【まだ】Blasterスレ Part2【終わっちゃいない】
1 :
名無しさん@お腹いっぱい。 :
03/08/16 11:50 一見何事も無かったように思えるBlasterだが、 企業などがお盆明けで一斉にネット接続すると思われる18日午前に 要チェキ
2 :
名無しさん@お腹いっぱい。 :03/08/16 11:51
ヲチ中
3 :
名無しさん@お腹いっぱい。 :03/08/16 11:53
うぷでーと逝ってる?
4 :
名無しさん@お腹いっぱい。 :03/08/16 11:56
98/Meが標的の亜種も出回ってるらしいけど、対策出てないよね・・・
保守
いっちょage
9 :
名無しさん@お腹いっぱい。 :03/08/21 14:50
移動(・∀・)
10 :
名無しさん@お腹いっぱい。 :03/08/21 14:51
本スレはこっちでいいの?
12 :
名無しさん@お腹いっぱい。 :03/08/21 14:51
このスレ 実質上part6だよね
>有償で>パソコン修理を頼んだユーザーも出ており、マイクロソフトに対する信頼は大きく揺らいだ。 こういうユーザーが感染を広めるんだと思われ。
>>13 また同じ事繰り返すんでしょうね。
大体の人は何故自分のマシンの具合が悪くなったか学びませんからね。
16 :
名無しさん@お腹いっぱい。 :03/08/21 14:57
北**医療大学はまだ治してないのか? パケットがバンバン飛んでくる。 早く治せよ(藁
18 :
名無しさん@お腹いっぱい。 :03/08/21 15:00
>>16 俺素人だもん。
何て言って良いかわかんない。
医者の不養生
そういえば、MSが20万枚の対策CD無償で配るってね。
>>18 そんなの簡単さ
「お宅のPCにどういう教育をなさってるんですか?
うちのかわいいパソちゃんにアタックしてくるなんて、
まったく野蛮だわ〜。」
ってな感じで。
23 :
名無しさん@お腹いっぱい。 :03/08/21 15:03
新ウイルス「ブラスト」駆除ソフトを無償配布
マイクロソフトの日本法人は20日、コンピューターウイルス「MSブラスト」を
駆除するソフトウエアなどを入れたCDを無償で配布する、と発表した。
ウイルス対策ソフト大手のトレンドマイクロ、ラック、シマンテックの3社と提携し、
今週末からパソコン量販店などで配る方法を検討中という。現時点で約20万枚を用意する方針。
CDには、基本ソフト(OS)を修正するマイクロソフト社製のソフトと、
トレンドマイクロなど3社それぞれのウイルス駆除ソフトが入る。
問い合わせは、マイクロソフトのウイルス対策相談窓口(0120・69・0196)へ。
http://www.asahi.com/special/pcvirus/TKY200308210086.html
IPそのまま信じてるのか・・・
>>14 あたしゃフリーのPFWも入れてあげて、、ちまちまと教え込むつもりですよ。
除去&パッチだけじゃ対症療法にしかならん。
予防してもらわないと、ね…。
28 :
名無しさん@お腹いっぱい。 :03/08/21 15:06
>>23 感染予備軍はこんな情報すら気づかずに感染するもんだよ
29 :
AUTO POST :03/08/21 15:06
2ch初心者の皆様へ
このスレッドはウイルスに感染したおそれがあります。
悪意のある攻撃を検知しました。
ただちに、パソコンを再起動させることをおすすめします。
検知ID 938vn3vn03823
この投稿は2chウイルス自動検知プログラムによる自動投稿です。
2ch autoシステム ver,2,3
詳しくは、こちらまでどうぞ。
http://isp.2ch.net/ なおこのウイルスの詳細を希望の方は、このスレッドにログインする必要があります。
名前欄にfusianasanと入力して投稿欄に、検疫と入力して、書きこみボタンを押してください。
>>23 初回特典としてビルゲイツのPVがついてくるそうです。ぬるぽ。
>>26 違うの?
synfloodだからIP偽装されてる?
ここ見てるヤシがフシアナに引っ掛かるとは思えんのだが
>>32 つーか、このスレッドがウイルス感染ってw
>>32 いや、MSブラストに感染してあわてて見に来た初心者なら引っかかるかもな(w
藁にもすがる思い、ってやつで
なにげに2ちゃんねるプロバイダの宣伝?
昨日テレビでMSblast感染者が取材受けてたな。 「(WinUpdateのページ)そんなページがあるなんて夢にも知らなかったし」とか 「こういうことに詳しい方々が見てたら「なにいってんだそんなのも知らないのか?」なんていわれそうですが、漏れみたいに知らないヤシもいるんだよ」 みたいなことを言ってたような。
>>32 俺はセキュ板来る様になって1年くらいだけど、それでも引っかかるぞ。
>>36 知らない奴は開き直ったり
世の不浄を訴えるものさ
39 :
名無しさん@お腹いっぱい。 :03/08/21 15:11
>>36 PCを家電だと思い込んでる人の代表みたいな人ですね。
>>36 そいつ自分の馬鹿をTVで晒したのか
ある意味勇者
41 :
16@ duuji1-2-228.urban.ne.jp :03/08/21 15:11
検疫
検疫
最大のセキュリティ対崎はユーザーの意識からてか
俺にとってPCは冷蔵庫に毛が生えた程度の物でしかない。
ある意味勇者<翻訳の仕事してる中年男性だたよな。 見ながら思わず涙ぐんでしまったよ。
検疫
TV>>>>>>>>>>PC>>>>>>>>>冷蔵庫
ひっかかりますた(w
あのオーバーな言い方、 久々にモモコを拝みたくなったよ。
検閲
>>36 そんなもんでしょ。
大抵の人には、IEとOEとWord、Excelがあれば充分だし、それぐらいしか
起動したこと無いと思うよ。(あと、まあ、ソリティアぐらいはやるかもな)
ちなみにその後、アナウンサーがThinkPad使ってWinUpdateの仕方を実演してた罠。ニュース番組も変わったもんだ。
ならIEとOE、WordとExcelとソリティアを基盤に焼き付けて出荷しよう。RAMエリアはメモリとデータ領域だけ。それで解決。
ん〜、ICMPアタック止まる気配無し。 2-3分に一回来る程度だが。
メモ帳がないと、Windowsが動かないだろ。
YahooBB!のユーザーは危ない
ドリキャスで十分
ドリキャスでネット、これ最強!
同じプロバ内ならnet sendが通るから警告発射しちゃ駄目かな?
感染しました。助けてください! 的な書き込みをみたら松浦タソを思い出して生暖かく教えてやれよ。
>>67 最大のセキュリティ山崎はユーザーの意識空手家
セキュリティには山崎だろ
そろそろ山崎パン登場の悪寒
Win動かすにはEDLINで充分。
俺はとりあえず、nbtstat -a して、出てきた結果からメーカー製PCの場合、 注意して上げてるけど、もうやめよう。
>>60 アリdw
なんだもう動画は置いてないのか、残念
保存しときゃ良かったw
Y!BBのADSLモデム→有線はとくに危ない。
79 :
名無しさん@お腹いっぱい。 :03/08/21 15:21
>>69 Dタイプならともかく、Aタイプだとシャットダウンで繋ぎ直されるからIP変わる可能性あるし。
ていうか、「スパーハカーにやられた!」としか思わないかもな
>>16 うちも北○道医○大学からパケット来まくってる。
パソコンの治療も出来ないで人の治療すんのかよwwww
82 :
名無しさん@お腹いっぱい。 :03/08/21 15:22
outpost入れたんですが、1025がClosedで Stealthになってくれません。
_,. -─- 、 , -'´ \ . , ' 、、 、 、 ヽ /////,ハヽヽヽヽヽヽ、ヽ l | l l l | ヽゝtxヽ.ヽソl l l N | l,.kエ、`ヘ_丁Yイ|l l│ `YYヘ,J , '''' l l ll l j j l ト'' ‐ ノ j レレ' | l l j>- ィ レイ´ ─ その夜、父の命令で レレ´_,.ィ'T´ ヽ、 / |:::| ` ´ ノ::|`ヽ、 私はスクール水着に着替えました { /_:_::`ー'__::ヽ、 } l 〈:::::{ く  ̄ま }:::::〉 | そしてトランクス1枚になった父は、 l ';:::ゝ‐-‐--';::::/! l |. l::::l::::::::::::::::l::/ l l 私を屋上に連れて行きました ─ l ノ:::l::::::::::::::::l::{ l l {./ r'^^ヽ、_, -─` ! /::::ヽ、 ______.ノ /:::::::/::::: ̄::::::::::::l:::::', /^ヽ、::::::::::::::::::::::::::l:::::j | `ヽー::-:::;‐'´⌒ l l `YY´ |
ブラウザで最初に開くページをWindowsUpdateのサイトにするように 徹底させないとダメだろ?
85 :
名無しさん@お腹いっぱい。 :03/08/21 15:23
うちはN(TT)−MEから来まくったぞ。
>>79 うーん。
んじゃ逆効果か。
ログ見てるだけにしとこう。
#やっとお盆休み取れたのにこれじゃ鬱
>>84 更新設定していても通知が来ると無視してる輩が多いらしいので無駄
89 :
名無しさん@お腹いっぱい。 :03/08/21 15:24
ていうか、PFWいれるのが優先だと思う。 WindowsUpdateしても他に穴があるかもしれんしねぇ。
主治医「む、ここに腫瘍が…」 助手「いけません、そこはっ」 主治医「うをっ!?」 助手2「大量出血だ…」 助手「早く止血&縫合&輸血の用意を!」 主治医「ええい、そんな用意要らんっ!」 助手「しかし、このままではっ」 主治医「ぽちっとな」 Ctrl + Alt + Del …糸冬了 < パソコンの治療も出来ないで人の治療の実体
>>80 お宅様にもでございますか!
訪問看護の押し売りは要らないでございます。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄」 ―――――――――――――‐┬┘ | ____.____ | .__ 感染したPCを | | | | |\_\ 窓から | | ∧_∧ | | | |.◎.| 投げ捨てろ | |( ´∀`)つ ミ | | |.: | | |/ ⊃ ノ | | .\|.≡.|  ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄ |  ̄
>>87 わけ分からないことはしない
って人多いからね〜。
最近の初心者は敢えてトリオモデムを選ぶのが多いらしい。<Y!BB 「よぉし、パパ無線にしちゃうぞぉ」
オフィスだかの講師に 修正プログラムリリースごとに怒って電話してくる人がいたらしい 「完成品じゃないのを売ってるのか!」って・・・ ま、存在すら知らない奴よりはマシだね
lj _, - 、-、_ j //ハ ヽ Y' トヽ /ィ个ノ 八 |ハ. | | ト ij lj _,/ / / 乂ノ ハイ | | | ,リ /|//」Ll-ハ |l‐:|、/ | } l } lj /{乂iィfiエ lj エ'ilメ、ソ川 | { 川 ! '' '_ '' ///.|イ / ̄ ̄ ̄ヽ O ヘl ト、 `’ u イ,イl || } ― 降りしきる雨の中、 | 寒い… | ○ |从lノ`:r‐ ノj从 lj \___/ i __,.ノ / {__,、 lj 屋上であんなことをさせられるとは /}::| ̄` '⌒/::/\ l /::::`==''":::〈 u l 思ってもみませんでした ― |./::r―ー―‐┐:::::! l 八::| く ま l:::::/ | lj lj / }:ト―ー--イ::::l. | f'⌒ー- ::___ _;r―‐、! {__..___ ` ー 、__,,} \_..--―`ー 、_ _,ノ | /:/:::::::::::::::::::::|:::{ /:/::::::::::::::::::::::::|:::::| j /::/::::::::::::::::::::::::::::|:::::| /ー¬、___:::::::|::::::〉 | ヽ::::::/ ̄ ̄`^| i | トイ lj |
これほど未完成品に寛容な市場もOS業界とコピー機業界くらいか。
同じアドレスからパケットが飛んでくると、 ああ〜今一生懸命治してるんだろうな〜っと思う。 っつか、長い事そのままで繋がんといておくれ(泣
プラモデルの講師に(ry
>>99 でも何もしてないのにしばらくして「直ったかな?」って繋ぐんだよきっと
102 :
mancoanasan :03/08/21 15:30
ぬるぽ
XPのOSのコードは5000万行近くあるらしい 毎週数個のペースで脆弱性が見つかるとか 休む暇なんか無いだろうな〜
以前はポートスキャンだけだったのに、今はPingの嵐・・・。 その中にポツポツとくるポートスキャンが今や微笑ましい。
106 :
名無しさん@お腹いっぱい。 :03/08/21 15:32
>86 D持ちかどうかわかりますよ。 ログを見ると3連打で来てるのがDで一発で終わるのがAとほぼ断定できます。 それとログを見ていきなりIP変換されてるのは前科持ちなのでそいつはDに感染 (Kerio Personal Firewallの場合、他のは使ったこと無いので) しっぱなしでICMPばらいてると断定しても間違いないかとw
>>103 大量に雇用してるから意外とそうでもない…という落ちもあるかも。<休み暇
∧_∧
( ・∀・) | | ガッ
と ) | |
Y /ノ 人
/ ) < >__Λ∩
_/し' //. V`Д´)/
(_フ彡 / ←
>>102
ここ1時間でうちにきたICMP様 kyto.nt.ftth2.ppp.infoweb.ne.jp fkok.nt.adsl.ppp.infoweb.ne.jp kngw.nt.adsl.ppp.infoweb.ne.jp miex.nt.isdn.ppp.infoweb.ne.jp jcc.ne.jp osaka.ocn.ne.jp fukuoka.ocn.ne.jp shizuoka.ocn.ne.jp saitama.ocn.ne.jp hiroshima.ocn.ne.jp okinawa.ocn.ne.jp aichi.ocn.ne.jp nagasaki.ocn.ne.jp miyazaki.ocn.ne.jp hyogo.ocn.ne.jp tokyo.ocn.ne.jp usr.starcat.ne.jp tkyoea00.ap.so-net.ne.jp osaknt01.ap.so-net.ne.jp kgsmnt01.ap.so-net.ne.jp kcv-net.ne.jp net61215.cablenet.ne.jp kctv2.catvnet.ne.jp cavy6.catvnet.ne.jp dsn.jp ppp.asahi-net.or.jp fstream.net HINET-IP.hinet.net
ぬるぽ ぬるぽ ぬるぽ…
4月1日だったらどうなっていただろう・・・
_,. -─- 、 /\ /\ , -'´ \ / ヽ-―/ ヽ ノ ) ノ ) . , ' 、、 、 、 ヽ. |_______ | // / /////,ハヽヽヽヽヽヽ、ヽ | ち ち | /⌒⌒) l | l l l | ヽゝtxヽ.ヽソl l l | ̄ ̄ ̄ ̄ ̄ ̄ | / N | l,.kエ、`ヘ_丁Yイ|l l | |-=・=- -=・=-``| / `YYヘ,J , '''' l l ll l l| |/ j l ト'' ‐ ノ j レレ ヽ VV / | l l j>- ィ レイ ,>ー----,- ィ レレ´_,.ィ T´ ヽ、 / / / / / |:::| ` ´ ノ::|`ヽ、' / / { /_:_::`ー'__::ヽ、 }/ / l / ){ く  ̄ま }(ヽ〉 |/ l | (::ゝ‐-‐--';:::) l | | ゝ、_彡::::::::::ゞ彡イ l l ノ:::l::::::::::::::::l::{ l l {./ r'^^ヽ、_, -─` ! /::::ヽ、 ______.ノ /:::::::/::::: ̄::::::::::::l:::::', /^ヽ、::::::::::::::::::::::::::l:::::j | `ヽー::-:::;‐'´⌒ l l `YY´ |
117 :
名無しさん@お腹いっぱい。 :03/08/21 15:40
>>113 >>110 のプロバイダがocnと言う可能性も。
ランダムでIP作り出すときに結構な割合で同じプロバイダになるはずだから。
Aで40%だったか?Dだともっと上がる。
>>117 ( ・∀・)つ〃∩ ヘェーヘェーヘェー
119 :
名無しさん@お腹いっぱい。 :03/08/21 15:43
>>106 うちのはぞぬです。
しかもテスト用PC急遽したてて2個パッチ当てただけの笊PC
今の所、別PCからこのPC調べても感染していない模様。
ぞぬの場合Aタイプ持ちの場合相手のアドレスと共に相手のポート番号が出て
うちのアドレス+ポート135(多いのは)で表示が出ます。
ICMP(ping)リクエストで相手のアドレスだけの場合D持ちじゃ無いかと思います。
その中にどさくさに紛れてSlammer(1434叩き)が・・
_
ミ ∠_)
/
/ \\
ウイーン Γ/了 | |
ウイーン |.@| | | ガッガッ
| / | 人
|/ | < >_Λ∩
_/ | //.V`Д´)/ ←
>>111 (_フ彡 /
122 :
名無しさん@お腹いっぱい。 :03/08/21 15:44
>>117 OCNじゃないよ。
件数については、sort -uしてるため、正しくないです
>>122 「ブラスト」除去する新ウイルス「ブラストD」出現
…なんて見出し書かれると警戒しなくなっちゃうよなぁ…なんで
そんな見出しにするんだろ。<升混
ソースあった。
Aの場合
ttp://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html より
3.IPアドレスを生成し、そのアドレスのコンピュータに感染を試みます。IPアドレスは次のアルゴリズムに基づいて生成されます。
40%の確率で、 A.B.C.0の形式のIPアドレスが生成されます。A.B.は、感染元となるコンピュータのIPアドレスの先頭2つの値と同じです。
Cは、感染元となるシステムのIPアドレスの3番目の値に基づいて計算されます。ワームは、40%の確率でCの値が20よりも大きいかどうかを確認します。
20より大きい場合は、Cの値から20未満のランダムな値を差し引いた値を使用します。IPアドレスの計算が終わると、ワームは算出されたIPアドレス(A.B.C.0)に
該当するコンピュータを探して感染しようとします。
その後、上記で計算したIPアドレスの0の部分に1を加え、そのアドレスに該当する他のコンピュータを探して攻撃しようとします。この操作をIPアドレスの0の部分が254に達するまで繰り返し行います。
60%の確率で、完全にランダムなIPアドレスを使用します。
Dの場合
ttp://www.symantec.com/region/jp/sarcj/data/w/w32.welchia.worm.html 6.ワームは感染対象のIPアドレスを2通りの方法で選択します。
1つは、感染先コンピュータのIPアドレスをA.B.C.Dとし、A.B.0.0から順に1ずつ増分したIPアドレスを選択してゆく方法で、
もう1つはハードコード化された状態でワームに保存されているアドレスに基づいてランダムなIPアドレスを生成します。
最初のアドレスの選択後は、Class Cサイズのネットワークの範囲に渡るアドレスを生成します(例えば、最初のアドレスがA.B.0.0の場合、少なくともA.B.255.255まで増分してゆきます)。
7.上記で生成したIPアドレスを持つコンピュータにICMPエコーまたはPINGを送信し、そのコンピュータがネットワーク上で動作中かどうかを確認します。
127 :
名無しさん@お腹いっぱい。 :03/08/21 15:50
ブラスタDの別名は以下のとおり。
W32/Welchia.worm10240 [AhnLab],
W32/Nachi.worm [McAfee],
WORM_MSBLAST.D [Trend],
Lovsan.D [F-Secure]
WINNT\system32\winsフォルダに
DLLHOST.EXE
SVCHOST.EXE
があったらそれはニセモノのウィールスプログラム。
>>119 にあるトレンドマイクロなどのサイトからウィルス削除
プログラムをダウンして実行しましょう。
あるいはセーフモードで起動してタスクマネージャーでDLLHOST SVXHOST
を停止後、削除。
>>106 3連打って同じIPでってこと?
61.18.××
61.18.××
61.18.××
ってな感じで前半は同じで最後が違うIP
で連続でアタックされてるんだけど、これはDでは
ないってこと?
129 :
名無しさん@お腹いっぱい。 :03/08/21 15:53
>>36 これからの新OSはデスクトップにデフォルトでショートカット置いておかなくちゃならんかも。
いちばん上の所に。
130 :
名無しさん@お腹いっぱい。 :03/08/21 15:54
オマエラまだやってんの? 善玉ウイルスが出て全部解決したんだろ?
>>110 のIP Address
211.122.37.* 61.126.125.* 61.126.160.* 61.210.150.*
61.210.152.* 61.210.157.* 61.210.190.* 61.211.136.*
61.211.3.* 61.211.39.* 61.211.40.* 61.211.43.*
61.211.82.* 61.213.132.* 61.213.137.* 61.213.72.*
61.213.87.* 61.213.93.* 61.214.123.* 61.214.124.*
61.214.136.* 61.214.146.* 61.214.185.* 61.214.2.*
61.214.202.* 61.214.221.* 61.214.63.* 61.214.70.*
61.214.96.* 61.215.123.* 61.215.157.* 61.215.169.*
61.215.207.* 61.215.245.* 61.215.255.* 61.215.29.*
61.216.125.* 61.216.126.* 61.216.245.* 61.216.73.*
61.216.74.*
>128 あっ、>106に書き忘れてました。 漏れの場合、ルーターでping返しちゃってるのでポート135叩きの場合です。 その場合、3連続同一IPで入ってきます。 ルーターのping自動返信の解除はマニュアルだの検索したけど有効な方法 見つかりませんでした。 まぁ、ICPMでログが埋まる様を見ないだけまだ幸せか
136 :
名無しさん@お腹いっぱい。 :03/08/21 15:57
ZoneAlarm立ち上げてるんだけど、 (ICMP Echo Request ('Ping')) ってのが、大量に。 以前はあまり見ないメッセージだったけどこれが、Dって呼ばれてる奴なの?
139 :
名無しさん@お腹いっぱい。 :03/08/21 15:59
D、善玉のフリしつつ本当はping打ちまくってネットワークのトラフィック圧迫する悪者だけどな。
>>136 ありがd。まだ調べていてくれたのね。
136的にはどっちがお勧めでつか?<FW
Windows XPデータが送信される確率は80%、Windows 2000データが送信 される確率は20%です。 ってことだけど、XPってそんなに売れているの?
実際にワーム捕獲して、netstat -ano したら面白いです。 流石機械、飽きもせずに努力しとるの〜って感じですね。 隔離LAN内(PC1台のみ)で動いたのは藁たです。 DNSとか無いから適当なの飛ばしまくり。
>>139 その通り。でもマスコミが目を引きやすい「MSBlastやっつけるぅ」の方をキャッチコピーに多用するから、ダブル感染すれば安心と思ってるヤシも実際いるらしい…恐ろしや。
前から思ってたけど、火壁って2つも3つも入れていいものなの?
_
+ ゜: ゜ ≦_ ̄_ ̄─
_ ─ + ≦_ )
≦_ )  ̄≡/
≦_ ≡\ ゝ ̄ヽ /
゜+ : \Γ 了/
|.@|
/| .| \
. / .|ヱ| \ミ  ̄─ ≧_ バシュッ
/ ミ .| .| ( _ =≧ .' , ..
(  ̄ ≧_  ̄ .∴ '
─_ _≧ ゜+ ・,‘ ←
>>146
>135 俗に言うステルス機能ってないか? Ciscoならこれでいけるはず Router(config)# interface <interface> Router(if-config)# no ip unreachables
なにせ設定良く分かんないから、いっぱい入れときゃ安心かと(w テストPCは直結でぞぬだけです。
152 :
名無しさん@お腹いっぱい。 :03/08/21 16:07
outpostはある程度のやる気が必要。(実際には面倒そうな設定は全部デフォ にしておけばいいんだが) 機能は豊富。割と軽い。 zone alarmは初心者向き。細かい設定はできないが、簡単。かなり重いから メモリーの少ないマシンではちとつらい。 注意。FWは複数同時にインストするとぐちょぐちょになる場合あり。特にoutpostは 他のFWを嫌います
>>145 が言いたいのはPC上にと言う事か?
なら、入れてもいいが意味はない。
重くなるだけ。
理想は、方式が違うFWを段階的に設置。
INTERNET >> ルータ(フィルタリング) >> (PCのFW)+(ウイルス防止ソフト)で十分だと思う
>148 漏れのルータークリエの8100Cです。 実はポート135開けてたのは月曜休み明けの祭りに参加したかっただけだったりしてw けど、D祭りが発生して気になってしょうがないのでしばらくこのままの予定
やる気が必要…具体的にどんな点がでつか?
>>150 誘導ありがと。
>>153 そうか、重くなるだけなんだ。
今回のことでFW1つじゃ不安だなーって思ったから。
所で、
>>26 の言うとおり、今回の一連のやつはsynfloodに関係なかったのかな?
もし感染者側から発射されたパケットが偽装物だった場合、
届いた物を調べても駄目ですよね。
それともMSに対するアタック時に偽装物出す予定だったんでしょうか?
もうわけわかんない、アフォですんまそん。
>>157 少なくとも、icmpの部分に関しては偽造しないと思われるし。
俺が見つけたものは偽造してなかった。
icmp偽造したら意味がないだろ?
今回のワームは、pingで相手を確認してからポート135を突付くもの
新しくOSをXPにしようと思った時、 ブラスターやらなにやらに感染しないためにはどうするんですか? だって買ったばかりのOSなんだから当然パッチなんて当たってませんよね? OSのアップデートしてる最中にブラスターとか来ちゃう事だって考えられますよね? じゃーどうすればいいんですか? ルータとかでしっかりポート閉じとけばいいんですか?
>>158 送信先のIP生成と、偽装を勘違いしてるやつがいそうだね
>>159 MS03-007とMS03-026のパッチ2個を誰かにダウソしてもらいCD-Rに焼くかフロッピーに入れてもらう。
んでネットに繋ぐ前にパッチを当てておく。
さらに心配なら市販のノートンとかウィルスバスターとか買っておく。
ってのは?
>>131 >>132 あっそ、ちぇっ。
ところで面白半分にルータのフィルタ甘くしたら
クラスCアドレスなパケが135に来てた。
偽装もするんだねぇ
>>162 来週頭くらいまで待てば量販店でMSパッチの配布はじまるんじゃないっけ?<メディア配布
165 :
名無しさん@お腹いっぱい。 :03/08/21 16:19
>>159 ルータをかます、ってのもあるよん。
うちは全部ルータで防いでるからPFWまで届かない。
>159 ケーブル引っこ抜いてからOS入れて立ち上がったらXPのFW入れれば有効です。 前スレでXPのFWだとポート135スルーされてるって記事があったけど実際には ちゃんとブロックされてるので大丈夫です。 (実験台になって実証済み)
>>159 パッチ入れる直前までケーブル繋がない。
TCP/IPフィルタリングで必要なポートだけ空ける。
168 :
名無しさん@お腹いっぱい。 :03/08/21 16:20
>>159 俺の場合はレンタルモデム(ルータタイプ)が防いでくれた
>>155 ぞぬの場合はインストしたら基本的にそれっきりでいい。
アウポはインストした後で「このアプリケーション(IE6 Jane2ch etc)がネットと
通信したいと言っておりますが、どうしましょ?」とかの窓が出る。IE6などの場合は
「こいつはIE6のようですから、そういう扱いでいいですか?」とか出るが、デフォが
ないソフトの場合は「このプロトコルでこのリモホにこのポートでアクセスするなら
l許可します」とか「今回だけ許可します」とかの選択肢を選ぶことになる。「システム」
とかの設定はデフォのままでいい。見た目ほど難しくはないんだが、見た目でやる気
なくす香具師もいるというハナシw
ここは頭のイイ方がいっぱいいるインターネッツでつね。
>>166 あ、やっぱり防いでましたか。
うちもブローバンド側とダイヤルアップ側両方やってみましたがその時は感染無かったです。
解いた途端に感染。
お陰で2匹捕獲できました。
コードグリーンはまだどこかに生きてるんだろうか・・・。
いま雷が鳴ってるんですが、やっぱりインターネッツの影響ですかね・・・。
>>172 ブルーまでは聞きましたがそんなのまで!
>>166 それあれだろ、デフォじゃないだろ? 135弾く設定にしないとダメじゃないのか?
デフォじゃ135開いてるって記事が出てたぞ。
みなさんありがとうございました びびらないでXP買います
>>169 そりは…通信毎に許可不許可を聞いてくるから最初は根気要るよ…という解釈でよいのでせうか。
見た目は大丈夫だと思いまつ…アイコンだけですっきりより文字がだらだら表示されてる方が好きな人間なので。(w
この機会に機種変更して不要となったブロードバンドルータを知人に購入させようとたくらむオイラ
>>175 OSのFWに機能にそんな機能はない!!ヽ(゚∀゚)ノ
>>175 うちはインターネット接続ファイアーウォールにチェック入れただけでした。
1時間立っても何故か感染せず。
外したら5分立たずに感染しました。
Filter: Packet Protocol: ICMP source IP: 133.27.16.132 (woodstock.educom.sfc.keio.ac.jp) ICMP type: 8 Match static filter, DISCARD. ac.jpで検索したらこんなのがあった。
>>181 感染されると予測できてながら敢えてはずしちゃうその勇気をたたえよう。(・∀・)
>>175 話をループさせるな。
あれは記事のほうが間違ってるんだから。
つかデフォで弾いてないなら135追加してチェックはずせばいいじゃん
188 :
名無しさん@お腹いっぱい。 :03/08/21 16:32
セットアップ仕立ての無防備なXPの場合は outpostなりznを、あらかじめCD-Rに焼いておいて ネットにつなぐ前に、インストールしとけということだね。 そうすりゃ、ルータ買ったり、市販FW買わずにすむのか。
>>183 ほ、捕獲の為であります!
捕獲後即効でケーブル引っこ抜きますた。
>>182 慶應ですね。
結局外部からのPC持込感染なのかな?
学生の嫌がらせだったら怖い(w
所で運ドーズってRPC落とすと動かんの?
>175 何にもいじっていないのにこんなの出ました。 2003-08-21 13:09:58 DROP TCP ***.***.**.** ***.***.*.*** 2701 135 48 S 2477320100 0 16384 - - - 2003-08-21 13:10:01 DROP TCP ***.***.**.** ***.***.*.*** 2701 135 48 S 2477320100 0 16384 - - - 2003-08-21 13:10:07 DROP TCP ***.***.**.** ***.***.*.*** 2701 135 48 S 2477320100 0 16384 - - -
>>178 そーゆーひとならoutpostでつ。おもいっきしだらだら文字が読めますよん。
ゾヌは「通す、通さない」だけだが、アウポはいちいち細かいルールを作ろう
とします。普通は徒労なんだが、場合によって役に立つことも。あとアウポ
は広告弾いたりするフィルタがついてきます。これもデフォで有効にしておく
だけでOK。けっこう役に立ちます。
>>194 そか…じゃあoutpostにしてみまつ。
ソフト入れる前に使用感が分かるってありがたい…参考になりまつた。
ありがd。(´∀`)
そして
>>195 はport135を開けたまま感染しましたとさ
9x系に感染するってネタでしょ?
200 :
名無しさん@お腹いっぱい。 :03/08/21 16:55
>>175 など
Windows XPのファイアウォールはport135をcloseするのに有効です。
ただし、このファイアウォールはデフォルトでは無効になってます。
有効にする手順は以下のとおり。
コントロールパネル→ネットワークとインターネット接続→普段使っている
接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
「コンピュータとネットワークを保護する」にチェックを入れる→(゚д゚)ウマー
MSもこれからはデフォで有効にして出荷するとか。初めからそうしとけってw
1982年1月 Microsoft は Apple と Mac用ソフトウエア開発に関する契約を交わし開発用にプロトタイプの Macintosh を貸与される。 ビル・ゲイツはその際「Mac上で動く最初の製品はMicrosoftが出す」と明言、しかし裏では Windows の開発を始める。 1985年 Windows 1.01 発表直前、Appleから起訴されることを懸念したゲイツは Apple に対し起訴した場合 Microsoft は Apple用のソフトウエア「Word」「Excel」の開発を中止すると脅す。 1988年3月 AppleはMicrosoft に対し「余りに Mac に似すぎている」としてサンホセ連邦裁判所に起訴状を提出、 対して Microsoft は1985年の契約で使用権を譲渡されているとして反訴する。 1993年 連邦裁判所、Appleの申し立てを却下。 司法取り引きにより Microsoft は以前に別件で起訴されていた裁判での有罪を認める見返りに、この件をチャラにしてもらったとも言われている 2003年8月 ・・・
I just want to say LOVE YOU SAN!!billy gates why do you make this possible ? Stop making money and fix your software!! ↑ これって亜種にも書いてあるの?
ネットワークとインターネット接続以下が無い・・ 初期設定なら出てくるのかな? ちょっとやってみよう。
>>204 分かった。
クラシックスタイルでパフォーマンス優先の設定にしてるからだった。
結局インターネット接続ファイアーウォールにチェック入れるか入れないかじゃん。
同じ事だね。
マイネットワークを右クリック、プロパティをクリック。 ローカルエリア接続又はダイヤルアップ接続を右クリック。 プロパティをクリック、詳細設定のタブをクリック。 インターネット接続ファイアーウォールにチェックが有るか無いか。 初期設定ではチェックマークが入って無いので簡易ファイヤーウォールはOFFの状態。
>>203 XPのファイヤーウォールどこだあ? 以下の方法も試してくださいでつ。
スタート→設定→ネットワーク接続
スタート→接続→全ての接続の表示
スタート→マイネットワーク→ネットワーク接続を表示
208 :
名無しさん@お腹いっぱい。 :03/08/21 17:22
>>207 さんくすです。
インスコ後は即効でクラシックスタイルにしてるから分からなかったです。
で、普段は 接続時に通知領域にインジケータを表示する にチェック入れてますので
設定変えるときは、タスクバーのネットのアイコンを
右クリック、状態をクリック、プロパティをクリック・・・
ってな手順でやってたです。
普通はwindows標準付属のヘルプでわかるよね ご丁寧に、自動で開いてくれるし。
っつか、XPをルナのまま使う人が多いのだろうか?
LunaでないとXPて感じがしない
結局、はじめてXPを触る人には分かり難い所に簡易FWの設定があるから 余計いかんのじゃないかと思う。
あんなの使わないほうがいいとおもう
215 :
名無しさん@お腹いっぱい。 :03/08/21 17:31
素朴な疑問? Blast Aはともかく、Dの場合、おじちゃんおばちゃんらの初心者には、縁者にPC通がいなければ、感染したこと自体分からんでしょ? 年内は、ping打ちっ放しvirusばらまきっ放しってことなんだろか?
>>212 ハゲドウ。Win2kからのうpで最初慣れなかったけどな。
NT4.0に比べれば屁でもない。
ここのやつはスタートメニューにあるヘルプとサポートを使ったことがないのかと 小1時間といつめたい
>>217 あんなわかりにくいヘルプとサポートはないぞ
>>215 まあ、そういう事だな。
ジジババにPC持たせたクソPC教室にも責任あるよな。
ア●●だっけ?個人情報まき散らせたの。
220 :
名無しさん@お腹いっぱい。 :03/08/21 17:33
>>215 2004年に一度も電源を入れる機会がない
↓
2005年になる
↓
「久しぶりに使ってみるか…」
↓
(゚д゚)ウマー
そういえば、我が家に数ヶ月電源を入れていない2000マシンがあるな
>215 正解 しかし、このウィルスが根絶するのかなり無理っぽい。 マスコミで報道しまてももこれは自分には関係ないとしか思ってないだろうから
>>222 の続き
↓
(゚д゚)ウマー
↓
でも使い方良くわかんないから孫にやるか。
↓
孫(゚д゚)ウマー
↓
でも他にもあるからオクに出すか。
↓
孫(゚д゚)更にウマー
テストPC削除して普段使用のPCに変えます。 サラバ皆様。 おじゃましますた。
229 :
名無しさん@お腹いっぱい。 :03/08/21 17:40
おいおい! Dの自動消滅は、= 2004なのか? ≧2004ではないのか? だれか実験してくでぇ!
80番ばっかpingされるのはナゼ?
膨大な糞pingパケが当分、帯域を圧迫するわけでつね。腹立つなーアフォMSめ。 ところでDはホントに自動消滅するの?
>>231 内部時計2004年にして再起動で消してますってどこかで見たな。
>>228 自分が捕獲したのはFDに隔離してあります。
ちょと外に出すのは恐いので・・
他のスレでどこかにうpされてました。
何処か探して見ます。
80番のpingはあんまり騒がれないけど問題ないの
237 :
名無しさん@お腹いっぱい。 :03/08/21 18:05
239 :
名無しさん@お腹いっぱい。 :03/08/21 18:05
日本でBlast Dが蔓延してるのは、英・中・韓語のパッチしか当てないから?
241 :
名無しさん@お腹いっぱい。 :03/08/21 18:07
>>234 それ、そのとおり! Dに感染したらハングした。2ch見てたら突然カキコ
できなくなって気が付いたぞ。それでタスクマネージャー見たら(ry
243 :
名無しさん@お腹いっぱい。 :03/08/21 18:09
>>236 > 80番のpingはあんまり騒がれないけど問題ないの
「80番のping」って何だよ??
245 :
名無しさん@お腹いっぱい。 :03/08/21 18:16
友人のマシンから駆除完了。 Outpostも入れたから、これからは余り心配なさそうかな。
246 :
名無しさん@お腹いっぱい。 :03/08/21 18:18
>>237 Sobigが書き込む値はこれ↓だから
"TrayX"="%Windir%\winppr32.exe /sinc"
たぶんSobigではないだろう。
Igfxがなんというアプリかわからんが、「窓の手」か何かで
自動実行プログラムを調べて見れ。心当たりがないプログラムが
自動実行に入ってるようだったら、ad-awareかspybotのような
スパイウェア除去ソフトを走らせてみ。
>>245 なぁ、なんでそんなこといちいち書くの?
心の中で思っとけ
>>245 でもそういうヤシに限って
ぁゃιぃ添付ファイルをポチっと(ry
250 :
名無しさん@お腹いっぱい。 :03/08/21 18:20
すんません、pingがバンバンくるのはこのウイルスのせい?社内なんだけど。
>>239 それはどうかな。
Dに感染してからパッチ当たっても、明示的に駆除しない限り2004年までは活動を続けるから。
つまり、日本にはセキュリティーに無関心な利用層が多いってことの表れじゃないか。
後はそういう層に無責任に売りつけるショップの多さの表れか。
>>244 の補足
[263795] VGAボード取り付けたら起動時エラー
ってとこから読むと・・
>>249 言うと思ったバカ
オマエが書かなきゃ、俺も書かねぇんだよバカ
>>244 さん
>>246 さん レスありがとうございます。
どうやら、
「igfx Tray」は、
>>244 さんのリンクによると、
インテル8XX系統のグラフィックスドライバの一部らしいです。
とりあえず、
>>237 のウィルスではないようなので、一安心です。
どうも、失礼しました。
257 :
名無しさん@お腹いっぱい。 :03/08/21 18:26
>>237 スマソ。かぶった。
>>244 のリンク先が正解と思われ。ビデオドライバ関係
だったら窓の手で覗いても出てこないわな。
260 :
名無しさん@お腹いっぱい。 :03/08/21 18:30
そろそろネタ切れかな・・・・・・
262 :
名無しさん@お腹いっぱい。 :03/08/21 18:36
ネタは切れてもport137へのアタックは止まらないっすねぇ。
訂正。 port135。 …25を9連打されたのって何かしら?
そういえば、書籍や雑誌でWindowsupdateの自動通知を切ることを推奨してる のってあるのかな 特に初心者向けの雑誌で書いてあったら面白いんだがw
>>264 漏れのバイブル、ネットランナーのハッカー向け推奨設定ですが?
apacheのログ汚すなバカー
267 :
名無しさん@お腹いっぱい。 :03/08/21 18:45
リアルタイムでWindowsUpdateを追跡してみたら 更新チェックする時は443(https)で通信してるんだね。 そんな大切な情報なの?
>>267 シリアルとか無作為にファイルネームとか送ってるから。
あとアプリの使用状況も。
270 :
名無しさん@お腹いっぱい。 :03/08/21 18:50
「きじゃくせい」って何?
273 :
名無しさん@お腹いっぱい。 :03/08/21 18:56
わしのXPは、windows updateまともにかましたら、突然死症候群頻発。 自分に関係ありそうなヤツを恐る恐る落としてる(情けなか
SP3を当てたらネットワークプリンタが死んだ
ログ見てると時折port445にもアタック来てるんだがこれは何?
ピングーってなに?
>>278 青色のやつ?
あれがネットを跳んでいくのね
>>277 今ミスドで釣りしてるペンギン。妹はピンガ。友達のアシカはロビ。
ポングーのお兄ちゃん
283 :
名無しさん@お腹いっぱい。 :03/08/21 19:07
ルーターのログ見たらTCP135とTCP445が99:1ぐらいの割合でたたかれてます!! 助けて!!なにこれ!!
それはペンゴ
やっぱりネタ切れじゃないか・・・・・
287 :
名無しさん@お腹いっぱい。 :03/08/21 19:09
TCP135ってなんなの!?ブラスターってやつ!? 俺様、サーバー立ててるから怖いの>< パッチなんてあてたことないし。 ファイアーヲールなんて使ってないし!><
pingは止んだんだが…急に1214で一杯になった。何だ? 2003/08/21 18:58:36 69. 0.x.x:xxxxxx.snet.net: 3670:1214:KaZaa peer-to-peer file sharing 2003/08/21 18:58:11 217. 98.x.x: : 1643:1214:KaZaa peer-to-peer file sharing 2003/08/21 18:58:05 24.114.x.x:xxxxxxx.cpe.net: 4212:1214:KaZaa peer-to-peer file sharing 2003/08/21 18:57:26 213. 77.x.x:xxxxxxxxx.co.uk:13355:1214:KaZaa peer-to-peer file sharing 2003/08/21 18:57:20 68. 42.x.x:xxxxcomcast.net: 3613:1214:KaZaa peer-to-peer file sharing ↑ずっとこんな感じ。ルータ+FW使用でつ。 もしかしてまた亜種ですか???(´Д`;) (早とちりだったらスマソ。
290 :
名無しさん@お腹いっぱい。 :03/08/21 19:15
>>289 kazaa 1214/tcp KAZAA
kazaa 1214/udp KAZAA
,/ヽ ,/ ヽ ∧_∧ ,/ ヽ ( ´∀`),/ ヽ ( つつ@ ヽ __ | | | ヽ |――| (__)_) ヽ  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄| ヽ /⌒\/⌒\/⌒\/⌒\|彡~゚ ゜~ ~。゜ ~ ~ ~ ~~ ~ ~~ ~ ~~ ~~ ~~ ⌒\/⌒\/⌒\/⌒\/⌒\彡 〜 〜〜 〜〜 〜〜 〜 〜
|`丶 |. \ | \ | ∧_∧ ヽ |.( ´∀`) ◯ ○( ) /'・ヽ |.| | | ';ソ;!;;ノミi . (__)_).∠ゞ
2003年8月21日 18時25分23秒 フィルタ 217.184.55.x --> xxx.xxx.xxx.xxx TCPポート:135 FLAG:11 2003年8月21日 18時25分17秒 フィルタ 218.45.165.x --> xxx.xxx.xxx.xxx TCPポート:135 FLAG:11 2003年8月21日 18時23分53秒 フィルタ 216.97.226.x --> xxx.xxx.xxx.xxx TCPポート:135 FLAG:11 2003年8月21日 18時23分47秒 フィルタ 216.97.226.x --> xxx.xxx.xxx.xxx TCPポート:135 FLAG:11 2003年8月21日 18時23分44秒 フィルタ 216.97.226.x --> xxx.xxx.xxx.xxx TCPポート:135 FLAG:11 2003年8月21日 18時21分26秒 フィルタ 220.104.115.x --> xxx.xxx.xxx.xxx TCPポート:135 FLAG:11 2003年8月21日 18時21分20秒 フィルタ 220.104.115.x --> xxx.xxx.xxx.xxx TCPポート:135 FLAG:11 2003年8月21日 18時21分17秒 フィルタ 220.104.115.x --> xxx.xxx.xxx.xxx TCPポート:135 FLAG:11 2003年8月21日 18時19分33秒 フィルタ 67.81.229.x --> xxx.xxx.xxx.xxx TCPポート:135 FLAG:11 こんな感じに着ます!!これは一体!?まさか・・!?
俺の周りの人は揃いも揃ってFWって何?Windows Updateって何?って感じだよ。 60秒ルールに大慌て。
>>297 ブラスタさんが135をつんつくつんです。
>>298 食べ物落ちても、5秒以内に拾って食べるならセーフというルールと良く似てますね。
自分でなんとかしようとしない人に、ポートがどうこうなんて理解出来るわけがない。 慌ててウィルス対策のソフト購入して、それだけで安心しちゃってるような人も無理。
>>301 『自分ルール』ってやつですな byかってに改造
>>301 うちは子供にテーブルに落ちた飯はセーフ。
床に落ちたらアウトと言ってます。
テーブルに落ちたの食べて下したら振り逃げ失敗でアウト。
で、おかんが薬箱まで盗塁。
おもしろくない・・すまそ
ってか、ピアトゥピアって何?
>>300 ありがとう!
[メルコの無線LANルータ/ADSLモデム](ここが破られたら・・!?)
|
|
========================
| | |
| | |
[web鯖/samba/Linux] [Windows2000SP4!!] [WindowsXP]
この構成てやっぱまずいかな!!
>302 プロパが感染している香具師に警告出して、改善しなかったら強制停止処分とかに すれば減るかもしれないけどそこまで強行に出来る所ってあるのかなぁ
>>307 鯖立ててその質問・危機意識は・・・。
釣りだという事を願っておこう。
312 :
名無しさん@お腹いっぱい。 :03/08/21 19:40
>>308 CATVのISPは強制切断の予告をやってるね
命知らずのチャレンジャーがいるな
>>308 意外と警告・通知して欲しいユーザー多いかもよ。
感染してるのか、ちゃんと直ってるのか正直分かってない人も居るかもしれんし。
CATVとアホーはマジでヤバイからねぇ・・
>>315 マジで?
だからかな〜、友達がPingアタックが激しく
くる〜って泣いてた。ちなみにそいつJ-com
これの関係でプロバの鯖がすごいことになった。 そのせいかわからないけどルータが暴走してモデムを落として しまうようになったらしくて、今日からモデムに暫定的に直付けにしたとたんに YahooBBの人からドア叩かれますた。 直付けは初めてなんですが、AVG、Outpost、SpywareBlasterで 当面のセキュリティは大丈夫でしょうか。
>>314 警告しても改善されない場合はCD送付とかすればいいしね。
結構効率的に減らすことできるんじゃないかな?
webサーバ立ててるけどkernelもapacheもパッチあてたことないし〜!ぷぷっ まんどくせ!っし〜。windowsならspのパックをインストールすれば勝手に やってくれるけど〜、linuxは手動だからいいや!(^_^)v 釣りでもなんでもないよ!まじこういう人多いと思うんだな〜!!
>>317 ルータあった方がいいけど。
Winのパッチ、FW、ウイルスソフト入れとけばほとんどワーム・ウイルスは防げますね。
>当面のセキュリティは大丈夫でしょうか。
どうでしょうね。ネットに接続している限り絶対安全というのはありえないので。
>>320 訴訟起こされても知らないよ(´∀`)
まぁがんばって。
80番はポートスキャン言うのか? pingとちゃうの? 80ポートスキャン増大中
よく知らんけどアホーべーべーって認証とかないんでそ? やりたくても接続拒否も出来ないんじゃないの?
>321 レス有難うございます。 パッチも全部当ててます。 とりあえずプロバの人がルータを持ち帰って検証してくれるので、 その結果が出るまでか新しいのを買うまでの間、という感じです。 確かに、絶対安全は無いですよね。 数日間なんとかこれで持ってくれたら・・・。
1位 ICMP 2位 RPC 3位 ワーム 4位 DCOM 5位 プロトコル
323 WebDav(TCP80)経由で進入を試みてると思われ 漏れもKPFのチェック強化するとスゴい数のポート80叩き記録されてますた。 (これはルール無しでも強制廃棄されてます。)
あっ、アンカー入れ忘れてた。 ちょっと補足 WebDav経由の進入はIIS 5.0入ってないと無効なのでふつうは問題ないです。
もうウィルスいやや〜・゚・(つД`)・゚・ 情報収集&対策で時間がどんどん消費されてく・・・_| ̄|○
>>333 日頃から情報収集やっとけばいいんです。
夏休みの宿題みたいに一気にやるから大変なんですよ(´∀`)
>>334 普段みんなどんなとこで情報収集してるの?
338 :
名無しさん@お腹いっぱい。 :03/08/21 20:32
インターネットオプションでセキュリティーを高に設定して クッキーをOFFにすれば完璧ですよね?オレって天才?
80番叩くのが激増してるんだけど、これは何?
341 :
名無しさん@お腹いっぱい。 :03/08/21 20:37
パソコンをネットに繋がなければセキュリティは万全
>339 >330-332
>>337 お気に入りに登録しますた。
ありがとう。
今80叩いて来たのをまさぐったら(w 22が開いてるんですが・・・
>>345 それがね、開いていないんですわ・・・何だろーね?
>>346 ホントありがと〜。
多謝多謝。
毎日1回は見るように習慣づけるよ。
2003/08/21 20:55:28 IP_Filter REJECT UDP 192.168.*.*:137 > 192.***.*.*:137 (IP-PORT=0) 今日になって137ばっかり・・・
>>350 感染PCが無いことが前提ですけど。
LAN内にwinマシンが2台以上有って、ファイルの共有してないです?
netbios over tcp/ip が生きてたら異常の無いマシンからでもLAN内部にパケット出てるみたい。
これをカットすると共有が出来なくなる。
カットしても共有出来る方法はないのかな?
よそのPCからのパケットでしたらスマソです。 読み流して下さい。
ping全然減らない。むしろ増えてる・・・
MS03-026は必須ってよく聞きますけど なんか上のほうのレスでMS03-007も入れとけってあったんですけど 入れたほうがいいんですか? それともこれも必須?
>>356 もちろん必須。
ってかWindows使うならWindowsUpdateに行って重要な更新は全部入れといた方が良い。
例えPCが使用出来なくなるトラブルが有っても。
と、某MS幹部が過去に発言したようです。
昨日は1分に5回くらいきたけど 今日はゼンゼンこないYO!<Ping 祭り終了?
>>357 言葉足らずでした
一応重要な更新は全部入れてありますが
>>162 を参照にして
万が一リカバリなどをしたとき
(WindowsUpdateするための)ネット接続前に
入れておいたほうがいいのかなと思ったしだいで
361 :
名無しさん@お腹いっぱい。 :03/08/21 21:48
1434ガンガン叩かれてる奴いる? それも、みんなアメリカ。 135は減ってきたんだが…。
>>361 SQL Slammerでは?> 1434
今回は韓国は大丈夫か?
>>365 レスありがとうございます
リンク先も参考にします
>>371 まるで某社のリコール騒ぎのような。
我が愛車は菱形エンブレム付き。
>>369 今回はAでアジアをリードしてたみたいですけど、日本に次第に追いつかれて
遂にDで日本に大差をつけられて落ちていきました。
>>362 >>365 THX!
IE起動→フリーズ→再起動×6回。
ググれなかった…助かったよ。
>>372 面白いページを教えてくれてありがとう
ところで、Current Indexって何?
さっきログ見たら10秒ごとにアクセスされてるよ… 主に135と80 ルーターの中の人も大変だな
祭り?祭り?AA略
大体3回ですよね? 100回も200回もつつかれるのは…
ポート0ってなんだ、135、137にマジってポート0を頻繁に叩かれてる
Top 10
http://isc.sans.org/top10.html 135 DCE endpoint resolution
445 Win2k+ Server Message Block
137 NETBIOS Name Service
1434 Microsoft-SQL-Monitor
80 World Wide Web HTTP
1433 Microsoft-SQL-Server
443 HTTP protocol over TLS SSL
34816
17300 [trojan] Kuang2 The Virus
139 NETBIOS Session Service
ここ半日くらいICMP(2048)が毎分2個くらい着実に来ている。減る様子なし。 Dの最盛期には感染PCはリソース使い果たしてすぐにハングしていたが… 周囲のPCが対策が進む→バックドアが作れなくなる→tftp接続できる相手が なくなる→ハングしないで孤独にいつまでもpingしつづける→( ゚д゚)マズー これじゃ当分ping嵐はなくならんわ。
>382 その記事のCATVのユーザーでつ。 かなりすごいことになったです。 まだ未検証ですがルータにも過負荷な状態になって壊れたのが あったようです。漏れのもその可能性があるんで、今日プロバの人が 検証するために持って帰りました。 モデム直つけなのでFWのログがそこそこすごいとに・・・。 感染していることをプロバから連絡したユーザーのほとんどは 無自覚で、Dの感染に気が付いていなかったらすぃ。
>>387 素朴な疑問ですが。
個別のユーザーにグローバルIPアドレスがリースされていたんでしょか。
>>382 うちケーブルだけど平気
同じISPからping打ってくるヤシは多いけど
て優香プロバも一時的にでも135閉じれば良いのに
>>387 ルーター壊れたって、どのくらいの頻度でパケット飛んできてたの?
ここ3日10回/分で来てるけど、なんかルーター壊れそうな悪寒…
ルーター過負荷で破壊ですか。 以前news23かなんかでカエルって人(だったかな)がFWがある時は壊すとか言って 笑い物(侵入-乗っ取り-痕跡消去じゃねぇのかよ!)になってたような気が。 バッカーズ所属だったかな?(もう忘れた) あれは本当だったのか。
catvって基本的にプライベートIP割り当ててなかったっけ?
っつか、蟹さんが使われてるルーターで(最近は多いよね)放熱悪くて、 今回の連アタとかで多重に障害重なってコケタとか。 もしそうなら、うちのルーターも蟹さん入ってるんで心配。 ガワあけてヒートシンク張り付けようかな。
>>390 まさかハード的に壊れるわきゃないw
過負荷でルータのプログラムのバグが発見されるってことはありそう。
それでプログラムをアップデートしようってんじゃないの?ファームウェア
入れ替えるのはネット経由じゃできないからな。
蟹って何カニ?
>388 そのような仕様だったはずです。 >389 ブロードバンド対応の初期のルータなのでログが取れなくて 正確にはわかりません・・・。ルータがあったときはこの騒ぎは 蚊帳の外だったのに直にした途端>389さんと同じような頻度で135が 叩かれてるんで最盛期はかなりだったのではないかと想像してます。 昨日からポートを閉じたという説明でしたが、夜になって1時間くらい 不安定になったト思ったら、勝手に接続が切れるのが断続的に出て ルータがおかしくなったので今日サポートに来てもらいました。
397 :
名無しさん@お腹いっぱい。 :03/08/21 22:57
今日はアナログより遅いしおかしいと思ったら、 ルーターが激しく点滅している・・・ IP網がおかしいのか?カスタマーは繋がらない。
>>394 やっぱし。
バグ発見ってのはありえますね。
一ヶ月くらい前にルータを買って、たまに再起動することはあれど ほぼずっと電源付けっ放しなんだけど・・・ 数時間使わない時(寝る前とか)は、切っておいた方がいいのでしょうか? なんかここ見て不安になってきました・・・。
>394 その可能性はありかも。漏れのルータは自前で、ネットでファームウェアが 更新されたのは半年前だったし、3年も使っているし。 他に完全に機能しなくなったユーザーがいたとかで、検証のために サポートの人に貸しますた。 あと、集合住宅なんですが、建物の入り口のモデムも交換してた。 漏れの部屋のモデムも交換・・・。 まだ確定してないけど過負荷によるモデムの不具合とルータの不具合が 重なった可能性がある、と言っていたので、検証の結果を必ず 教えてもらえるようにお願いしますた。 インフラが小規模のところには、Dは迷惑かけまくりのようです。
今バスターでウイルス検索かけたら以前落としたWORM_MSBLAST.Aの サンプルが何故かテンポラリに残ってて「まさか感染!?」とちょっとビビリますた。 もちろん隔離の上、削除しますた。
>399 有難うございます。 良い勉強になっています。
>>402 捕獲したブツはFDに入れて厳重管理して、
上司に「良いサイトに繋がりまっせヒヒヒ」と言って献上する。
ってのも無し。
406 :
名無しさん@お腹いっぱい。 :03/08/21 23:16
>>405 俺ならこうするな!
FDかCDに焼いて、ラベルにこう書く
「18才未満閲覧禁止! 危険です」
そして、会議室の隅にでも置いておく。
>>406 その案頂き!
但し今回のワームはパス。
ジョークソフト入れてたらおもろそうでんな。
ある意味オヤジ狩り。
>>408 それが一番ありえるシチュエーション(藁
あれ〜、アメリカの病院に80番ポートにアクセスして繋がってるんだろ した覚えもない( ・ω・)モニュ? 2003/08/21 22:49:45 NAT RX-INFO TCP Synchronize Flag OFF : TCP 63.225.118.145 : 1938 > *.*.*.* : 80 (IP-PORT=1)
あ、外からのアクセスでしたか。
すびばせん。 ルータがinboundのパケットぜんぶdropしちゃってても いわゆる高負荷って状態になるんでしょうか。
>>410 アメリカの病院=踏み台1
もまいのPC=踏み台2
>>414 分かんないのにレス。
分かんないです。
ATTACK Rejected Smurf, WANtoLAN, ICMP が増えてきたでつよ
>>417 すびばせんです。もうちっと、がんがってしらべてきます。です。
#どうでもいいけど「ツスコツステムズ」って誤植なんとかならんのか>ラベル
>>418 別に増えてないかも
でもアメリカから漏れの80番ポート
に繋がってるのが気味悪い
421 :
名無しさん@お腹いっぱい。 :03/08/22 00:02
なんか急に重くなってきた_| ̄|○
>>414 ルータはソフトがしっかりしてりゃどんなに大量のパケットを拒否しようと
それだけでは問題ない。問題は…
1 糞パケで帯域が占領されてしまう場合。これはアナログ時代は
深刻だったが、ADSLになってからはあまり問題にはならない。毎秒12M
の糞パケを送りつけるのは大変だw
2 ソフトが予期してないようなパケットの送りつけられかただった場合。
これは要するにソフトのバグだからいろいろな場合がある。一秒にpingが
十個来るとバッファが溢れてしまうようなプログラム書いてたとかw
どうやら祭りは終息かもしれない。 135叩きの数 8/19: 7669 20: 7553 21: 3788 数で減っているだけではなくて、 昨日の15:31を境にそれ以後叩かれた回数は0。 あ、プロバはYahooBBね。
>>419 まだ分からないけどレス。
ルーターが熱くなってたら高負荷。
あぁ〜やっぱり駄レスしかできない、スマソ。
って見てたら、
>>421 が答え出してた〜
>>422 うちの所、回線の速度、1Mくらい落ちてる。
でもまだ良い方なのかも。
あぁ〜ルーターのログが増えてきてる。
目が回りそうなので、もう見ないことにしますた。
>>410 なんで病院と分かったんでつか? IPだけではUS Westにつながってる誰かとしか
分からないでつが…
14日のような大規模な停電がまた起きないかぎり、ウイルスやワームの感染を防ぐ絶対的な手立てはない、という専門家もいる。
昨日出てたMDACのって特定のブロードキャストリクエストを受信して ブラスターと同じように感染されちゃうような穴ってこと? で、2000以降はMDACが標準で入ってたりするってこと?
431 :
名無しさん@お腹いっぱい。 :03/08/22 00:24
>>424 漏れもYBBだが、おおむね同様の傾向。21日の午後4時以降135はナシ。
だが、pingはがんがん来てるぞ。BlastAは消滅したが、Dは健在ということじゃ?
どさくさに紛れて1243突付いてくるヤシが増えた
昨日、うちの会社で蔓延した。 みんなで一斉にWindowsUpdateを実施した。 WindowsUpdateへのDDoS攻撃ってこのことだったのか?
ドサクサに紛れて135をスキャンしてたけどPingじゃ紛れる気もおきない。
D自体は悪さはしないんでしょ?
>>272 9月中旬頃、北極星を正面にしたとき
南南西の方向に見える5等星ぐらいの星。
輝雀星のことだろ。
>>421 うみゅみゅ。再送するから網側に負荷がかかるって
ことでしょうか。でも Unreachableを返すと
「ルータコワレタヨー」ってなことにならないかと
心配でして。
>>423 ってことは、どうしようもないって感じですね。
バグってことであればパッチ待ちしか対策が
なさそう。
うー。ぶらすたー嫌い。
#激重?
あ、
>>440 で思い出した。
子供に火星みせちゃる約束忘れてた。
明日望遠鏡買わないと・・
ってマジレスすると脆弱性(ぜいじゃくせい)ですね。
もう頭が回りませんので寝ます。
皆様良い夢を。
本日、すべてping。1時間あたり300個 しっかし、今回の騒ぎで全世界の個別のマシンに繋がってることを実感できて嬉すい
>>432 ナルホドー、そうかもね。
漏れのところではpingはステルスに
しているので、ログ取ってないんだ。
>>444 多いね〜。
俺のところは200/h→100/h
くらいに減ったけど、また増えるかもしれないし
相変わらず不安さ。
137が増えた気がする。
449 :
名無しさん@お腹いっぱい。 :03/08/22 00:56
2003/08/22 00:35:01 NAT RX-INFO TCP Synchronize Flag OFF
: TCP 61.200.160.194 : 80 > ***.***.***.*** : 1475 (IP-PORT=6)
>>410 とは違いますが、これも踏み台にされてるんですか?(´・ω・`)
450 :
名無しさん@お腹いっぱい。 :03/08/22 01:04
AはともかくDは表だった症状薄いからなぁ。 微妙に減った気もするけど、相変わらず135を3連打される。 1時間で160回ぐらいか。 いつになったら落ち着くんだ…?来年になって自滅するまで、じゃないよねぇ…。 スラマーはマシンが死ぬし、サーバが攻撃対象だったから修復する側も知識&自覚あったけど、この緩慢に攻撃するウイルスは…厄介だ。 pingに関してはルータのログに残らないっぽいんでわからん。port80は時折つつかれるけど。
一分に1回ペースかな、今は。<ICMP あとはたま〜に135と137。 確かにだいぶ落ち着いてきたみたいですね。
>>450 ついでに80もつつかれると言う事は、飛んでくるICMPに対して取り敢えず応答してまってる
がなとおもうがな。
今夜のPingは130/h... 減ってる。
彼はセキュ板のせいで疑心暗鬼に囚われた犠牲者です。
456 :
名無しさん@お腹いっぱい。 :03/08/22 01:40
DCOMを無効にすれば防げると言われたんですが、ファイルを 探しても見つかりません。Win98には入ってないのですか??
457 :
名無しさん@お腹いっぱい。 :03/08/22 01:46
2時過ぎたら急にピタっと止んだ。
NetBIOSに漢字でフルネーム入れてる人がいる ((((((((((((((((((( ;゚Д゚))))))))))))))))))))))ガクガクブルブル
>>459 え?もしやその漢字は2文字だったりする?
フルネームと言う部分を見落としていた 誤爆自爆大爆発すまんです、天国に逝きます
ADSLモデム交換に伴いルータ外してモデム設定をする機会があったので、ついでにそのままネットに接続。 Echo Request→Echo Reply→135/TCP侵入の手順が確認できました。 まあ他の人が何度も指摘したとおりの結果なんですが、折角なのでNISのログ貼り付け。 2003/08/22 02:53:56 インバウンド ICMP 要求 ローカルアドレスは (219.104.C.D) リモートアドレスは (219.104.A.B) メッセージタイプは「Echo Request」 2003/08/22 02:53:56 アウトバウンド ICMP 要求 ローカルアドレスは (219.104.C.D) リモートアドレスは (219.104.A.B) メッセージタイプは「Echo Reply」 2003/08/22 02:53:56 インバウンド TCP 接続 ローカルアドレス、サービスは (219.104.C.D、epmap(135)) リモートアドレス、サービスは (219.104.A.B、1598) プロセス名は "C:\WINNT\system32\svchost.exe" 2003/08/22 02:53:57 詳細: このコンピュータに対する侵入 「MS_RPC_DCOM_BufferOverflow」 の試みを検出して遮断しました。 侵入者: 219.104.A.B(1598) 危険度: 高レベル プロトコル: TCP 攻撃された IP: 219.104.C.D 攻撃された ポート: epmap(135)
金 賢
>>463 パケットキャプチャして貼り付けてくれないと面白くないな。
Blasterで接続に障害が出てるプロバイダーって有りますか? うちは地方ケーブルなんですが >弊社ネットワークに異常なトラヒック増加が見られ、 >インターネット接続の著しい速度低下、通信不能と >なる状態が発生致しました。 (中略) >障害内容 トラヒックの異常増加による弊社設備の過負荷。 > ファイアウォールの機能低下による通信の低下、不能状態。 >対策 ワームが感染拡大に使うICMPのECHOとREPLYの制限。 > 弊社網内におけるワーム活動の特定と対策。 こんな感じのメールが届きました。 あと、 >順次回復作業を進めております。 とも。 ユーザー側が感染してトラフィックが増えているのに それをプロバイダ側で回復させることなんてできるのでしょうか? 実はプロバイダ側のPCが感染しているように思えてなりません。 あと、「トラヒック」が気になって気になって・・・
てす
474 :
名無しさん@お腹いっぱい。 :03/08/22 06:59
>>470 Y!BBはユーザーが増えてる分、感染者も多い
そしてなによりも、バックボーンがイーサーネット型で構築しているけど
利用してる機器がかなり安いものを使ってるので、高負荷に耐えられない
物だと聞いた
上の方に12Mの帯域を埋めるのが大変だとカキコがあったけど、感染者が
多いから結構簡単に埋まる予感
>474に補足 ヤフーは公式にはブラスター関連ポートは閉じたと言っているが、それは外部からの 侵入を遮断しただけであってそれ以外はスルーされてる模様 おまけにブリッジタイプ使用ユーザー比率も高いことがあってまさに共食い状態アヒャ
Pingかなり減ったよ。 皆さんはどう?
>476 確かに減ってますね。 ここ二日9〜18時のポート135叩き回数は 20日 1063回 21日 1099回 さて今日はどうなる事やら
>>466 plalaもここ3日程、やけにトラブル連続です。
>>477 ICMPフィルタしてたらそんなに来ないだろ
>>480 これって日本がアメリカに感染拡大させてるのか?
それにしても減ってないねー
482 :
qwer@通技 :03/08/22 08:56
ネットワーク的にみてNachiが問題なのは pingを宛先をどんどん変えながらものすごいスピード で送信する点です。 プライベートネットワーク(ルーターの内側)に入られる とマスカレードのテーブルが埋まってしまって動作不能に なるブロードバンドルーターもあるようです。 ルーターやL3SWも宛先が毎回違うので1パケットずつ 処理しないといけなくなって安い機材使っているところは 厳しくなってくるようです。 このあたりをちゃんと分かっていないエンジニアが多いのも 問題だったりします。
483 :
名無しさん@お腹いっぱい。 :03/08/22 09:08
>>482 >プライベートネットワーク(ルーターの内側)に入られると
どうやったら入られるの?
ウチのルーターだいじょぶ?
外部で感染したノートPCなどがLANに(勝手に)接続されたりとか
>466 上のほうでルータが壊れたっぽいと書いたものです。 自分は昨日サポートの人が来て、3時間かけて色々やった後で 暫定的に今加入している接続プランのもうひとつ上のスピードの プランのモデムに繋いでくれたので スピードがちょっと落ちたくらいだったけど、契約上の加入プランの ユーザー向けに昨夜も一斉同報で今夜もトラフィックが圧迫されている ことと、駆除を促すメールが来ました。 それによると普段想定しているMAXのトラフィックの三倍の負荷がかかって いて昨夜も断続的に接続が切れたりなんだり、だったようです。 >482 来てくれた技術の方が同じ事を言ってました。 検証待ちですが、トラフィックの急激な増加→ルータのテーブルが暴走 →連日繰り返されて3日目に壊れた?→ルータからモデムに大量の情報を 流してモデムを落としている疑い?→IPは取得できても接続が成立しない という状況かもしれないという話でした。 他のユーザーで上記の流れてルータが動かなくなっていた、というのも あったそうです。
今朝から急にICMPのノックが激変。 今は上位2オクテットが同一のとこから、ちょろちょろっと来る程度に なった。 プロバがやっとフィルタリング始めたらしい。 祭りも終焉に近づいてるのかなあ。
487 :
名無しさん@お腹いっぱい。 :03/08/22 09:23
よーし父さん割れ物黒氷探しちゃうぞ〜
全然減ってねーよ、何だかんだ言って今世紀一杯続くな。
つーか、むしろ増えてるくらいだ。
ぷららはフィルタリングしてない
さすがぷらっきー
ここでぷらっきー代表として一言どうぞ↓
>>489 コレクションするだけなのれす
でもまぁ黒氷とぞねっちは初心者にはお勧めだね〜
グラフィック的にも何かやってる!って感じだし。
いきなりkerioみたいなの使えって言われても困るだろうしね。
Dを感染させたテスト機でカレンダーを進めたんだけど自滅しなかった という人がいるんですが・・・。 誰か試した人いる?
>>496 前スレで実験して見事に自滅したって報告した人が居ました。
>497 ありがd 知り合いの言う事より前スレのその人を信用しようw
DじゃなくてAだったり(w そのテスト機をネットにつないで(以下略
500 :
名無しさん@お腹いっぱい。 :03/08/22 10:05
>>488 だめよ、ぼうや!
いくら英語が読めるからって・・・・・
時計を進めただけで再起動をしなかったとか。
502 :
名無しさん@お腹いっぱい。 :03/08/22 10:08
ちょっと質問。 既にパッチは当ててるんだけど、タスクマネージャから svchost.exe(ユーザーはsystem)を終了すると、例のRPC異常終了の MSGが出るんだけど、これは感染じゃないよね?OSはXP。
504 :
名無しさん@お腹いっぱい。 :03/08/22 10:38
みんなまだ135番ポートへのアクセスがある?
>504 今日はまだ無い。 4桁(4444)が多い。
508 :
名無しさん@お腹いっぱい。 :03/08/22 10:42
>>504 あるよ。
ぞねなんだけどICMPのアクセスでもポート番号でないのは
ポートスキャンなのかなぁ?
つづけて7728ってのが来た。
510 :
名無しさん@お腹いっぱい。 :03/08/22 10:45
>>505 8番!?
>>507 そうかまだあるのか・・・・
>>506 うちもよく分からないポートなら今もアクセスがあるんだけど、135は昨日の15時あたりから全然来なくなって。
ちなみにYBB
>>507 さんの情報も合わせてみると、ようやくYBB同士もフィルタリングするようになったということかな?
>>502 それはRPCのサービスそのものではないのか?
昨日アクセスしてきたもののなかで、まだ生きているアドレスにポートスキャンしたら、 みんな135,137,138,139,445がfilteredになっていたからやっぱりフィルタリングしているのかな。
513 :
名無しさん@お腹いっぱい。 :03/08/22 10:57
>520 それは君、やられてるかもよ
意味分からなくてスマソ いまは ICMPのPING?が連発の中 TCPの135と7728 UDPの137がきてます
あ、8番って80番のことか!
>>502 あんた自分でPC止めてどうするよ
svchost止めたらPC動かねーよ
YBBは80番の嵐が吹いてます
朝起きたら、見知らぬ部屋のベッドに裸で寝ていて、 隣には知らない男の人が寝ていたんです。 しかも、なんか、肛門が痛い……
>>516 いやICMPにはEcho Reqestといって8番を使うのがあるんだよ
相手側からの応答に返事しないためにも8番は閉じといたほうがいい
少なくともnachiが流行ってる間は
1週間くらい前からネットの速度が遅いんです。 今流行のコレかな? メール受信しても添付ファイル付きのきてないから、 大丈夫だよね?
80番てHTTP? 只今plalaからのTCP7739をブロック
既出だけど、DはIISの脆弱性(MS03-007)を狙って80番も叩いてくるよ。
freebitってとこからのも何気に多いんですが…
>>527 俺も意味がよくわかんないから、開設きぼー。
>>527 ポートとは書いてないからなあ。
8番タイプのことじゃねーの?
タイプ8番とか。
プロと凝る(w
昼のこの時間帯は「素人衆のお遊びになる時間なので プロの方はご遠慮いただいてます」ってことで ファイナルアンサーでつか。
ICMPにポートという概念は無い。 ICMPにはタイプと呼ばれる8bitの数値が含まれていて、 それが、(そのままだが)ICMPのパケットの種別を示す。 タイプが「8」となっている物が、「echo request」要するに、 「生きていたら、返事をしろ〜」というパケットで、生きている ホストは、タイプが「0」(echo reply)ってので返事をするように なっている。
今朝から大阪府と上田市のケーブルに445を叩かれまくっています。 大阪の香具師は昨夜は135と80を叩きまくってくれていたんだが、 今朝から叩く場所を変えた?
ハッカーは 80番叩きヽ(´ー`)ノマンセー なの?
538 :
名無しさん@お腹いっぱい。 :03/08/22 11:34
Dのコードの中こんなメッセージ: char *szMe = "=========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins"; 2004年に自滅
うち444とかこないんだけど リクエスト返してないからかなぁ それともプロバがブロックしてくれたんかしらぁ
>>535 MSも悪いですけど、PCを家電と思い込んで何もしない人が多いことも問題ですね。
543 :
名無しさん@お腹いっぱい。 :03/08/22 11:47
535のニューズより > セキュリティー専門家たちは、人々のモラルを高め、システムやアプリケーションをもっと堅固にし、管理者やユーザーにちゃんとした知識を持ってもらうことが、ウイルスやワームの被害を防ぐ唯一の方法だということに同意はしている。 ちゃんちゃらおかしいわい。 PCは、スーパーの2階で売られてるような家電。家電使うのにモラルもへったくれもあるかい。今日の新聞に、ソフトにもPL法適用云々の記事もあったことだし、作る側で手だてを講じなきゃだめだべ。
8番ラーメンも閉じておくか
釣れますか・それともアビバ行きますか?
>543 オマエはOSに含まれてる脆弱性を出荷前に全てチェックできると思ってるのか (これはどのOSだって同じ)
>>547 M$が穴だらけなOS出してる事の方が問題
550 :
名無しさん@お腹いっぱい。 :03/08/22 12:01
>>547 では、ちみは、あたかもテレビのリモコンを操作するごとく、安直にPCを使うユーザの多くが、自衛手段を講じると思うのかね?
引用記事の中断に書いてあるけど、どんなに注意を喚起しても、この人たちの耳には届かんのだよ。
>>548 は、
「肺がんになった」と煙草メーカーを訴える奴。
552 :
名無しさん@お腹いっぱい。 :03/08/22 12:03
555 :
名無しさん@お腹いっぱい。 :03/08/22 12:09
>>382 遅レスでもうしわけないのだが、豊島ケーブルの場合、普段から接続は
かなり不安定。文句言っても直さない。
今回のだって、ホントにウィルスのせいだかどうだか。
そういえばこの会社、以前、ウィルス付きのメールまで送ってきてくれた
こともある。(w
おい!「マキです」って言う件名のメールが来たぞ。 写メールの画像を見てくれとか何とかでリンクが書いてあった。 これが噂のNIMDAか?
557 :
名無しさん@お腹いっぱい。 :03/08/22 12:13
:80 叩きうざいな〜、log捕ったらYahooBBがほとんどだよ トヨタ、三菱電工もあったぞw対策してんのか? BBユーザーが断トツだな、こりゃ :80叩くのって、MSBLAST.Dか、webDev経由の攻撃か、
>555 ひで〜。 という漏れは>832ので出てる三鷹武蔵野でつ。 初日にブラストのせい?って問い合わせしたらきっぱり 「違う、盆開けでアクセスが集中しただけ」と言い切った。 2日目にもまだそう言っていたが3日目にDのせいと認めて ポートを閉じてユーザーに一斉同報でメール出したけど4日目も不安定だった。
YAHOO MAIL 壊れてない?
561 :
名無しさん@お腹いっぱい。 :03/08/22 12:26
562 :
名無しさん@お腹いっぱい。 :03/08/22 12:27
>565 SP4をダウソしたあと再インストールを余儀なくされた漏れは 絶対こんなの使いたくない。
>>565 デフォルトでオートアップデートにしたらいいと思うけどな。
それが嫌な人は手動にすればいいわけで・・・。
手動に出来ない仕様ならヤバイけどね。
>>561 受信箱が空になってるんだけど・・
俺が消したのかな?
やっぱりYAHOOメール生きてるね よかった
ICMP Echo Request の数 (4時間毎/#一つが10packet) 減る気配無し 2003-08-18 04-07 # 2003-08-18 08-11 ### 2003-08-18 12-15 ################ 2003-08-18 16-19 ####################### 2003-08-18 20-23 ############################## 2003-08-19 00-03 ########################## 2003-08-19 04-07 ##################### 2003-08-19 08-11 ############################## 2003-08-19 12-15 ########################################## 2003-08-19 16-19 ###################################### 2003-08-19 20-23 ###################################### 2003-08-20 00-03 ####################################### 2003-08-20 04-07 ############################# 2003-08-20 08-11 ################################# 2003-08-20 12-15 ####################################### 2003-08-20 16-19 #################################### 2003-08-20 20-23 ############################################ 2003-08-21 00-03 ####################################### 2003-08-21 04-07 ############################### 2003-08-21 08-11 ##################################### 2003-08-21 12-15 ##################################### 2003-08-21 16-19 ############################################ 2003-08-21 20-23 ############################################### 2003-08-22 00-03 ################################################ 2003-08-22 04-07 ################################### 2003-08-22 08-11 ##########################################
だから今世紀一杯続くんだって。
いまだに世界各地から続々ICMPが送られてくるよぉぉ( ´Д⊂ヽ
>>487 『Windows RPC 緊急対策キャンペーン』って…おいおい
響き悪過ぎ
575 :
名無しさん@お腹いっぱい。 :03/08/22 13:08
1時間に120件。9割以上135、時々445と1434。
減ったけど、それは家庭用のパソコンが余り動いてないからか。
仕事終わって帰宅して起動すれば、また増えるか…?
>>572 「今年一杯」の間違いでないの?
ルータのチップにヒートシンク付けるのも常識になるのか。
>576 24時間繋げっぱなしの人は液体窒素を(ry
水冷で!
581 :
名無しさん@お腹いっぱい。 :03/08/22 13:26
ポート53番を叩く奴はなに? なんのウィルス? DNSサーバを叩こうとしてるのはわかるんだけど そいつは、なにに感染してるの? 同一IPアドレスから猛攻くらってます
>>581 叩いている奴が、DNSの設定を間違えたんじゃないか?
>581 漏れも>583の説に一票
585 :
名無しさん@お腹いっぱい。 :03/08/22 13:37
>>574 車で言ったら「ブレーキ欠陥故障緊急対策キャンペーン」って言ってるようなもんだもんな
>>583-584 ありがとう
なんて迷惑なヤシなんだ
同じプロバで近いIPアドレスだったから、ブラスタの亜種かと思ったよ
ぷららは135の通信を停止しますた。 ちょっと気分的に快適。
しかしぷらっきーPngは未だ健在
ぷららで135は止まったものの、 ログに80だけが綺麗に残りましたとさ… まぁ、片一方なくなっただけでもよしとするか。
590 :
名無しさん@お腹いっぱい。 :03/08/22 13:56
(アクセス管理者による防御措置)
第五条 アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識
別符号又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに
、常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化そ
の他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。
不正アクセス行為の禁止等に関する法律
http://www.npa.go.jp/hightech/fusei_ac2/houann.htm
80も止めたら?
592 :
名無しさん@お腹いっぱい。 :03/08/22 14:07
昼になってからぴたりと止んだ。 別のポートにはアメさんから時々ノックされているがw
593 :
名無しさん@お腹いっぱい。 :03/08/22 14:12
(・∀・)うほ!17300増えてる Thu, 2003-08-21 19:04:52 - TCP connection dropped - Source:●,3670,WAN - Destination:俺,17300,LAN Fri, 2003-08-22 10:36:28 - TCP connection dropped - Source:●,3372,WAN - Destination:俺,17300,LAN Fri, 2003-08-22 12:52:26 - TCP connection dropped - Source:●,4020,WAN - Destination:俺,LAN Fri, 2003-08-22 14:06:11 - TCP connection dropped - Source:.●,2303,WAN - Destination:俺,17300,LAN 一週間で17300叩かれてるのが百件超えてるんですが。 たしかトロイの木馬のポートでしたっけ?
とりあえず、ちょっとづつではあるけど沈静化の方向に行きつつありますね。 漏れの所のポート135叩きも海外からはめっきり減ってきてるし (どれも単発w) その代わりjpからの叩きがかえって目につくようにw
596 :
名無しさん@お腹いっぱい。 :03/08/22 14:20
03/08/22 午後 1:51:50 通信の要求 202.***.172.69 TCP(3514) 3514? これはなんだろう?
597 :
名無しさん@お腹いっぱい。 :03/08/22 14:20
無料配布20万枚のcってまだあるのかな?
598 :
名無しさん@お腹いっぱい。 :03/08/22 14:21
599 :
名無しさん@お腹いっぱい。 :03/08/22 14:25
17300も多くなってきたんだけど・・もしかして新種のワームですか?
>>599 W32/Weird-10240(別名 Kuang2)
602 :
名無しさん@お腹いっぱい。 :03/08/22 14:29
まだ配ってないのか。どうしよう? 今はネットに繋いでないけど 来月から光なんです。
( ´д)ヒソ(´д`)ヒソ(д` )
605 :
名無しさん@お腹いっぱい。 :03/08/22 14:33
>>602 あれは感染してもうだめっぽっていう人用だから・・・。
光でも何でもパッチ入れる前にネットに繋がないこと、OSのFWか他のFWを入れてからパッチDLすればOK。
2003/08/22 14:29:12 Calling UNDECIDED TCP 192.168.0.*:1536 > 216.218.195.34:80 こんな所呼び出したかな漏れ マジで感染したカモ?
>>610 oyster02.he.net
80つつかれてるとか言ってるやつ、2chの串チェックのことじゃねーだろーな?
(´∀`)ぷっ
2chのバカー
>>591 > 80も止めたら?
何が言いたいんだか。
617 :
名無しさん@お腹いっぱい。 :03/08/22 14:52
( ゚д゚)ポカーン
>>610 ( ´д)ヒソ(´д`)ヒソ(д` )ヒソ( ´д)ヒソ(´д`)ヒソ(д` )ヒソ( ´д)ヒソ(´д`)ヒソ(д` )ヒソ( ´д)ヒソ(´д`)ヒソ(д` )ヒソ
感染していることには間違いな(ry (´∀`)
620 :
名無しさん@お腹いっぱい。 :03/08/22 14:58
621 :
名無しさん@お腹いっぱい。 :03/08/22 14:59
職場のPCから2ちゃん見てたら 感 染し たー (元から感染してたのかも知れない) 5時間近くかかって復旧したけど、冷や汗かいた。 家じゃマカーだから、全然油断してた。
も、漏れは笑わないよ。 昔同じ勘違いで焦った厨房だから・・・。
>>616 ついでに80の出入りもプロバイダに止めてもらったら、
お前の糞な書き込みも無くなって、世界が平和になるぜ
ベイベー
っていいたいんだと思うよ。
新型ウイルス 習熟度高め予防策を '03/8/22 新型のコンピューターウイルス「ブラスター」が今月中旬から猛威を振るった。感染したパソコンによる 地球規模の集中攻撃は回避されたものの、国内できのうまでに警察庁が確認しただけでも六十一団 体、二千三百台以上に感染が及んだ。行政、金融機関も被害に遭ったが、幸い市民生活に大きく影響 するような事態にはならなかった。ただ、その後も亜種や新種のウイルスが見つかっており、対策が急 がれる。 ブラスターは、コンピューターを操作するマイクロソフト(MS)社の基本ソフト(OS)ウインドウズXPな どのセキュリティーホール(安全上の弱点)を利用するウイルスだ。起動させた途端にネットで感染し、 勝手に終了したり再起動したりする。さらに瞬時に、他のパソコンに連鎖的に攻撃を仕掛けて感染させ、 ネットを混乱させてしまう。 ソフトは人間が作るものだから、開発者も気づかない不具合やプログラムミスが、極めて低率とはい え、どこかに出る。そのセキュリティーホールを狙うウイルスが最近増えている。XPなどは、MS社が約 一カ月前に情報をホームページに掲載し、修正プログラムをパソコンに取り込んで直せるよう公開して いた。 それでも感染が広がったのはなぜか。詳しい専門技術者は事前に修正しただろうが、大抵の人は自 分のパソコンにウインドウズのアップデート(更新)機能があることすら知らない。パソコンメーカーの中 でさえ個人用の感染が報告された。ワープロ代わりに文書作成だけとか、メールさえできればという人 も少なくない。ネット以外の周知の方法も必要だったと考えられる。
最近十年のパソコン普及には目を見張るものがある。電話が開設から百年以上かかって、誰でも同じ
ように使えるよう習熟度を高めてきたのとは比較にならないスピードだ。生まれた時からパソコンやイン
ターネットがある世代が、きちんとした教育を受け社会の中心的存在になるまで、「パソコン文化」の過
渡期にあると指摘する研究者もいる。
確かに今はマウス操作もおぼつかない人から、自分でプログラムを作れるレベルまで混在する過渡
期の危うさがある。実際、ウイルスは誰でも作れるという指南本やサイトもある。技術進歩に個々の意識
が追いついていないギャップが、感染を広げた一因ともいえるのではないか。
最近のウイルスには、知らないうちに自分のパソコンが加害者になってしまう怖さがある。ブロードバ
ンドなどの普及で、被害は一気に広がる。ウイルスの予防には一人ひとりがワクチンソフトを備え、絶え
ず更新しておくなど、安全性への関心と自覚が、何より肝要だ。
そのためには日常的な啓発の仕組みが欠かせない。緊急時にメーカーなどに連絡し、専門語で次々
説明され戸惑う人も多い。むしろ、すぐ来て教えてくれる少し詳しい人が、近くにいれば安心だろう。企業
の中や地域には、そうした人たちがいるはずだ。研修などで育成し、活用するシステムが望まれる。ウイ
ルスを防ぐ環境づくりへ、行政やメーカー、販売店、ソフト業者などが連携し、習熟度の底上げを図って
ほしい。
http://www.chugoku-np.co.jp/Syasetu/Sh03082201.html
65550ブロック記念sage
聞くのは一時の恥、聞かぬは一生の恥。
ポト135と80へのアクセスが半々ぐらいになってきた。(B-Flets,DTI) あと、だれも指摘してないんだけど、ポト4442のほうがポト4444より多いみたい。
全然
>>634 俺は、セキュ板の書き込みをたのしみに拝見してる
生きがいと言っても過言ではない
2chセキュ板中毒だからだ
そんなとき、わくわくしながらこのスレを覗いた
そしたら、お前だった!
山崎渉と同じぐらい、がっかりした
ネタなのはわかってる。だけど、それがマジレス以上に残念でならない
少しだけ涙がでた
__,,,,_ /´  ̄`ヽ, / 〃 _,ァ---‐一ヘヽ i /´ リ} | 〉. -‐ '''ー {! | | ‐ー くー | 感動した! ヤヽリ ´゚ ,r "_,,>、 ゚'} ヽ_」 ト‐=‐ァ' ! ゝ i、 ` `二´' 丿 r|、` '' ー--‐f´ _/ | \ /|\_ / ̄/ | /`又´\| |  ̄\
・・・呆れた釣り師が居るスレはここですか?
デイタイム割引でやる気まんまんのスレはここですか。
>>640 それは、バスタ使ってるのが日本人に多いからじゃないのか
644 :
名無しさん@お腹いっぱい。 :03/08/22 15:56
>>640 それは過去24時間に限って、さらに週間で見ると
全世界で 15,538
アジアで 12,201
日本が 11,758
なんと 75%が日本です。
ケルタフキッスコ エ?アケ タマコサ
>>644 夏らしい暑さになってきたではないか。
漏れ、月曜から北海道なんだよね〜
あっちは涼しそう♥
648 :
名無しさん@お腹いっぱい。 :03/08/22 16:06
さきから、おれのPCの UDPポート137からローカル192.168.0.255 に何か送信してるけど これってマズイ?
650 :
名無しさん@お腹いっぱい。 :03/08/22 16:17
Blasterに感染するとネットに繋がらなくなったりはするんですか?
652 :
名無しさん@お腹いっぱい。 :03/08/22 16:29
>>649 これって、PCがローカルの共有できるPC探してるってことだよね?
>>459 漏れのところにも!
沼○ ○輝
アフォか?
今時ISDNって
プロバイダーのメールウイルスチェックサービスに入ってるから大丈夫完璧の構え! だと、のたまわった知人がいる。 ルーター無し、FW無し、もちろんNISとかVBとかも入れてない。 今回ワームに見事に感染した。 更に逆切れしてたらしい。 なんで感染するんじゃー! 詐欺じゃー! もうねアフォかとヴァカかと。 結局治しに行ったんだけど、他にもウイルスとかスパイウェアとかわんさか居やがった。 休みがパー・・返せ!
>654 そういえば漏れの所にもISDNからの叩きがあったなぁ しかし、もしその回線がフレッツじゃなかったら繋ぎっぱなしでICMPばらまき放題ですか ということはその香具師は金銭的な制裁を受ける羽目にw
俺んとこ、ダイヤルアップも結構くる。
うちもさっき同じプロバイダのダイアルアップの人に135番たたかれた… 大丈夫なんだろうかこの人…
plalaのフレッツで接続してるんだが 1分間で300以上のICMPがきてるんだが。。。 これって異常なの?
俺がそのダイヤルアップ
あっぷっぷ
ちなみに、前まではplalaからばかりだったが 世界各国から凄まじい勢いできてる
これからも僕を応援して下さいね(^^)。 610
>>665 俺は、セキュ板の書き込みをたのしみに拝見してる
生きがいと言っても過言ではない
2chセキュ板中毒だからだ
そんなとき、わくわくしながらこのスレを覗いた
そしたら、お前だった!
山崎渉と同じぐらい、がっかりした
ネタなのはわかってる。だけど、それがマジレス以上に残念でならない
少しだけ涙がでた
667 :
名無しさん@お腹いっぱい。 :03/08/22 17:23
これはソーラー照射のようにだんだんピンポイントに集中するのか?
668 :
名無しさん@お腹いっぱい。 :03/08/22 17:24
YBBだが、今日の午前3時以降状況にかなりの変化あり TCP(135) →ほぼ完全に消滅 ICMP(2048) →かなり減る(毎分10回が毎分1回に) UDP(11477) →突如急増(毎分0回が毎分10回以上に) 送出元は国内、韓国、アメリカが多い
まじで異常事態なんだが オレだけなの? だれかいない
年齢不詳です。女子高校生というのは間違いないですが、非常にそそりますね。
オナニーも結構手馴れたもので撮影のことなどすっかり忘れてしまっている様子です。
こういう素人作品の良いところはいつも何が起こるかわからない筋書きのないドラマがあるところ。
テレながらも言われた通りになんでもこなす健気な女子高校生でした。
無料ムービーはこちら!
http://members.j-girlmovie.com/main.html
673 :
名無しさん@お腹いっぱい。 :03/08/22 17:31
∧_∧ (´<_` ) まあ、夏休みだし・・・ ____ / ⌒i /( ) _| | / ∨ / ̄ ̄ ̄ ̄/ | __(__ニつ/ FMV / | .|____ \/_____/ (u ⊃
2003/08/22 17:30:03 NAT RX Not Address 239.255.255.250 != xxx.xxx.xxx.xxx(IP-PORT=1) 朝からこればっかり。 2〜3秒に1回アクセスが来る。
>>660 ぷららはICMP来まくる。ウチは1秒1回ペース。
プロバイダ板より
45 :名無しさんに接続中… [sage] :03/08/22 15:20 ID:GDB/vztk
今日の経緯をまとめてみますた。
1. 12時にルータ設定にてポート135閉じる
2. 14時ごろルータに負荷がかかりすぎてルータ落ちる。
⇒ルータの設定をいったん元に戻しルータ再起動
3. 15時ごろもっかいルータにポート135を閉じる設定をする。
(予定)17頃またもやルータに負荷がかかりすぎてルータ落ちる。
以上、ぷらら障害予報でした。
>>672 おまえはセキュ板の削除人とみた
IPアドレスを見て、俺をストーキングしてる
俺は一日中2chにいるから、よく管理側からストーキングされる
でも、そんなに気にならない。慣れた
だが一度はちゃんと、わかってるんだということを伝えたかった
伝えた
満足
>>669 Bフレ・ぷららだが、17時以降,43発/20分くらい。お前恨みかってるだろう。
__,,,,_ /´  ̄`ヽ, / 〃 _,ァ---‐一ヘヽ i /´ リ} | 〉. -‐ '''ー {! | | ‐ー くー | ヤヽリ ´゚ ,r "_,,>、 ゚'} 感動した! ヽ_」 ト‐=‐ァ' ! ゝ i、 ` `二´' 丿 r|、` '' ー--‐f´ _/ | \ /|\_ / ̄/ | /`又´\| |  ̄\
だから接続したとたん いままで、219か218からのIPが1分2−30個ぐらいだったんだけど 今は、お構いなしにありとあらゆる所から まるでプログラミングしてるかのような勢いでずらずら流れてるんだよ ほとんどICMP 昨日とは比べ物にならない FirewallはOutpostで見てる
>>678 あはははははははhははははっははははははあっはっh
>>678 おまえこそセキュ板の削除人だろ?
粘着しすぎ!
>>676 そうなんだ
ありがと
でも、昨日までほとんどplalaからだったのに
なんでこんなにあらゆるとこから来るようになったんだろうね?
>>681 219か218?
なんじゃそりゃ。どんだけあると思ってんだヴォケ
先になんか送信してるのは、喪前じゃないのか?
よくログみてみれえ、ヴォケ
>>682-683 いいよ
俺なんか2chで粘着されるのが、お似合いさ
どうせ、俺なんか
強制IDにすれば良いのに・・・。
インターネッツって淫らな食べ物ですね。
>>685 Blockのとこ見ればリモートホストで分かるんだよ
最初のうちはちゃんと見てたから省略しただけ
ちなみに受信だけだよ
80番ポートがヤバイ漢字
全然
>>688 ホントかよ
Webサイトによっては、アクセスするとICMP送ってくるとこあるぞ!
たまにプロバから送られてくることもある!
それじゃないのか?えぇえ、どうなんだ!
喪前、一回ぜんぶのログとってみれ
ブロック以外はログとってないんだろ?とってみれ
びっくりするほどブラスター!!びっくりするほどブラスター!!
IPアドレス変えたらやんだ さっきの所だけ集中されてたのかもしれん。。 よくわからないが つぎに割り当てられた奴は焦るだろう
attmil.ne.jpってのは何なんだ…凄い数くるんだけど
本当だ…岩国とか横須賀ってなってる ICMPで来まくりなんだけど、なんで…
att.ne.jpも凄い数くる
漏れはアメリカとオーストラリアばっか
自分がJENSだから、attmil.ne.jp att.ne.jp が多いんでないの?
>699 あっ、そうか…そういう物なの?ありがとう ちょっと怖かった・゚・(ノД`)・゚・
701 :
名無しさん@お腹いっぱい。 :03/08/22 18:09
>>698 やな感じのコテハンだ
オーストラリアって、まさかPO BOXだかPQ BOXじゃないよな?
そうだったら、もう許さないかんな!
詳細情報 -------------------------------------------------------------------------------- Blastワームおよびその亜種の拡散を防ぐため,フレッツバックボーンルータにおいて TCP135番ポートの通信をフィルタリングしておりましたが, 全般的に通信が不安定となる事象がみられたため,設定を解除いたしました. ご利用の皆様にはご迷惑をおかけいたしましたこと,お詫び申し上げます. 不安定になっただけですた…_| ̄|○
質問なんですが、このPCがブラスターに感染したらしく、ウイルス警告が出たんですよ。 それで、最新版をインストールして再起動しました。 しかしウイルス警告が消えないままなんです(´ヘ`;) どうしたらいいんでしょうか? アドバイスお願いします。
警告 ↓ 最新版をインストール ↓ 再起動しました それだけで消えるとでも?
>>705 thanks
しばらく様子見てたが普段どうりになったみたい
まじで焦ったよ
今まで見たことも無いスピードできてたから
なにぶんPC初心者なもので、普通に消えると思ってました。汗 この後はどうすればいいのでしょうか? ご指導よろしくお願いします。
plalaだが漏れもそうだよ、気にすんな。
>709 完璧にする手順。 サービスパックやほっとフィックスをCDに焼く。 OS再インストール。 サービスパック等をインストール。 ネットワーク接続で完璧。
>709 MSやアンチウィルスメーカーのページに対策腐るほど書いてあるから印刷するなり 目を皿のようにして読むべし あと、駆除ツールおよび修正パッチDLしたら駆除してパッチを当てるまでケーブル 引っこ抜くように これは煽りとかじゃなくてあなたはブラスターDに感染してる可能性が高いのでこの (ブラスターAならそれ以前に強制終了してしまう) ままだと周りに迷惑かけまくるからです。
>>709 完璧にする手順 其の弐
1 サービスパックやホットフィックスをCDに焼く。
2 OS再インストール。
3 ネットワーク接続.。
4 IEでYahooJapanを見る。
5 ニュースを見る。
6 ウイルスの情報が有るか調べる。
7 有った場合、まだやってんのかコイツらとほくそ笑む。
8 コーヒー飲みながら、焼いたサービスパック等をインストール。
9 最後にスイッチを切る。
これで完璧。
714 :
名無しさん@お腹いっぱい。 :03/08/22 19:02
近くのパソコンショップでは、 ウイルス駆除+アンチウイルスソフトのインストールで 10000円だった。
716 :
名無しさん@お腹いっぱい。 :03/08/22 19:07
>715 たけー。それともこれが相場?
717 :
名無しさん@お腹いっぱい。 :03/08/22 19:09
こんな記事があった。 『ブルックリンで美容製品の販売員として働くポール・パシフィコさんは、「私が目にするウイルスやワームの駆除方法の説明は、明らかにオタクがオタクのために書いたものだ。ほとんどの場合、何について書かれているかさえ理解できない」と話す。』 漏れの友達もこの類だ。 どやって説明すればいいかわからん。くまった・・・・・
>715 その手の商売も来週のCD無料配布開始で成り立たなくなるとはいえ今頃 ウハウハだろうなぁ そういえば、誰もふれてなかったけど新聞朝刊にも対策広告載ってましたね。 (読売の朝刊で確認)
719 :
名無しさん@お腹いっぱい。 :03/08/22 19:10
720 :
名無しさん@お腹いっぱい。 :03/08/22 19:12
>>716 そんなもんだろ。PC関係のサービスは初心者相手だから
いくらでもぼったくれる。
ちょっと違うけど、CATVの解約の時にモデムのコンセントを抜いて
それを持って帰るだけで8000円もとられたし
721 :
名無しさん@お腹いっぱい。 :03/08/22 19:23
ODNは今ごろになって警告メール
>721 漏れの所にも来たけど今更って感がぬぐえませんな CATVでは既に患者強制隔離措置(強制切断)やってるところもあるようなので 大手で何処がやり始めるかなぁ 漏れはYBBに一票
>>717 駆除方法に限らず、操作方法全般が判りづらいよな、と技術屋の俺も思う。
友達には極力専門用語を使わずに説明するしかないだろう。
後はどこがわからないか確認しながら説明する。面倒だけど。
724 :
名無しさん@お腹いっぱい。 :03/08/22 19:50
だから、わかんない奴に無理にやらせようとしないでわかる奴が金とってやりゃあいいんだよ テレビが壊れた場合、半田ごてもって自分で修理しようとする奴もいるだろうけど、能力が無い奴は 金払って修理に出すか新しいの買うだろ?
725 :
名無しさん@お腹いっぱい。 :03/08/22 19:55
726 :
名無しさん@お腹いっぱい。 :03/08/22 20:02
>>725 odbc32.dllのバージョンが
3.520.9041.40
なんだけど・・・
>>724 テレビメーカーは修理方法を広く公開しちゃいないがな
728 :
名無しさん@お腹いっぱい。 :03/08/22 20:10
>>725 自分もodbc32.dllのバージョンを今確認したら
>>726 と同じく「3.520.9041.40」だった・・・
一体どうしたらいいんだ?
729 :
名無しさん@お腹いっぱい。 :03/08/22 20:18
漏れなんて、3.520.4403.2 だぞ。なぜだ
730 :
名無しさん@お腹いっぱい。 :03/08/22 20:20
毎回期待を裏切らないこのシリーズ。
今回の出演は女子高生で何とパイパン女です。
何故マン毛がないだけでこんなにいやらしくなるのでしょう。
ツルマンのドアップ映像は売るほどあり、超大満足間違いなし。
アナルにも指を入れられますがまんざらではないようでよがり始めます。
多少画像は荒れ気味ですが内容からすると文句なしの作品です。
完全素人!!無料動画を即ゲット。
http://members.j-girlmovie.com/main.html
732 :
名無しさん@お腹いっぱい。 :03/08/22 20:30
http://support.microsoft.com/default.aspx?scid=kb;ja;436469 記事のネタ元であるマイクロソフトの情報だが、これってLast Reviewed: 2003/07/21ってあるよ?
この時点で
>現時点での最新バージョンである MDAC 2.7 Refresh に含まれる odbc32.dll のバージョンは 3.520.9001.0 です。
>しかしながら、MDAC 2.7 用の修正プログラムでインストールされる odbc32.dll のファイルのバージョンはそれよりも古い 3.520.8721.0 です。
なわけだから、より新しいバージョンである3.520.9041.40は大丈夫のような気がするんだが……
誰か記事書いた奴に問い合わせして見れ
Blaster騒ぎが落ち着いたのでやっと休めるよ。 駆除作業で盆休みが吹っ飛んだからな。 まあ稼げたからいいけど。
736 :
名無しさん@お腹いっぱい。 :03/08/22 20:48
あー、頭痛ぇ。 今、MS03-033のパッチ当てたら、odbc32.dllのバージョンは、3.520.9001.40になった。 3.520.9001.0は、ダメだゆーてるが、こいつはだいじょぶなのかいな?
だから、漏れの 3.520.4403.2 をなんとかしる
漏れのはodbc32.dllのバージョン3.520.8721.0な訳だが
739 :
名無しさん@お腹いっぱい。 :03/08/22 20:57
>736-738 MDAC2.8既に英語版出てるから日本語版出たらそっち入れとけばいいのでは (当然、今回の脆弱性の適用外になってます。)
プロに対処頼む値段が高すぎって言うけど 他の業種でも手間賃が入るから最低5000円以上は取るよ といいつつメガネ屋で ネジの外れて空中分解したメガネの修理頼んだときは ネジ代込みで200円だったが・・・
俺のはODBC32.DLLのヴァージョンは3.520.9041.40だった。
漏れも3.520.9041.40だがそのままでいいのか?
おいブラスタから外れてねぇか?
パッチ当てたのに3.520.6300.40ですが何か? (´・ω・`)
だから、MDACの2.7sp1(Refreshだっけ?)を入れると、 3.520.9001.0になって、アップデートすると、3.520.9041.40になるってことだろ? 3.520.9001.0のままだと、駄目ってこと。
747 :
名無しさん@お腹いっぱい。 :03/08/22 21:20
>>745 パッチインストールするとき、odbc32.dllを誰かが使ってたんちゃうか?
漏れは常駐全部とめてパッチ当てたら 3.520.9041.40と3.520.6200.0 の2種類出て来てまつ。
ねー、ウチのプロバポート135と4444を閉じたってHPに載せてたけど まだポツリポツリとアクセスあるんですが… フィルタリングから漏れちゃってるんでしょうか?
>>747 んなこといわれても誰が使ってるかなんて分かりまてん。
751 :
名無しさん@お腹いっぱい。 :03/08/22 21:47
>>749 ぷらら?
もしそうなら、もう開けちゃってるけど
752 :
名無しさん@お腹いっぱい。 :03/08/22 21:49
漏れの odbc32.dll は、3.525.1022.0 になった。 Windows XP SP1 に 英語版 MDAC 2.8 をインスコ。(w
755 :
名無しさん@お腹いっぱい。 :03/08/22 22:04
>>753 DNSのソースもIPアドレスもご近所さんに思えないんですけど…
最近のだと
xxxxxxxxxxxxxx.telkom-ipnet.co.za
xxxxxxxxxxxxxxxxxxx.w193-250.abo.wanadoo.fr
とか、yahooBBとFreeBit.ne.jpとcatv02.itscom.jpとかもある。
756 :
名無しさん@お腹いっぱい。 :03/08/22 22:04
>>750 ネット切って、常駐全部殺して、目に見えるタスク全部殺して、インスコ汁
>>755 じゃ開けられた突破されたかだね
何気にウチのご近所さんが晒されてるw
この時間になったら135と445叩きがまた増えてきた。
>>717 代わりにやってあげる。ごはん奢ってもらう。
ただし今後はサポートセンターとしてこき使われる恐れもある両刃の剣。
>>758 >何気にウチのご近所さんが晒されてる
ドンマイ!
>>759 >この時間になったら135と445叩きがまた増えてきた。
みんな帰宅して自宅のPC起ち上げはじめたのではないかと…
うちのプロバもポト規制してるって今HP見たら書いてあったけど
漏れまくってるもより。
135や137来てるし。
>>761 漏れじゃないから気にしてない。
逆に攻撃してやってくだちいって言いたい。
>>760 そういうこってす。もれがやれば話は早いけど、サポセンになるのが目に見えてるから、手がだせんのです。
「ここが分からん」聞いてくれれば、説明のしようもあるけど、それもままならんし、一から説明しとったら、日が暮れて夜が明けそうだし・・・
スレ違いだで、この辺で。
国外からのPingが増えてきたねぇ〜
うん
766 :
名無しさん@お腹いっぱい。 :03/08/22 23:04
すんません。今回の騒動についてちょと教えてください。 Windows Updateしていなかった場合、下記の条件で感染する可能性はあるのでしょうか? 1・ルーターで135番等を閉じている。 2・ルーター無しで簡易FW(ZA、Outpost等アプリケーション単位でしかアクセスを規制でいないタイプ)を導入。
>>763 静観するのが一番かと。
手ださず判りやすく説明したとしても最後はサポセン代わりに・・・
いやいや、サポセン以下(便利屋)な悪寒。
ってかそれ会社での俺じゃん
>>768 あ、いや。自分の心配してるんじゃないんですよ。XPでパッチは導入済みです。
ただ今後、今回のようなワームで、もしMSでも気づかない穴を狙ったのができた場合どうなるのかなぁと。
ルーターやFW導入していても感染しちゃうもんなんですかね。
バカな質問ですみません。ワームの仕組みがいまいちわかってないもんで。
>>756 そだね。
でも削除できない更新なのでもう手遅れな罠。
test
772 :
名無しさん@お腹いっぱい。 :03/08/22 23:51
773 :
名無しさん@お腹いっぱい。 :03/08/22 23:54
774 :
名無しさん@お腹いっぱい。 :03/08/22 23:55
>>772 俺の知ってるところは
感染 > リカバリーCDで再導入 > ネット接続 >感染 ・・・
もうアフォかと (・_・)
775 :
名無しさん@お腹いっぱい。 :03/08/22 23:57
大阪*のメールサーバは逆引きができなくなってたから、 DNSが早々といったのでのはないのかな、と想像してるけど、どうなんだか。 今回はDNSへの負荷もけっこうあるな。古いbindは落された。
>>777 テメーしつこいぞ!
漏れが出てきたとたんに、書き込みですか
いつまでも、ストーキングすんな!
でも、2chでアクセスしただけで、いちいちログなんかとってたら膨大な量になるから
喪前はログを見てるわけじゃなく、パケット盗聴してるわけか
おまえ、その内プロバに怒られるぞ!
知らないからな!
勝手にしろ!
780 :
名無しさん@お腹いっぱい。 :03/08/23 00:11
782 :
名無しさん@お腹いっぱい。 :03/08/23 00:19
XPのFWのログで 2003-08-23 00:08:38 DROP ICMP **.***.**.*** **.***.**.*** - - 92 - - - - 8 0 - って感じのが一番多いんですが、これってポート80をドコドコ叩かれてるって事ですか?
783 :
名無しさん@お腹いっぱい。 :03/08/23 00:20
そんなかんじで
>>782 伏字が多いんだけど、port:80 に ICMP でやってくるわけ?
そーゆもんなん?
>>781 ホントか?
2ch限定なんだけど、ストーキングされてる気がする
可能性は、無線Lanだから近所のヤシか
2chまでの途中経路のサーバーのヤシか
プロバイダか
2chの人か
ストーキングしてないなら、悪かった
スマンかった
>>785 そーゆうもんだろ
まずhttpdが動いてるか調べてるんだよ
788 :
名無しさん@お腹いっぱい。 :03/08/23 00:27
>>782 それは、80ではなくて、icmptype=8 icmpcode=0 と読む
>>788 ちょっと恥かいた気分だ
でも、俺はまちがってない
>>782 のログをちゃんと見てなかっただけだ
まちがってないよ
winXP の FW は、奥が深いんですね
>785 伏せた部分はIPです。 伏字の前半部分が相手ので、後半部分が自分のIPです。 ほとんどこんな感じのログで、たまに135番が叩かれたらしきログが混じります。 ↓ 2003-08-23 00:28:56 DROP TCP **.***.**.*** **.***.**.*** 4605 135 48 S 3367333195 0 8760 - - -
>>766 >1
ルーターがある時点で感染しないと思う。
>2
起動中にFWのサービスが起動する前に感染する可能性がある。
でも、FWが起動したらブラスターが勝手に外に出ようとすると止めてくれて気付くはず。
だから、外に出るのを制限できないFWだとあんまり意味がない。
>>786 漏れの無線LANは暗号化なんてしてないよ
ステルスだけ
丸裸
田舎だからオケー
>>795 XPのPersonal Fire Wallの話ですね。
>>794 ぐぐれ・・・と言いたいとこだが、今799が答える!
799 :
名無しさん@お腹いっぱい。 :03/08/23 00:47
対策用無償CDって、雑誌付録に付かないのかな? 広い範囲にばら撒くには、一番良い手段だと思う。
今はIEすら雑誌収録にいれないゲイツだもん…
801 :
名無しさん@お腹いっぱい。 :03/08/23 00:51
あのこまってるんですが、ブラスタ一回かかって マイクロソフトいってなおしたんですが またかかってしまって電源勝手におちちゃいます・・・ マイクロソフトいってみてやれることはやったんですが やっぱりだめみたいです・・・ アップデートしようとすると暗号がどうとか 整合性がどうとか言われてできません だれか助言おねがいします
>>796 うちも田舎だけどファームうpした後とか、
再検索すると隣りの家のアクセスポイントひっかかるぞ
自分ん家だけが無線Lanとおもったらダメだ
>>798 おまいが
>>791 だろ
早く答えろ
今どうやって書き込んでるんだ…?携帯?
>>803 要点を簡単に言えば、ICMPというプロトコルにはポート番号と言う概念はない。
それさえ知っていれば>785のような疑問や>787,>790のような回答は出ない。
あとは>802タンが貼ってくれたとこを熟読すべし。
>>801 マイクロソフトはウィルスを駆除してくれるところではありません。
手順をよく読んで駆除も済ませてください。
>>803 IDが合わないと
アクセスは出来ないし
アクセスポイントも見えないから
から多分OKだと思うけど
パケット拾われる事は恐いけど
>>801 ブラスターの影響でRPCが正常に動作してないときにwindowsupdateするとそうなる。
まずは、ブラスターを何とかしろ。
809 :
名無しさん@お腹いっぱい。 :03/08/23 01:07
今夜は見事に同じプロバの人から135と445を叩かれて ログがすごいことになってる。 昨日はそうでもなかったんだが・・・。 今ごろ感染してる香具師がいるのか???
>>808 誰がタイプコードの話しをした。
いいか、ICMPというプロトコルには
ポ ー ト 番 号 と 言 う 概 念 は な い ん だ よ
↓
∴ICMPがどこぞのポートにたどり着くことはない。
you see?
もっというと TCP/UDPにもIPアドレスって概念はない (w
うちの会社のおバカな話し。 1.ポート135を大元で閉じた。(ここまではよかった。) 2.おバカな社員が、会社のPCに自分の携帯繋いでネット。(あちゃ〜) 以下省略・・・
813 :
名無しさん@お腹いっぱい。 :03/08/23 01:13
>>807 タスクマネージャにmsblastがないんですよ・・・
答えてもらってありがとうございます
自分でなんとかします。
814 :
名無しさん@お腹いっぱい。 :03/08/23 01:15
>>812 実はウチのトコでも一番恐れているパターン。
どきどきどき。
>>812 携帯をPCに繋いでWEBしてもブラスターは入ってくるの?
>>810 うっさい馬鹿!
じゃぁ、ポートスキャンで出てくるポートは何だよ!
Openなポート調べてんだろ!
818 :
名無しさん@お腹いっぱい。 :03/08/23 01:17
ケータイって、どんなOSがのってるん?
syn (ボソ
821 :
名無しさん@お腹いっぱい。 :03/08/23 01:21
>>818 携帯をPCの単なる通信装置(!?)として接続した場合、
O S な ど 関 係 な い 。(携帯のネ。PCのOSが重要になる。)
825 :
名無しさん@お腹いっぱい。 :03/08/23 01:23
ネットワークに繋がっているかどうかが重要で、回線速度は関係ない。
827 :
名無しさん@お腹いっぱい。 :03/08/23 01:25
>>816 >うっさい馬鹿!
俺は馬鹿なので答えられません。(ワラ
あのさー、ここお前のいる場所じゃないよ。子宮へ帰んな。
ここは大人の社交場です。
ここは間違いの多いインターネットですね
830 :
名無しさん@お腹いっぱい。 :03/08/23 01:27
ICMPをポート扱いするスキャナーを見てみたいものだ。
>>825 気付いただけ、君は賢い。
それに比べ、うちのおバカ社員ときたら・・・最低
(パッチ当てない管理者も管理者だ。どっちも最低だ!ゴルァ)
もしかしてICMPって0番ポート?
隊長!報告します。
>>741 は今必死になって
>>802 のリンク先を読んでいるところであります。
報告以上であります。
もちつけ!
/\⌒ヽペタン
/ /⌒)ノ ペタン
∧_∧ \ (( ∧_∧
(; ´Д`))' ))(・∀・ ;)
/ ⌒ノ ( ⌒ヽ⊂⌒ヽ
(O ノ ) ̄ ̄ ̄(.)__ )
)_)_) (;;;;;;;;;;;;;;;;)(_(
>>814 気をつけたほうがいいざんす。
初心者は何やるか想像できない。
(きっと、自宅のPCがやられたんで、繋いだんだろう。)
836 :
名無しさん@お腹いっぱい。 :03/08/23 01:34
>>834 >>741 ってだれだよ。
漏れは
>>635 だ
読んでねぇよ。クリックしてねぇよ馬鹿
その証拠に、即答してやるよ
むつかしい質問してみろヴォケ
釣りっぽいので放置。
>>835 会社でさーひん
↓
コンテンツフィルタ UZeeeeeeee!!!!
↓
備品のパソお持ち帰り
↓
(゚Д゚)ウマー
ってなヴァカがいそうで。
こわひ。
うちの高校、XP・IE6ともにサービスパック当たってない。 一応ゲートウェイとバスターコーポレートエディション入ってるけど。 再起動すると初期設定に戻るようになってるが、セキュリティ意識ないな…
841 :
名無しさん@お腹いっぱい。 :03/08/23 01:39
俺アホやけどわかた pingはIP層か!
釣りじゃねぇよ pingはICMPだろ! SYN/ACKはTCPだ! 今、「ゼロからはじめるネットワーク TCP/IPをマスターしよう」で確認したんだ おすすめの書籍を教えてください すいませんでした 知識の限界です
>>840 バスターは基本的に、セキュリティーホールを利用したウイルスに対しては、
事 後 報 告 だ か ら 気 を つ け ろ !
846 :
名無しさん@お腹いっぱい。 :03/08/23 01:42
FIN_WAIT1
>>844 シマンテックは前から警告出してたっけ?
>>813 亜種を含めてすでに5種類もいるんだぞ。
msblast.exeだけさがしてたってしゃーないぞ。
>>848 おおむねトレンドマイクロの方が対応は早いよ。シマより。
>>843 ワラタ
その本も入門としては良書だと思うよ。
>>852 感染してから報告、ってこと。
ウイルス対策ソフトでは、事前には防げない。(脆弱性を利用したウイルスのばやい)
855 :
名無しさん@お腹いっぱい。 :03/08/23 01:53
すびばせん。 ご存知の方がいらしたらお願いします。 ウイルスバスター使ってるんですが。 ぶらすたに感染する「まさにそのとき」 (tftpで押し込まれてる真っ最中?)って リアルタイムスキャンで検出できるんでしょうか。 無理?っぽい?
>>851 早くヒキコモリを脱出して、働いて
マスタリングTCP/IP と 詳細なんとかTCP/IP
が買えるようになりたいです
きょう自分の無知で恥をかいたことで、やる気が再燃してきました
まずは書き込みをやめることから始めます
そして、いづれ2chをやめて働きます
セキュ板は、1年半毎日来てました
お世話になりました
皆さん、お元気で。
俺はこんなことしてる場合じゃないんだ!
859 :
名無しさん@お腹いっぱい。 :03/08/23 02:00
>>854 McAfee VirusScanの場合、MSBLAST.EXEをダウンロードしようとした(CreateFile?)とたんチェックがかかるけど、実際に感染する場合は、ひっからないのかな?
>>857 ありがとうございます。
すびばせんでした。
いってきます。です。
FIN_WAIT2
>>853 ACK
TIME_WAIT
863 :
名無しさん@お腹いっぱい。 :03/08/23 02:12
CLOSE オヤスミ
USENの光だけど、昨日(22日)の15時から80番はパタリと止まった。 他は健在。
866 :
名無しさん@お腹いっぱい。 :03/08/23 02:41
ウィルスバスターは早いけど先走ってゴメンナサイがあるからな。
868 :
名無しさん@お腹いっぱい。 :03/08/23 07:18
869 :
名無しさん@お腹いっぱい。 :03/08/23 08:23
>>745 MDACが2.5のSP3なら3.520.6300.40でいいんじゃないの
タイムスタンプが7月23日になってるやつで
漏れんとこもそだよ
パッチを分解してみたら3.520.6300.40が入ってたよ
MDACのバージョンによって修正でインスコされるodbc32.dllの
バージョンは違うよ
>>869 サンコス
英語版2.8入れなきゃーと思ってたとこなので助かりますた。
・・・入れてもいいんだけどね。
871 :
名無しさん@お腹いっぱい。 :03/08/23 08:57
MDAC って、みんな英語版なんだよー インスコするときの説明が違うだけだぉー(w
MSBLAST.EXEアッタ━━━━━━(゚∀゚)━━━━━━ !! ご丁寧にもR属性ついてたよ とりあえず削除してオンラインスキャンしたけど 感染ファイルナシって出たからもういいよね?
ping Uzeeeeeeeeee!
>>872 入り口が別々の混浴風呂のようなもんだな
NEC製PCLW36H83D6のノートパソコンで窓98です。 ノートンアンチウィルスが入っていて、 今週の水曜にウィルスデータベース更新したばかりです。 ファイアーウォールはぞぬ3.1.395。インターネットゾーンはhighに設定。 ノートPCから住友megabit gear te4121cを通してネットにつないでます。 窓98から2000にアップグレードしようと思ってるのですが 今回のことも含めて、まずデュアルブートでDドライブに2000を入れて見ようと思います。 そこで、2000で起動した場合、ブラスター&亜種に関してぞぬが防いでくれるのでしょうか? それともルータでport135などを自分で開けていなければ 感染or強制終了されないのでしょうか? >158〜付近などを読むとルータを通していればblaster (もしくはルータで開けていないportつついてくるもの?)に関しては平気なのかな? と思ったのですが・・・・
>874-875 了解っス!(・ω・)ゝ
あ・・・すみません 1.11は当時したのですが、1.13でてたんですね。
882 :
名無しさん@お腹いっぱい。 :03/08/23 12:49
>>880 ほぉ! tnc と eaccessでファームの最新バージョンが違うんだな。
eaccessの最新は、1.11 tncはそれより先に行ってるらしい。
PING送ってくる連中にWEBPOPUPで警告してやりたいけど、何かいい方法ない?
>>881-882 「ユーザーに混乱や誤解を招きかねないので…」とかいった、なんか変な釈明をしてた。
1.11 だと、場合によって DoS 攻撃に対して脆弱で、ルーターが落ちる恐れあり。
>883 こっちからメッセージ送ることは自然に相手のコンピューターに不正侵入する形になるので 不正アクセス防止法違反でタイーホになるので止めておいた方がいいです。 こちらから出来ることは該当プロパに「あなたの所の会員から不正なアタックを大量に受けて ます、しかるべき措置をお願いします。」ってFWログを添付して送りつけるくらいかなぁ (当然、ブラスターなのは知っててもとぼけておくw)
>>884 あ、そなんだ。じゃ、いっちょtncから1.13を落としてみるか。
887 :
名無しさん@お腹いっぱい。 :03/08/23 13:33
亜種ってどこにあるんでしょうか? ここ三日ずっと電源おちちゃいます・・・ マイクロソフトいってもだめでした・・・ もう・・・ダメぽ・・・(´・ω・`)
>>883 PING で反撃したら ど−だろ。(w PING合戦! ま、冗談だが…
ウィルスだろうから しかたないだろ。
ほんとに故意で PING攻撃 してきたことがあったぞ。
そいつは、ほかのところのネットワーク管理者でな。氏名所属を確認したので、
電話で「やめなさい」と言いましすた。
相手は ツベコベ文句たれてたけど、シブシブやめたわ。(w
889 :
名無しさん@お腹いっぱい。 :03/08/23 13:42
まぁ、net sendがあるわけだけど… 感染していて気づかないヤシは、popup開いたところで 「すわ、新種のウイルスか!」で… しあっとダウンして再起動して何事もなかったかのようにネットを再開しそうなヨカーン(w
>>887 XPなら
C:\WINDOWS\system32\wins\
2000なら
C:\WINNT\system32\wins\
このディレクトリ内のDLLHOSTS.EXEとSVCHOSTS.EXEは、Windowsのシステムファイルを騙った偽物。
※他のディレクトリにあるdllhosts.exeとsvchosts.exeはWindowsに必要なシステムファイル。
まあ、あれだ ウイルス最強!
>890 〜HOSTS.exeじゃなく、〜HOST.exeな。
893 :
名無しさん@お腹いっぱい。 :03/08/23 14:25
(アハ
あるところで、 svchost.exe がたくさんあるんですが、お友達の話だと「3つぐらいあるのフツウだよ」 の説明がありました! なんてゆーのがあるんだが、svchost.exe は、C:\windows\system32 の中の1つだけで 十分だよ、ってゆーコメントぢゃダメポ?
896 :
名無しさん@お腹いっぱい。 :03/08/23 15:03
>>894 タスクマネージャで調べたら4つありました。
900 :
名無しさん@お腹いっぱい。 :03/08/23 15:23
しかしお役所がこうもあっちこっちやられたのでは何だねえ。 ファイアーウォール入れたから大丈夫!、とか言ってたんだろうけどね。
901 :
名無しさん@お腹いっぱい。 :03/08/23 15:24
>>897 ええボケやねぇ、好き!
なんだか平和になったなあ。
役人は、決まったことは、なにがなんでもやり抜く無脳ロボットでつ。
>>900 片山らのボケじじぃが「安全だ!」と言い張っているんだから、
なにがあろうと「安全」なんだろうよ(w
誰がそいつらを選挙で当選させたんだ?
905 :
名無しさん@お腹いっぱい。 :03/08/23 16:58
〜山田花子の100qマラソンを応援しよう〜
『マ ラ ソ ン は T V で 見 る も の じ ゃ な い !
現 場 で 見 る も の な ん だ ! ! !』
「日テレよ聞こえるか??どうしてあんなに汗が流れるんだ!!!」
「日テレは募金を求めてます。障害者を救って下さい」
「俺を待ってた祭りってこれなんだぁ〜」
「俺達2chネラはな!地べたを這いずり回ってんだ!!そのときの気分でな!!」
「お祭りの開催には参加者が足りません…2chネラは仲間を求めてます。お願いします。仲間、増やしてください」
「監視と盗聴による捜査です」
【踊る大捜査線@2ch】
■100kmマラソンを監視せよ
http://off.2ch.net/test/read.cgi/offmatrix/1061595129/ ■TBBS(臨時板で常時マラソンを監視)
http://tbbs.ns.tc/ ☆求む☆
・写真をUPしてくれる方
・モバイル中継をしてくれる方
・実況サイトや総合サイトを運営してくれる方
・TVから走行距離や時間を記録してくれる方
遠くてもできる事があるはずだ、みんなで応援しようぜ
http://tbbs.ns.tc/ の【組織】日テレ24hマラソン応援OFF【ショートカット】 スレまでトリップをつけて表明をお願いします。
かな〜り落ち着いてきてるな。
そうでも無い気がする pingの嵐は収まって無いし
908 :
名無しさん@お腹いっぱい。 :03/08/23 18:57
ブラスタにやられた企業や役所は、単純にちょっと前のWindows Updateをしていなかったって理解でいいの?
909 :
名無しさん@お腹いっぱい。 :03/08/23 18:58
↑ していなかった、というのはパッチを当てていなかった、という意味で書きました。
その通りでつ。
ここのところ、BlasterよりWelchiaばっかりだな。 Blasterはもう沈静化したということでいい?
>>910 レスありがと。
そうなのか…頼りないな…火壁も何も関係ないのか…
馬鹿がノートで持ち込むんだよ。
>>908 肩持つわけではないが、実際問題何百台何千台ってPCあるし、
それぞれOSや環境が異なってたりして、管理し辛いのが現状では?
個人のように1台2台なら話しはわかるが。(それすらやってないやつが・・・)
>>908 ちょい前のというより、一度もしてなかっただと思うが。
>>916 コードレッド以来やってない。
少なくともうちの会社はコレ。
うちの会社には「アップデート専門要員」がいる。
作者、トレンドマイクロの社員だろ
アイ ラブ サン・・・(チャン?)
>>918 それやると嫌われない?おれ辞めた会社でかなり嫌われた。
で、今回やられたってさ。だから言わんこっちゃないつの。
たかだか20台。一人でやってもまあ、簡単なことなのに。
このペースだと次スレが必要なような。 【まだまだ】Blasterスレ Part3【ご用心】 などどうでつか?
【今後の対策】Blasterスレ Part3【肝・心・要】 てな感じでどう?公私で無料サポしたり、 だから言わんこっちゃないと溜息ついてるシステム担当者のためにも・・・
2003年はお盆休みをウィールスにやられた年として漏れの年代記に記録された…
実質はそうだが、このスレタイ(Part 2)からして、 やっぱり次スレは【Part 3】の方がわかりすいだろう。
928 :
名無しさん@お腹いっぱい。 :03/08/23 20:46
あのだれかmsblastの亜種の名前わかりませんか? 自分XPなんですけど一昨日から電源おちっぱなしです・・ タスクマネージャにmsblastがないんでこまってます。 おねがいします
【まだまだ】〜【ご用心】とか 【今後の対策】〜 じゃ無い気がします おいらの中じゃ 【早く対策しろ】〜 なんだなぁ(実感)
【本当の感染者は】Blasterスレ Part3(ホントは7)【あなたです】
933 :
名無しさん@お腹いっぱい。 :03/08/23 21:09
【本当の脅威は】Blasterスレ Part3(ホントは7)【Welchiaです】
【本当の首謀者は】Blasterスレ Part3(ホントは7)【M$です】
Welchi( Nachi )をBlasterの亜種に分類しないでほしいな。 Blasterの亜種にしてるのはトレンドマイクロとマイクロソフトとマスコミ全般 一般ユーザーは混乱するのみ WORM_MSBLAST.D(トレンドマイクロ)=W32.Welchia.Worm(シマンテック) WORM_MSBLAST.E(トレンドマイクロ)=W32.Blaster.D.Worm(シマンテック)
>>935 スレがもったいないので、この際いっしょでいい。
>>92 今読み返したら誤植ハケーン。スマソ。
>>127 の最後から2行目
SVXHOST→SVCHOSTでつ。補足でミニFAQを書いておきまつ。
【miniFAQ】
Q svchost.exe dllhost.exeってそもそも何ですか?
A どちらもWindowsの重要なシステムファイルです
Q ニセモノと本物の見分け方は?
A ニセモノは\system32\winsというデイレクトリに巣食っています。
ニセモノはなぜか大文字でSVCHOST.EXE DLLHOST.EXE
ニセモノはエクスプローラで作成日を見ると感染日(最近)になっています。
Q タスクマネージャーでニセモノのSVCHOST.EXEが停止ができません。
A セーフモードで起動してからタスクマネージャーで停止する。
Q セーフモードって?
A まず再起動をかけます。OSの起動中にF8キーを何度か叩く。
A ファイアーウォール入れていても感染しますか?
Q OSがネットに接続してからFWが立ち上がるまでのわずかなスキに
侵入されることがあります。パッチ当てる前のOSを立ち上げるときは
ケーブルを抜くかモデムの電源を落としておきます。
>>936 同意。 それにM$とトレンドとマスコミ一般がそう分類していたらだな(ry
> ニセモノはなぜか大文字でSVCHOST.EXE DLLHOST.EXE Windowsのばやい、大文字・小文字の取扱いが適当なので、一概には言えないのでは? # 設定によっては、最初の一文字だけ大文字にもなる。
941 :
名無しさん@お腹いっぱい。 :03/08/23 21:36
8.27 は、『Blaster 緊急対策用無償 CD 』を貰うOFFな! 無駄話は一切ナシ、殺伐とした雰囲気の中でCDを貰って即解散!ヨロシク。 配布開始時期:8 月 27 日(水) 配布方法:ブラスター緊急対策用CD-ROM受付窓口および全国パソコンショップ・家電量販店にて無償配布。
942 :
名無しさん@お腹いっぱい。 :03/08/23 21:37
あー、あちあち。 MSがCD20万枚配布ってのは、自発的なものじゃなくて、経産省の圧力があったかららしいな。 ったくMSという香具師は・・・・・
CDってM$が配布するんじゃないでしょ?
>>940 なるほど、それはそうかも。自分が消してまわったPCではたまたま皆大文字に
なってましたが。(5台くらい) みなさんのとこ、どうでした?
>>943 製造配布元はトレンドやシマンテックなどのアンチウィールス屋だが、
M$がパッチと金を出すということのようだ。
946 :
名無しさん@お腹いっぱい。 :03/08/23 21:44
>>943 経産省が無償配布をMSに要請したんだよ。エンドユーザへの配布主体が誰かは問題ではない。MSが自分から手を挙げたことではないってこと
つまり親が子供にお使いに行かせるような事ってわけか
>>944 NTFSなら大文字ってことではないの?
ちなみに私の周囲は感染者無し。
これはこれで面白くない。(´・ω・`)
950 :
名無しさん@お腹いっぱい。 :03/08/23 21:51
実際、20万枚も配るのかね(・∀・)ニヤニヤ
>>928 WORM_MSBLAST.A = "msblast.exe"
WORM_MSBLAST.B = "PENIS32.exe"
WORM_MSBLAST.C = "TEEKIDS.EXE"
WORM_MSBLAST.D = "DLLHOST.EXE""SVCHOST.EXE"
WORM_MSBLAST.E = "mspatch.exe"
似た名前の必要なファイルを消さないようにご用心。
952 :
名無しさん@お腹いっぱい。 :03/08/23 21:56
>>950 MSにきいてみるよろし。
今日もping pingで夜が更けてい行くなあ。Blast D活動中ってことか…
むしろ貰いに来る奴はまだマシだな ウイルス感染自覚してるだけ・・・ 本当に危険なのは未だに気づいてない奴ら
dllhost.exeと一緒についてくるsvchost.exeって、md5とると 2種類あるようなんだけど... サイズは同じ 19725 で 6f3ab5b254b031492cebdca83dfdba37 svchost.exe 3bbf9520a6c2a965efd75e995166e466 svchost.exe.1 どう?
CDのおまけで、Blasterバッチ キボンヌ (・∀・)ニヤニヤ
>953 同意 特にDだとマシンスペック低かったらping大量ばらまきにPCが耐えられなくなって 重くなったりするらしいが高スペックだと気がつかないかも
svchostは四つ起動しているな。全部小文字だから本物か? 次スレが必要だと思うきょうこのごろ。
>>957 disassembler がないからこれ以上わからん
od とった結果を diff ならできるけど
>>958 あれ?
おれが見たケースでは svchost.exe は小文字だったよ。
DLLHOST.EXE は大文字だったけど。
だれかスレ立て、おながい
>>960 だから、Windowsのファイル名は、大文字・小文字は適当なんだってばさ。
>>960 ニセはDLLHOSTのほうで、svchostは本物だったんじゃ?
だれかsvchost(小文字)がニセだった香具師いますか?
タスクマネージャーにはプロセスの起動元ディレクトリ
なんか表示されないから、大文字、小文字で見分けが
つかないと困るんだが。
>>949 NTFSだとFAT32と大文字、小文字の扱いが違うの?
> タスクマネージャーにはプロセスの起動元ディレクトリ > なんか表示されないから、大文字、小文字で見分けが > つかないと困るんだが。 そうそう。そうなんす。とはいえ、 ウイルスバスターの検索結果はウイルスフリーなので安心はしている。
さっき何かの弾みで接続が切れて、接続しなおしたら途端にpingの嵐。 毎分50回くらい。しかも海外からが大半。一体どうなってるんだ。 今までは毎分3回くらいplalaドメインから来る程度だったのに・・・。
「ブラスター」の亜種と思われるウイルスが、弊社内のネットワークに 大量発生し、回線を非常に圧迫しており、ホームページの閲覧やメール サーバーへの接続が非常に不安定になっております。 と言うことで利用しているケーブルネットがダウン・゚・(ノД`)・゚・ 数日間もこんな調子なので本当に困る。
968 :
名無しさん@お腹いっぱい。 :03/08/23 22:56
>>967 大量発生ってのがいいね。勝手に生まれてきたみたいで、「管理者のせいじゃない」って気持ちがにじみ出てるな
>>967 他のケーブルテレビインターネットは
大丈夫かな?
∋oノハヽ
川o・-・)
_(__つ/ ̄ ̄ ̄/_
\/___/
カタカタ
971 :
名無しさん@お腹いっぱい。 :03/08/23 23:04
>>967 親切な方、Part3スレ立てキボンヌ…
ニュースで4社くらい発生したらしいと言っていた時には他人事のように 思っていたが、まさに天災と言う感じ。。
>>964 FAT環境だと、8.3形式の名前は内部的には全て大文字で格納。(ロングファイルネームでは区別される)
NTFSでは8.3形式でも大文字・小文字区別して格納。(?)
経験則なので間違っている可能性は大。鵜呑み厳禁。
975 :
名無しさん@お腹いっぱい。 :03/08/23 23:06
うちのケーブルモデムは、ここんとこ24時間、 受信ランプ、はげしく点滅しっぱなし、。・゚・(ノД`)・゚・。 log捕ったら、pingばっか沢山w うぜーから寝るときは、モデムの電源すっこぬいてるよ。 にしても、感染したのがわかんないのかね?これだけ騒がれてるのにw
私は鵜。鵜鵜鵜。はぁ〜ごっくん。
>>571 の続き
昼間が微妙に少なくなったのは土曜日だからか?
2003-08-22 12-15 #################################################
2003-08-22 16-19 #############################################
2003-08-22 20-23 ###########################################
2003-08-23 00-03 ##########################################
2003-08-23 04-07 #####################################
2003-08-23 08-11 #######################################
2003-08-23 12-15 ########################################
2003-08-23 16-19 ####################################
土曜日だからか?それとも対策されつつあるのか? 半減はしてるね…それでもこの時間(22:00-23:00)は50アタック/h。昨日の半分程度。 どさくさに紛れてport 21058をつついてる香具師もいる。
冫─' ~  ̄´^-、
/ 丶
/ ノ、
/ /ヽ丿彡彡彡彡彡ヽヽ
| 丿 ミ
| 彡 ____ ____ ミ/
ゝ_//| |⌒| |ヽゞ
|tゝ \__/_ \__/ | |
ヽノ /\_/\ |ノ .____________
ゝ /ヽ───‐ヽ / / 次スレ:
/|ヽ ヽ──' / < 【早く】 Blasterスレ Part3 【対策しろ】
/ | \  ̄ / \
http://pc.2ch.net/test/read.cgi/sec/1061647087/ / ヽ ‐-  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
980 :
名無しさん@お腹いっぱい。 :03/08/23 23:23
ume
plala pingがまったく収まらない・・・ 世界中から来る。 回線を切断してIPを変えるたびに激しさが異なる気がする。
ume2
冫─' ~  ̄´^-、 / 丶 / ノ、 / /ヽ丿彡彡彡彡彡ヽヽ | 丿 ミ | 彡 ____ ____ ミ/ ゝ_//| |⌒| |ヽゞ |tゝ \__/_ \__/ | | ヽノ /\_/\ |ノ .______ ゝ /ヽ───‐ヽ / / /|ヽ ヽ──' / < Ping You !! / | \  ̄ / \ / ヽ ‐-  ̄ ̄ ̄ ̄ ̄ ̄
>>981 ぷらっきーPingは永遠不滅なんだよ
舐めんなよ
985 :
名無しさん@お腹いっぱい。 :03/08/23 23:54
22:00を境に135&445へのアタックがぴたりと止んだ。
ping 195/h
藻前のプロバが止めたんだろ。
>986 三鷹武蔵野CATVでつ
>989 かの有名な三鷹武蔵野か!
このスレには結構有益な情報がカキコされてますから、 埋め立ててしまうとDAT落ちして黒丸買った香具師しか 読めなくなってしまうので… ★新スレに移動しませう★
あい ーーーーーーー 糸冬 了ーーーーーーーー
再開
994 :
名無しさん@お腹いっぱい。 :03/08/24 00:56
みんな!新スレに移動だ
埋めるなカス
997 :
名無しさん@お腹いっぱい。 :03/08/24 00:57
1000
1!
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。