FreeBSD.Scalper.Worm に感染しましたが

http://headlines.yahoo.co.jp/hl?a=20020702-00000011-vgb-sci

　

はぁ〜ん

Scalper補足した。
欲しい人いたらあげるよ。

つーかソースと解析結果出てるやん

FreeBSDって専用ウイルス作ってもらえるほど立派なものか？

Linuxよりはマシだろ

漏れも感染した。
ファイルの作成日時によると、2002/07/05 01:39

# ps -ax
21386 ?? S 85:44.72 /tmp/.a 65.213.188.190

アンチウィルスソフトは入れてないのだが、これらのファイルを削除すればいいのかな？
/tmp/.uua
/tmp/.a
/tmp/doc/

上のファイルを削除して再起動したらプロセスはなくなってた。


---------
あなたが検索されたIPアドレス［ 65.213.188.190 ］の企業名・団体名は以下の通りです。

% How to use the APNIC Whois Database www.apnic.net/db/
% Upgrade to Whois v3 on 20 August 2002 www.apnic.net/whois-v3
% Whois data copyright terms www.apnic.net/db/dbcopyright.html

inetnum: 65.0.0.0 - 65.255.255.255
netname: IANA-NETBLOCK-65
descr: This network range is not allocated to APNIC.
descr:
descr: If your whois search has returned this message, then you have
descr: searched the APNIC whois database for an address that is
descr: allocated by another Regional Internet Registry (RIR).
descr:
descr: Please search the other RIRs at whois.arin.net or whois.ripe.net
descr: for more information about that range.
country: AU
admin-c: IANA1-AP
tech-c: IANA1-AP
remarks: For general info on spam complaints email [email protected].
remarks: For general info on hacking & abuse complaints email [email protected].
mnt-by: MAINT-APNIC-AP
mnt-lower: MAINT-APNIC-AP
changed: [email protected] 20020530
source: APNIC

role: Internet Assigned Numbers Authority
address: see http://www.iana.org.
e-mail: [email protected]
admin-c: IANA1-AP
tech-c: IANA1-AP
nic-hdl: IANA1-AP
remarks: For more information on IANA services
remarks: go to IANA web site at http://www.iana.org.
mnt-by: MAINT-APNIC-AP
changed: [email protected] 20020530
source: APNIC

host name : ns1.hypervillage.com
alias name: hypervillage.com
address : 65.213.188.190

ほかに感染した人いないの？
「ほとんど感染例がない」みたいな記事が一人歩きしてたから、急いでApacheのupdateしなくてもいいかとおもってたんだけど、ちょうど作業しようと思ってた前日に感染してたんだよね。
たしかに、フィルタの設定をまだしてなかったからセキュリティが弱かったってのもあるんだけど、もっとたくさんのサーバーが感染しててもおかしくないんだけど‥‥。
それとも気付いてないだけなのかな？

hypervillage.comって、HP見てみるとむこうではちゃんとした会社みたいだから、ハッカー→踏み台→踏み台→‥‥って感じなんだろね。

まぁ、今回のワームがFreeBSD4.5R限定だからかな。
亜種が出てきたら、どんどん感染するだろうから、みんなもApacheのバージョンアップ、早くした方がいいよ。
一度感染したら、処置してもウィルスを完全に除去できたかどうか不安だし、精神的に良いもんじゃないからね。

おれも今やられた！くそー！！
２ｃｈ見てただけなのに、いきなりＮＯＲＴＯＮの
感染しましたの画面！　ＰＣ等のＷｉｎｄｏｗｓを
クリックしただけだぜ！　なんなんだよ〜
削除できませんってでてたけどどんな症状が出ることやら。糞だ

ノートンがvbsウィルスのソースに誤反応
http://pc.2ch.net/test/read.cgi/sec/1025872269/

>>11
あなたは本当にFreeBSDを使っているのですか？

>>11 FreeBSD.Scalper.Worm
影響を受けないシステム：Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Microsoft IIS, Macintosh
http://www.symantec.com/region/jp/sarcj/data/f/freebsd.scalper.worm.html

一斉にツッコミが入ったな(w

このスレって、セキュリティ板よりもＵＮＩＸ板の方がいいのかも（ｗ

FreeBSDで使える無料のアンチウィルスソフトって、何かある？
ソフォスって、個人使用も有料なんだよね？あのＨＰよくわからん。
タダで使ってる人もいるんじゃない？

UNIX板ではApacheスレで少々語られただけだ

ってことは、2ﾁｬﾈﾗの中では感染例がほとんどないってことだね。

数あるＯＳのなかでFreeBSD、その中でもバージョンが4.5Rだけって、限られすぎだもんね。
感染した漏れは正真正銘のバカだ。うんこ野郎以下だ。‥‥鬱だ。

この記事のせいで対応を急がなかったんだよね。
ZDNN「Apacheを狙うワーム、感染拡大せず」
ttp://www.zdnet.co.jp/news/0207/02/nebt_07.html

ウイルス除去してプロセスも殺した後も、LANのアクセスランプがけっこう光ってたんだよね。
もちろん、除去前とは比べものにならないほど、おとなしくなったけど。
精神衛生上、問題あり。

言葉の使い方を間違えました。
×　LANのアクセスランプ
○　NICのアクセスランプ

>>18

4.1R で感染しましたが何か？

>>8
侵入されたお仲間→ http://www.sakura.ad.jp/news/20020704-001.news

>FreeBSDで使える無料のアンチウィルスソフトって、何かある？

# cd /usr/ports/security/vscan && make install
試用期間限定のはずなんだけど、いつまでたっても使える(藁

↓まだ試してないけど要チェック。
http://www.openantivirus.org/
この配布物の中に、商用/無料のアンチウィルスソフトについての
かなり詳しいリストがある。
http://cvs.sourceforge.net/cgi-bin/viewcvs.cgi/openantivirus/mini-faq/av-unix_e.txt?rev=HEAD&content-type=text/vnd.viewcvs-markup

私の管理してるサーバも感染しました。
別の管理者が管理してるJail上で…。
レンタルサーバなのでネットワークから隔離されてしまって、調査するに調査出来ない
状態です。Jail起動しないようにして、再度ネットワークに繋いで貰う予定なんだけど
無事に起動するかな(汗)。

>>4
暮れ。

>>23
もらってどうする？

ソースは配布されてるべ

ほかに感染者はおらんかー？
みんな早めに予防接種しれ。

亜種まだー？

今更感染しやがったよ･･･（鬱
今じゃ使ってない鯖を実験用に立ち上げたら速攻来た。
ちゃんとバージョンアップしてからネットに繋ぐべきだったと反省。
しかしほんとに感染報告ってほとんど無いのかぁ？
それとも恥ずかしくて闇に葬られてるのか（ｗ

報告はないかもしれんが、感染ホストが存在してるのは事実。

123.45.67.89 - - [03/Nov/2002:09:32:50 +0900] "GET / HTTP/1.1" 400 298 "-" "-"
123.45.67.89 - - [03/Nov/2002:09:32:51 +0900] "POST / HTTP/1.1" 413 551 "-" "-"

この2行セットがScalperのアクセスログ。
GETだけでPOSTがなければFreeBSD.Scalper.Wormではなく、Linux.Slapper.Wormのログ。

（＾＾）

（＾＾）

（＾＾）

ttp://www.isskk.co.jp/support/techinfo/general/webcrack_analysis.html

米国のサイトを中心に数千件のWebサーバの改ざんが行なわれている模様で
す。尚、米国以外のサイトにおいても、改ざん竄が行なわれていることから、
日本のサイトにおいても、十分な対策を行なう事が必要と思われます。

改ざんされたサイトのリストを元に、インターネット セキュリティ システ
ムズ株式会社にて分析したところ、改ざんされたサイトは、Apache/1.3x +
OpenSSL/0.96bを利用しているところが非常に多いことがわかりました。

（＾＾）

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

>>25
禿同

話変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP)

　このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。
画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。

この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。
任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF７のように。

　__∧＿∧_
　|（　　＾＾ ）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

　　　 　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

クレズでした。
ファイル名「たけちん」「ご質問は」
などでした。

そんで、これらは共有フォルダにいつのまにかはいっていたのを
発見ししだいバスターで隔離したのですが、
ダブルクリックさえしなければ大丈夫ｄなの？
フォルダに入ってたじてんでＯＵＴ？

　　　 _____
　　 /二二ヽ
　 　||・ω・||　　＜ふかわりょう
.　 ノ/　 />
　　ノ￣ゝ

　　　　／￣￣￣￣＼,,　　　　　 ／　　　　　　　　＼
　　　/＿＿＿＿＿　　ヽ　　　 /　＿＿＿＿＿_　　 ＼
　　　|　　　　　　　　|　　|　　 / ／　　　　　　　　＼ 　　ヽ　
　　　|＼ 　 　／ 　 |___/　　　|/　／　　　　＼　　　ヽ　 　|　
　　　| ・　　　　・ 　　 6 l　　　|　　・　　　　 ・　　　　|　　 |
.　 　ヽ　（_人__）　　　,-′　　 |　　 （_人__） 　　　　 | 　 l　　　　　知らんがな
　　 　 ヽ ＿＿＿ ／ヽ　　 　 ヽ　　　　　　　　　　　 /　/
　　　 　／ |／＼／ l ＾ヽ　　　 ＼　　　　　　　　 　/　/
　　　 　|　|　　　　 　|　　|　　　　 l━━（ｔ）━━━━┥

じりり

まだこのスレあったのかよ

　　　　　　　　　　　　　　 l;:;:;:;:;:;:;:;:l;:;:;:;:;:;:;:;:｀丶､;:;:;:;l
　　　　　　　　　　　　　　,l;ｨ'----┴――--､、;:丶､!
　　　　　　　　　　　　　 ,ﾉ7 '"＾　　　^`'　　 ,ｨ'三ミ､_〉
　　　　　　　　　　　　　 {:/, ﾆ丶　　,r,=-、　ヾ:::::::ﾐヾ
　　　　　　　　　　　　　〃ｨ'｡｀>ｿ { ィ'｡｀'ｧ::..　 !::::::ミ:l
　　　　　　　 　 　 　 　 l:! ｀~´/　,l、 ￣´ 　 ,. }:::::三<
　　　　　　　　　　　　　 ll　　 (､ っ）　　　　 : ,l::::ｼ久'l
　　　　　　 　 　 　 　 　 l　　 ,.,__､　　　　　,:' f::/ﾝ ﾉ/
　　　　　　　　　 　 　 　 l ､ f{二ﾐｧ ,）　　　　{,ﾂ>-‐'′
　　　　　　　　　　　　　 ヽヽ`ー '　: ヽ　　　,_ｿ/
　　　　　　　　　　　　　　 丶､＿＿,　-―''"/,/
　　　　　　　　　　　　　　　,} ヽﾆニ　 =彡ｼ,ンヽ,
　　　　　　　　　　　　　　,/(`＝- r‐ ''"　／ ,／丶、
　　　　　　　　　　　　　ノヽヽ、＿;＿_,∠..ィ"-――ｭ、
　　　　　　　　　　 ,∠三二二,,＿＿＿,,.　 -― ''"~⌒`丶､、_
　　　　 ,, - '"´￣/　　　　　　　　/　　　　　　　　　　　　　／｀`
　　,イ´　　　　　/　　　　　　　　/　　　　　　 　 　 　 　 ／
　 / /　　 　 　 /　 　 　　　　　/　　　　　　　 　　　　／

http://nanasisan.com/0nanasi/src/up5025.jpg

てす

てす

？

?

ムゥ〜おやつが食べたいな〜
あっ、シュークリームだ
おいしそう　食べよう
モグモグモグモグ　おいしいな
モグモグモグモグ
もう一個ある　これも食べちゃえ
モグモグモグモグ
モグモグモグモグ
あ〜おいしかった

ねえムーくん、ここにあったシュークリーム知らない？
知らないよ
変だなぁ　後でムーくんと一緒に食べようと思ったのに
おかしいな　どうしたんだろう？
あんなおいしいシュークリーム　どうしたんだろうね？
あんなおいしいシュークリーム？
それじゃまるでムーくん
あのシュークリームを食べたことがあるような言い方じゃないか？
ワッ　しまった
さてはムーくん　シュークリーム食べたでしょう？
知らないよ
ほら　白状しないと　コチョコチョコチョコチョ
ムヒヒヒヒ　食べた　食べた
ほら　やっぱりムーくんが犯人じゃないか
もう　おしりペンペン
ムッヒーミンミンミン　ムッヒーミンミンミン
ようし　ムー汁にして食べちゃおうかな
ムッヒーミンミンミン　ゴメンナサイ　ムッヒーミンミンミン

4 ：ｚ：2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。

ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/

漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか？
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか？

カ　オ　ス　ラ　ウ　ン　ジ　ゆ　る　せ　な　ぁ　い　ー