っただけ。
ユーザーにとっちゃ裏で何やってようが、スレがウイルスに侵食されなければそれでいい。

>>672
ヒント：鯖落ち

というかスレストされたらユーザーとして困るだろｗ

>>670
ついでに
サーバー側にとって辛いCGI起動を防ぐ一番手っ取り早い方法（いつまで持つかは分からないが）は、tmp6の名前を変更すること。
どうせウイルスは、302の転送先なんて解析しないだろうし、永遠と存在しないcgiをリクエストし続けるでしょ。
302のテキスト返すだけならCGI回すよりはるかに低負荷だし

Winny補助ツール総合スレPart2
http://tmp6.2ch.net/test/read.cgi/download/1139084344/l50

>>675
ｸﾞｸﾞﾙから抽出するからむりぽ

ｸﾞｸﾞﾙの更新タイミングを見計らって、更新の直後に名前を変えつづけるのだ

>>677
Googleはおりこうさんだからrobots.txtに拒否と記述すれば回避してくれるよ。

むかし狼が爆撃食らってた時に、loveからoooへ移転されたのを思い出した

>>679
利用者の流入が減るのが嫌だろうからそれはやらないだろうなぁ

>>681
まあね

ノートンのLiveUpdateで対応されたのやっと今日になってからだしなぁ。
ウィルスにかかるような人間が定義の手動更新なんかしてる訳ないし、
感染者の大半はこれからようやく気付き始めるんだろう。

このウイルスって内部にワードリストでも持ってるのかな？
小説スレが二つあるんだが両方同時に来てる

　　　
竹元正紙
遺伝子組み換え

life7で、HDD内を整理する作業をしています。
LAが高めになっているのは、そのせいということで。

# game10 life7 hobby7 あたりは、初夏あたりにはリフレッシュ工事かもかも。

boo80も効かないのはそのせいか。

移転や検索よけは一時的な対策にしかなりません。
今後、攻撃対象を手動で指定できるウイルスがでてくる可能性も考えられます。

Beログイン強制＆BeIDが表示されないログイン方法を用意する
という対策はできないでしょうか。

アクセスされる事自体で負荷増えるからどうしようもないわな

ageで爆撃する新ウイルスの条件：仮説

・WinnyまたはShareまたは数字4桁でdatナンバーが古い順に爆撃
・「Winny」で一つ、「Share」で一つ、「数字4桁」で一つ攻撃の可能性もあり（二つのワードが含まれているとどうなるかは不明）

予想があっていると
1140684650.dat  【Share】DVDISO 無修正 専用スレ Part7【共有】 (958)
1140874458.dat  【Winny】巨乳/パイズリ動画スレ22【おっぱい市民】 (889)
1140965580.dat  WinnyからHDDを守るツールを作ろう Part3.1 (234)
1141039876.dat  Winny週刊少年マガジン魔法先生ネギま!専用ｽﾚ part6 (653)
1141217092.dat  【野外露出】人ごみの中で全裸になる動画【Winny】4 (113)
1141325645.dat  【Winny】�n�n�n�n 写真集 37冊目 �n�n�n�n【？】 (321)
1141337563.dat  【Share】 アイドル写真集 11冊目 (141)

こんな順番で攻撃？（上二つは既に爆撃されてるが）
ただ、仮にそうだったとしても、何の解決にもならないが

今のところ仮説通りの挙動を示しているようです。

ダウンロード板、ウイルス攻撃報告

subject.txtからスレ一覧を取得し

・「Share」をスレタイに含む、一番古いスレ
・「Winny」をスレタイに含む、一番古いスレ
・四桁の算用数字をスレタイに含む、一番古いスレ

を並行して攻撃するようです。

-------
一つ質問ですが、subject.txtに対するリクエストでバーボンになりますか？

24日からtmp6に対してありえないほどのリクエストがあるようです。
http://sabo2.kakiko.com/pageview/daydata.cgi?date=20060328

俺の稲さんスレが…

いろんなパターンがあるようですね。

>>692
> 一つ質問ですが、subject.txtに対するリクエストでバーボンになりますか？

なります。

> 24日からtmp6に対してありえないほどのリクエストがあるようです。

既に、（りゃ。