msblast対策スレ【ICMP祭り開催中】3日目!
1 :
名無しさん@お腹いっぱい。 :
03/08/18 20:11
2
3 :
名無しさん@お腹いっぱい。 :03/08/18 20:11
2
5 :
名無しさん@お腹いっぱい。 :03/08/18 20:12
2
1000
乙
8 :
名無しさん@お腹いっぱい。 :03/08/18 20:13
誰か国別アドレス範囲一覧を持ってませんか?
11 :
名無しさん@お腹いっぱい。 :03/08/18 20:14
192.168.0.255から135とか137の接続がくるんですがなんなんでしょうか? 該当するIPはLAN内にありませんしルータのLAN側IPは192.168.0.1です。
>>1 ノノハヽ\
||σ_σ||| オツカレーション
⊂二、 \ プリッ
ヽ ) )
/ / /
(__ノ_丿
怒涛のICMP祭りの開催を宣言しまつ!
なんだよこれ。Port80を無駄に叩いてくる 211.160.9.130 - - [18/Aug/2003:12:59:46 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.13.44.165 - - [18/Aug/2003:13:04:16 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.4.223.244 - - [18/Aug/2003:13:10:58 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 61.174.136.184 - - [18/Aug/2003:13:20:15 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 61.144.119.191 - - [18/Aug/2003:13:24:06 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.29.255.228 - - [18/Aug/2003:13:31:54 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.95.64.37 - - [18/Aug/2003:13:32:32 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 211.234.112.229 - - [18/Aug/2003:13:33:50 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.6.41.90 - - [18/Aug/2003:13:36:00 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.95.79.243 - - [18/Aug/2003:13:41:57 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.109.51.27 - - [18/Aug/2003:13:48:27 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.29.230.55 - - [18/Aug/2003:13:53:02 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.88.176.149 - - [18/Aug/2003:13:56:39 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 61.166.163.26 - - [18/Aug/2003:13:57:22 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.242.120.222 - - [18/Aug/2003:14:09:10 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 61.178.18.62 - - [18/Aug/2003:14:31:10 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.88.13.62 - - [18/Aug/2003:14:31:13 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.19.5.42 - - [18/Aug/2003:14:33:02 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 61.109.17.112 - - [18/Aug/2003:14:36:20 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.72.89.106 - - [18/Aug/2003:14:40:51 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
211.235.16.222 - - [18/Aug/2003:15:04:14 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.5.148.214 - - [18/Aug/2003:15:04:30 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.79.170.90 - - [18/Aug/2003:15:12:01 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 61.155.172.68 - - [18/Aug/2003:15:15:59 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.72.103.200 - - [18/Aug/2003:15:17:54 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.145.25.110 - - [18/Aug/2003:15:18:18 +0900] "GET / HTTP/1.0" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 61.55.212.232 - - [18/Aug/2003:15:32:47 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 61.174.157.52 - - [18/Aug/2003:15:37:12 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.15.106.171 - - [18/Aug/2003:15:39:31 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.18.193.7 - - [18/Aug/2003:15:48:43 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.177.236.206 - - [18/Aug/2003:15:52:16 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.145.25.46 - - [18/Aug/2003:15:57:25 +0900] "GET / HTTP/1.0" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 61.110.204.220 - - [18/Aug/2003:15:58:52 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.154.45.236 - - [18/Aug/2003:16:00:17 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 61.248.160.170 - - [18/Aug/2003:16:02:22 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.65.189.60 - - [18/Aug/2003:16:02:36 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 211.95.164.20 - - [18/Aug/2003:16:03:02 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 61.242.117.175 - - [18/Aug/2003:16:03:13 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 211.243.27.87 - - [18/Aug/2003:16:15:09 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 61.169.106.195 - - [18/Aug/2003:16:19:27 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.72.10.114 - - [18/Aug/2003:16:24:23 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.1.188.199 - - [18/Aug/2003:16:28:20 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.0.135.43 - - [18/Aug/2003:16:28:41 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 211.61.133.33 - - [18/Aug/2003:16:29:47 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.74.169.49 - - [18/Aug/2003:16:32:53 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 61.53.146.69 - - [18/Aug/2003:16:39:51 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.79.146.170 - - [18/Aug/2003:16:42:18 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 218.79.50.48 - - [18/Aug/2003:16:53:04 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 210.22.24.65 - - [18/Aug/2003:16:55:51 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 219.137.63.121 - - [18/Aug/2003:17:02:05 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 以下大量(約1MB)
19 :
名無しさん@お腹いっぱい。 :03/08/18 20:18
閉じたほうがいいポートをまとめてくれ
21 :
名無しさん@お腹いっぱい。 :03/08/18 20:19
>>19 今は
port135 を直接叩いてくるもの
ICMPを送信してくるもの
port 80 を叩いてくるもの
が主だったものみたいだけど。
感染源に対し、net sendでウザいとでも伝えようかね(ワラ 相手はNT系だから有効なはずだ。メッセンジャーサービス切ってなければ。
祭り太鼓がドンドコドンドコ叩いてくるねぇ
28 :
名無しさん@お腹いっぱい。 :03/08/18 20:23
俺ICMPを打ちまくるやつに感染してるんだろうか… 早く情報出てくれ〜・゚・(ノД`)・゚・
29 :
名無しさん@お腹いっぱい。 :03/08/18 20:24
情報は出てるから理解しなさい
>>27 ルータ挟んでればまず食らわないよ。
はう、こっちがルータかましてると届かないのか?
依然として韓、中国が多い HZCNCNETってなんだ? これも中国?
32 :
名無しさん@お腹いっぱい。 :03/08/18 20:27
ポートの確実な閉じ方を是非とも教えてくだされ
_∧_∧_∧_∧_∧_∧_∧_∧_ デケデケ | | ドコドコ <pingpingpingpingpingpingpingpingpingping ☆ ドムドム |_ _ _ _ _ _ _ _ _ _| ☆ ダダダダ! ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨ ドシャーン! ヽ オラオラッ!! ♪ =≡= ∧_∧ ☆ ♪ / 〃(・∀・ #) / シャンシャン ♪ 〆 ┌\と\と.ヾ∈≡∋ゞ || γ ⌒ヽヽコ ノ || || ΣΣ .|:::|∪〓 || ♪ ./|\人 _.ノノ _||_. /|\
ポート閉じるのに確実も不確実もないような気が・・・・
35 :
名無しさん@お腹いっぱい。 :03/08/18 20:28
36 :
名無しさん@お腹いっぱい。 :03/08/18 20:28
FWのログを見て、びっくりしたので来ました。 情報くれや雑魚ども。
38 :
名無しさん@お腹いっぱい。 :03/08/18 20:29
39 :
名無しさん@お腹いっぱい。 :03/08/18 20:29
↓ ドコドコうるせーんだよのAA
だれかblaster解析したやつっていない? ちなみに俺はスキルなし。ついでに根性なしで、ろくでなし。
41 :
名無しさん@お腹いっぱい。 :03/08/18 20:30
>>34 クソMSのOS付属ファイアーウォールの方法だと閉じられてなかったので。
ポートスキャンさせたら開いていました。
ネットの情報をうまく拾えないので直接閉じる方法がわかりません
42 :
名無しさん@お腹いっぱい。 :03/08/18 20:30
_∧_∧_∧_∧_∧_∧_∧_∧_ デケデケ | | ドコドコ <pingpingpingpingpingpingpingpingpingping ☆ ドムドム |_ _ _ _ _ _ _ _ _ _| ☆ ダダダダ! ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨ ドシャーン! ヽ オラオラッ!! ♪ =≡= ∧_∧ ☆ ♪ / 〃(・∀・ #) / シャンシャン ♪ 〆 ┌\と\と.ヾ∈≡∋ゞ || γ ⌒ヽヽコ ノ || || ΣΣ .|:::|∪〓 || ♪ ./|\人 _.ノノ _||_. /|\
43 :
名無しさん@お腹いっぱい。 :03/08/18 20:30
*.hrって国からICMPキタ━━━━(゚∀゚)━━━━!! 何県だろ?これ
45 :
名無しさん@お腹いっぱい。 :03/08/18 20:31
↓ ドコドコうるせーんだよのAA
>>36 >>9 1分間に10回ぐらいport135を叩かれてるぞゴルァ
49 :
名無しさん@お腹いっぱい。 :03/08/18 20:32
漏れもさっき大量に ICMP が投げられてくるのに気付いてなんか情報ないか 探そうと思てこの板に来たんだが、MSBlast だったのか。 まぁ rooter で port69/udp,135-139/tcp その他は塞いである上に local 側に Windows は置いてないし、ついでに外からくる ICMP には返事させな いようにしてあるからどうでもいいっちゃいいんだが。 それにしてもうっとうしい話だ。
50 :
名無しさん@お腹いっぱい。 :03/08/18 20:33
I C M P っ て 何 で す か ? ・・・ねぇ・・。
51 :
名無しさん@お腹いっぱい。 :03/08/18 20:33
オレ ぷららとエキサイト入ってるけど ぷららだと 135と137が少々 ICMP多数 エキサイトだと 135多数 137少々 ICMPなし って感じです。
52 :
名無しさん@お腹いっぱい。 :03/08/18 20:33
53 :
名無しさん@お腹いっぱい。 :03/08/18 20:33
TCP/IPプロパティ ↓ 詳細設定 ↓ TCP/IPフィルタリングを有効 ↓ 一部許可する ↓ 必要なポートを登録 ↓ これならママもOKさっ!( ・∀・)
54 :
名無しさん@お腹いっぱい。 :03/08/18 20:35
同じISPからばかり来るのが不思議とか言ってるやつはまずこれを嫁。
ttp://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.html 3.IPアドレスを生成し、そのアドレスのコンピュータに感染を試みます。
IPアドレスは次のアルゴリズムに基づいて生成されます。
・40%の確率で、 A.B.C.0の形式のIPアドレスが生成されます。A.B.は、感染元と
なるコンピュータのIPアドレスの先頭2つの値と同じです。
Cは、感染元となるシステムのIPアドレスの3番目の値に基づいて計算されます。
ワームは、40%の確率でCの値が20よりも大きいかどうかを確認します。20より大
きい場合は、Cの値から20未満のランダムな値を差し引いた値を使用します。
IPアドレスの計算が終わると、ワームは算出されたIPアドレス(A.B.C.0)に
該当するコンピュータを探して感染しようとします。
その後、上記で計算したIPアドレスの0の部分に1を加え、そのアドレスに
該当する他のコンピュータを探して攻撃しようとします。この操作をIPアドレス
の0の部分が254に達するまで繰り返し行います。
・60%の確率で、完全にランダムなIPアドレスを使用します。
55 :
名無しさん@お腹いっぱい。 :03/08/18 20:36
>>51 オレもぷららだ
同じく135と137が少々 ICMP多数
57 :
名無しさん@お腹いっぱい。 :03/08/18 20:37
>>53 ありがとうございます。
それ以外に、直接閉じる方法ってないんですかね?
Blasterは40%の確率で自分に近いネットワークに、 60%の確率で全くランダムに接続先IPアドレスを作り出して、 そこにアクセスを試みるらしい
>56 何らかの感染ルート探しじゃないの?
60 :
名無しさん@お腹いっぱい。 :03/08/18 20:38
国際派だな
日本代表に選抜されたヤツがいるな
65 :
名無しさん@お腹いっぱい。 :03/08/18 20:40
俺もpingの意味がわからん port135に直接送ってくるならわかるが 別にping打たれたって、それでセキュリティレベルが 分かるわけでもない 意図が全然わからんから怖すぎる
>>59 新種・・・という可能性ありですか・・・。
というか、ブラスター発見当初のTCP135へのスキャンよりも
はるかに激しいんですよね。
>>60 そりゃそうですね。
67 :
名無しさん@お腹いっぱい。 :03/08/18 20:40
世界的にpingのあらして・・新種ワーム?世界規模で落ちたらおもろいんだけどなぁ。 でもおもしろさを共有できないからダメだな
68 :
名無しさん@お腹いっぱい。 :03/08/18 20:41
中国からのご訪問も多いな
ワールドワイド
こんなことならインターネットに接続しているマシンも生態系といっしょで いろいろなOSがあったほうがいいと思ってしまった今日この頃…
えーと、つまり、 ping打って返事を待つ→返事があった香具師の135が空いているか確かめる →空いていたらブラスターぶちこむ→感染 ってのがこれの狙いですか?
今こそBeOS
( ・∀・) | | ガッ と ) | | Y /ノ 人 / ) < >__Λ∩ _/し' //. V`Д´)/ (_フ彡 / ←漏れ
74 :
名無しさん@お腹いっぱい。 :03/08/18 20:42
>>65 tcpコネクションのタイムアウト値とICMPのタイムアウト値を調べてみろ。
おまえがたとえ馬鹿だろうが猿だろうが、効率のいい攻撃方法がわかるから。
>>51 単純に加入者数が反映されるだけじゃねーの?
エキサイトの人って少ないんだろ?
全世界の感染PCがもし一斉にping打ちまくったとしたらどうなるんだろう? その程度じゃネットワークなんてなんとも無いんだろうか。
>>56 pingを打つ→応答が返ってくる→そのアドレスにコンピュータが存在する
コンピュータが存在するアドレスに135攻撃を仕掛ける(゚Д゚ )ウマー
同じセキュリティホールを使ってワームをやっつけにいくワームが現れたりして。
79 :
名無しさん@お腹いっぱい。 :03/08/18 20:43
pingってBlaster亜種の仕業? 本種じゃこんな事なかったのに
81 :
名無しさん@お腹いっぱい。 :03/08/18 20:43
port69/udp開いてたら、TFTP使えるんだよね。
>>66 こんな説がある。
783 名前:名無しさん@お腹いっぱい。 投稿日:03/08/18 17:50
いまのところ2ちゃんで確認されてるブラスターの挙動としては
1、普通にTCP135にアタックしてくる
2、最初にping(ICMP)を打って反応があったPCにTCP135のアタックをかける
(pingが拒絶された場合は135アタックはしない)
の2つのパターンになりますかね。
83 :
名無しさん@お腹いっぱい。 :03/08/18 20:43
インターネットやってて、こんなにアクセス来たのは初めて。
>>70 日本も確か日本製OSがあって、
しかしながらアメちゃんに潰された
っちゅーのをどこかで聞いた。
85 :
名無しさん@お腹いっぱい。 :03/08/18 20:44
ものすごい勢いでPing打たれてます。 僕の肛門に・・。
86 :
名無しさん@お腹いっぱい。 :03/08/18 20:44
いきなりtcpでコネクション張りに行くのは時間のロスが非常に大きいということやね。 だから最初にicmpで存在を確認しておく。
ていうか、ISPはなにやってんの? まさかこれに気づいてないとか言うんじゃないよな?
よーしパパMZ-80Bでインターネットしちゃうぞー
>>85 8月上旬にアナルセックスしたんだけど
気持ちよく無かったよ。
中身が出る感%8**。
91 :
名無しさん@お腹いっぱい。 :03/08/18 20:46
92 :
名無しさん@お腹いっぱい。 :03/08/18 20:46
● ξミヽ(・∀・)ノξ (´⌒(´
土器土器惑惑な自分がここにいる
>85 やらないか
95 :
名無しさん@お腹いっぱい。 :03/08/18 20:47
ICMPじゃなくて裸のねーちゃんがどんどこやって来るなら大歓迎なんだけどな
つうかこれがもしブラスターの亜種だとしたら セカンドはファーストよりも礼儀正しいってことになるなw いきなり土足で踏み込んでくるファーストとは育ちが違うようだ。
97 :
名無しさん@お腹いっぱい。 :03/08/18 20:48
>>84 トロンOSのこと?
今は携帯で頑張ってるね。
セカンドインパクトだったのか・・・
>>98 そのうち日本発のサードインパクトが起こるでしょう。
102 :
名無しさん@お腹いっぱい。 :03/08/18 20:49
そしてサードインパクトで世界は滅びる…
誰かFW切ってPCにどのような影響があるか確かめてくれ
104 :
名無しさん@お腹いっぱい。 :03/08/18 20:50
エヴァヲタがいるなw
106 :
名無しさん@お腹いっぱい。 :03/08/18 20:50
今日の山場は会社の始業時だったんだが意外な形で祭りになっているな
107 :
名無しさん@お腹いっぱい。 :03/08/18 20:50
WIN98も感染するの?
108 :
名無しさん@お腹いっぱい。 :03/08/18 20:50
>>102 俺と美女で処女の乙女のみが生き残るけどな。
>>103 切ったけどノートン先生が守ってくれてる罠
110 :
名無しさん@お腹いっぱい。 :03/08/18 20:51
111 :
名無しさん@お腹いっぱい。 :03/08/18 20:51
ステルスモード一回解除してみようかな そしたら135アッタクされまくりかな
俺かよ!?
ICMPが来る頻度はどう? 漏れの所は昼過ぎから たいして変わってないんだけど。
>>113 一旦収束しかけたように見えたけど、
夕方からまた鰻上り。
115 :
名無しさん@お腹いっぱい。 :03/08/18 20:53
つーかFW切ったらpingの後に何されてもわからないしな
116 :
名無しさん@お腹いっぱい。 :03/08/18 20:53
TCP/135 ならISPが対策で閉じちゃうこともできるけど… うざー実害はないけど
117 :
名無しさん@お腹いっぱい。 :03/08/18 20:53
ネット全体が重くない? 今日は何処のページを開くのにも時間がかかってしまう。
誰かルーターの設定許容にした上で ノートン等をアンインストールしてPCにどのような影響があるか確かめてくれ
おまえら実はMだろ?
>113 うちは結構ばらばら。 1分間に5〜6回くるかと思うと、1回程度だったり。 ドサクサ紛れにポート137叩きにきやがる。
40分間で124回攻撃 キタ━━━━(゚∀゚)━━━━ !!
>>115 Blastが狙うとされてるポトも一応監視してます。
一時間半で100発超えた
125 :
名無しさん@お腹いっぱい。 :03/08/18 20:55
126 :
名無しさん@お腹いっぱい。 :03/08/18 20:55
FWの設定を変えて内向きのpingだけ許可してみたら、TCP135へのスキャンが急に増えた。 やっぱ、新種のブラスターかもね。
10分で30発ってとこだな
>>126 pingの発信元と135スキャンのアクセス元は同一?
>>103 これからやってみるよ。
PC数台あるから、どれかを実験台にしてみる。
>>119 subMarineだよもん。pingは漏れのアクチブソナーなのです。
>>129 う〜ん。それはわからない。
ブロックしたものしかログを取らない仕様なもので。
でも、再度ブロックする設定にしたらTCP135へのスキャンがぴたりと止んだ。
134 :
名無しさん@お腹いっぱい。 :03/08/18 20:58
135 :
名無しさん@お腹いっぱい。 :03/08/18 20:58
毎分5〜6回。 今さっきルータの設定を 「 インターネット側からのpingに応答する 」 に変えてみたYO!
あら、10回/分だよ・・
うーむ。TCP135へのスキャンが全く無くなった。
うちも複数台PCあるがPCにFW入れてないもんだから 1台を実験台にしたら全部感染する罠(藁 実験できんわ・・・
これがブラスターの亜種だとして この亜種でブラスターに感染してしまうような香具師ってどうよ?
140 :
名無しさん@お腹いっぱい。 :03/08/18 21:00
ほんとだ ICMP許可した途端に、135をつついてきた でも許可しちゃったのでping打った奴のせいなのか 確かめられない・・・鬱
>>129 >>126 じゃないけど、ウチの場合はほぼ100%一緒。
それから今日のログみててきがついたんだけど、
同じIPアドレスからほぼ3時間おきに、もすくは2時間おきに
ICMPが1回ずつ飛んできてる。
同じような人いる?
142 :
名無しさん@お腹いっぱい。 :03/08/18 21:02
本種作者がブラスターをバージョンアップさせたんじゃないか?
>>139 ネットが危険なものだという危機意識の全く無い初心者だと思います。
シュラク隊のガンブラスターは飛びすぎる
>>142 W32.Blaster.Worm Ver.2.1くらい?(w
>>139 まだMS03-026パッチ当ててない奴ってことかしら?
詳しいことはこのスレの漢が身をもって試してくれるはず。
>>135 うちは逆にしてみた。
「WAN側からのpingを受け付けない」に。
…変わらないなぁ。
148 :
名無しさん@お腹いっぱい。 :03/08/18 21:06
直後の1分間で135へのアタックが6回きたYO! これまでの135アタックは単発(一回失敗すれば終わり)だったけど、 今度のは何度も繰り返し侵入を試みてるYO! 前の135アタックと明らかに振る舞いが違う今度の135アタックは新型だNE!
149 :
名無しさん@お腹いっぱい。 :03/08/18 21:06
(つД`)ちょっと前にLanでノートとやり取りしてたから1・2分ほど うっかりpfwをallow allのまま繋げちまった・・・ ログを見ると確かにpingに返事を返した後に135につないできてるみたい
>>122 そんなに凄いんだ。
ルータのログ見てもあまりないんだよね。
ネットに繋いだとたんに3分も経たずにping100発超えたよ。 あーなんて言うかこいつの肛門が羨ましい↓
このスレで135取ったおいらは紙だNE!
155 :
名無しさん@お腹いっぱい。 :03/08/18 21:09
大陸間弾道弾がめっちゃきてるな
下半身裸でハッテン場を散歩してるやつがいるな
全然
159 :
名無しさん@お腹いっぱい。 :03/08/18 21:10
ミューテックス見て感染してるかどうか調べて 古い奴なら新しいワームに切り替えてるなこれ
>>159 プロセス殺して、置換えやってんの?ワームの。
微妙に通信速度が落ちた気がする
162 :
126,145 :03/08/18 21:12
うむ。何度試しても同じパターンだ。 内向きpingを許可 → TCP135へのスキャンが急増 内向きpingをブロック → TCP135へのスキャンが止む やっぱ、W32.Blaster.Worm Ver.2.1か?
163 :
名無しさん@お腹いっぱい。 :03/08/18 21:13
よく見ると、新型は3回アクセスに失敗すると侵入を諦めるようだね。 旧型 … いきなり135ポートにtcpコネクションを張り、一回失敗すると次の獲物を探す 新型 … まずpingでアライブを確認、次にtcpコネクションを張りに行き三回失敗すると次の獲物を探す こんな感じか。
やっぱ祭りはこうじゃなくちゃな!
pingってのはトイレの個室をノックして歩いてるようなもの ノックして中から返事が返ってきたら、次はドア開けて入ってこようとする 対策はドアにちゃんと鍵をかけるか、レイプされても妊娠しないようにピルのんどく ただ、いくら鍵をかけてもドアのノックは停められない
近いアドレスからが多いですね
>>166 なんつうえげつない例えだと思ったが、
禿同だ。
>>166 鍵掛け過ぎて二度と出られなくなりますた
171 :
名無しさん@お腹いっぱい。 :03/08/18 21:15
>>166 ドアをたたけなくしちゃってる(ステルス化)人は多いと思われ。
トイレでレイプは汚いのでしません
この娘完全に騙されてますね。撮影者は業界人を装ってます。
そんな男に生理中にもかかわらずぶち込まれちゃいます。
カワイイ顔して大きなオッパイしてやるときはやります。
アップが多いので血のついたチンポの出し入れがモロ見えです。
素人援交女がいっぱい!!
無料ムービーを観てちょ。
http://www.geisyagirl.com/
175 :
名無しさん@お腹いっぱい。 :03/08/18 21:16
>>166 うちは男(9x系)なので精子(blast)では妊娠出来ない・・・
ドサクサにまぎれてUDP1434なんかも。なつかしぃ。
ということは、 いきなりポート137を叩きにくる→旧型 とりあえずping打ってみる→新型 ということか? 何か両方が混在してる。
>>45 ほら
―――――――――――――‐┬┘ =≡=
| __ 〆
____.____ | ─── \
| | ∧_∧ | | pingpingうっせーんだよゴルァ! \_ =二 ∧_∧
| |. (#´Д`)| | _ |ヽ \ (; ・∀・)/
| |⌒ て) 人 _ ―――‐ γ ⌒ヽヽ ⊂ つ ∈≡∋
| |( ___三ワ < > ――― ―― ―二 | |:::| 三ノ ノ ノ ≡ //
| | ) ) | ∨  ̄ ̄ ̄ ―――‐ 人 _ノノ (_ノ、_ノ _//
 ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄ |
>>171 漏れもそのパターンです。ドアは見えません。
結局、今もなおブラスターに感染してる奴が、 同じ仕組みでヘンなのに感染しちゃってるってこと?
181 :
名無しさん@お腹いっぱい。 :03/08/18 21:17
よくネットがパンクしないよな
今みたら殆どがicmpの後同じIPからtcp135だったので icmpをブロックしたら135へのアタックが激減した この5分間でicmp7回、tcp135が無し ブロック前の5分間はicmp10回にtcp30回 30回というのはSYNの10x3(retry)だな
>>177 漏れのところはいきなりTCP135を叩いてくる奴は全くなくなりました。
2100番台〜2200番台を良く叩かれてる こいつもブラスタのせい?
俺にはどんなドアも見えるぞ
まさか巧妙に仕組まれてるドロッパーってことは無いわな
187 :
名無しさん@お腹いっぱい。 :03/08/18 21:18
>>178 AAキタワァ*・゚゚・*:.。..。.:*・゚(n‘∀‘)η゚・*:.。..。.:*・゚゚・* !!!!!
ICMP10回につき135一回って感じぃ〜
189 :
名無しさん@お腹いっぱい。 :03/08/18 21:19
感染してるmsblastがアップデートされてる?
191 :
名無しさん@お腹いっぱい。 :03/08/18 21:20
新型に旧型が紛れ込んでるの図w 21:15:35 FIREWALL TCP connection denied from ***.**1.148.17:2827 to 俺のIP:135 (eth1) 21:15:34 FIREWALL TCP connection denied from ***.**2.212.84:2479 to 俺のIP:135 (eth1) 21:15:29 FIREWALL TCP connection denied from ***.**1.148.17:2827 to 俺のIP:135 (eth1) 21:15:28 FIREWALL TCP connection denied from ***.**2.212.84:2479 to 俺のIP:135 (eth1) 21:15:26 FIREWALL TCP connection denied from ***.**1.148.17:2827 to 俺のIP:135 (eth1) 21:15:25 FIREWALL TCP connection denied from ***.**2.212.84:2479 to 俺のIP:135 (eth1) 21:14:55 FIREWALL TCP connection denied from ***.**1.60.124:2358 to 俺のIP:135 (eth1) ←コイツ 21:14:31 FIREWALL TCP connection denied from ***.**1.144.42:4581 to 俺のIP:135 (eth1) 21:14:25 FIREWALL TCP connection denied from ***.**1.144.42:4581 to 俺のIP:135 (eth1) 21:14:22 FIREWALL TCP connection denied from ***.**1.144.42:4581 to 俺のIP:135 (eth1) 21:14:20 FIREWALL TCP connection denied from ***.**1.156.135:3909 to 俺のIP:135 (eth1) 21:14:14 FIREWALL TCP connection denied from ***.**1.156.135:3909 to 俺のIP:135 (eth1) 21:14:11 FIREWALL TCP connection denied from ***.**1.156.135:3909 to 俺のIP:135 (eth1)
192 :
名無しさん@お腹いっぱい。 :03/08/18 21:20
193 :
名無しさん@お腹いっぱい。 :03/08/18 21:21
ドアを叩けなくする=ステルス ではない ノックされても居留守するのがステルス ステルスでいようがいるまいがノックはされてしまう。
>>192 デフォで解除されるウイルスが作られるな。
俺、全くの厨なんだけど、
>>134 のリンク記事に以下の文があるんだよ。
>米Symantecは大規模な侵入検知ネットワークを使って
>感染したPCとサーバのインターネットアドレスを記録している。
この調査のために、ping連射を使ってるって事は無いよね・・・?
197 :
名無しさん@お腹いっぱい。 :03/08/18 21:22
>>193 てゆーか、その論だと空きIPもドア持ってることになるね。
そうだな、そこにポートがあるのは明らかだし。 動いてるかどうか、返事をするかどうかは別にして。
>>193 じゃあ訂正。
ピル飲んで鍵かけて居留守使ってます。
200 :
名無しさん@お腹いっぱい。 :03/08/18 21:23
気分はナンパされまくってる美人のねーちゃんて感じだ
ちょっと少なくなってきた
202 :
名無しさん@お腹いっぱい。 :03/08/18 21:24
>197 んーじゃあ なんだろ、壁のフリをする?(w
漢なら「居ませんよぉ〜」って返事しろ。
205 :
名無しさん@お腹いっぱい。 :03/08/18 21:25
>>204 unreachable だと返事する?
207 :
名無しさん@お腹いっぱい。 :03/08/18 21:26
pingはドアを叩くというより 「 呼びかけて返事を待つ 」 のほうが適切な表現だと思う。
ping打ってくるやつは基本的に同じプロバ相手か、それに近いIPがほとんど。 ポート135/137直打ちしてくるやつは海外のプロバがほとんどという感じ。
209 :
名無しさん@お腹いっぱい。 :03/08/18 21:27
なんかためになりつつあり。
210 :
名無しさん@お腹いっぱい。 :03/08/18 21:27
pingでログサイズを大きくする気だろうか?
で、これに対して 僕らができることはないの?
ログの取れないブロードバンドルーター外して、一度ダイレクトでモデムにつないでみるか。 接続ツールいれるのもマンドクセなんだが…… ついでにフレッツスクエアとやらで種ガンでも観賞し;y=-( ゚д゚)・∵ターン
214 :
名無しさん@お腹いっぱい。 :03/08/18 21:29
215 :
名無しさん@お腹いっぱい。 :03/08/18 21:29
>>210 HDDに100GB単位の空きがある人は大変だな(w
217 :
名無しさん@お腹いっぱい。 :03/08/18 21:29
なんでTCP135なんか空けてるんだろ…
219 :
名無しさん@お腹いっぱい。 :03/08/18 21:31
>>216 ログサイズが最大になったらその後どうなるの?
トーシロの質問で悪いんだが、 FWってナニ? 禿? ヘナギ? 鱸? これぐらいしかイメージできんのだけど。
>>214 なるほど・・・。やっぱVer.2.1(ry
UDP 31338って何かあんの?
実験結果。 ファイアウォール切ったけど何も変わらん。 念のためウイルスチェックしたけど、感染してない。 MSのパッチを削除して、また実験してみる。 マゾか・・・。 ちなみに当方XPのSP1ね。
225 :
名無しさん@お腹いっぱい。 :03/08/18 21:32
>>211 「びっくりするほどユートピア!びっくりするほどユートピア!」
とハイトーンで連呼しながらベットを昇り降りする
227 :
名無しさん@お腹いっぱい。 :03/08/18 21:33
pingを例えるならマンションの方がいいんじゃないのか? PCは一つのマンションで、1〜65535番までの部屋がある。 pingとはオートロックの玄関のピンポンを押し逃げしていく手法で、 ポートスキャンは連打でマンションのドアを叩いていって反応を見る。みたいなさ。 そんでもって返ってきた返事で「あ、この返事の仕方はキングマンシ○ン特有の・・」とかって分かると・・ 違うか・・
228 :
名無しさん@お腹いっぱい。 :03/08/18 21:33
まだ亜種情報出ないねー
>>226 それかよ・・・_| ̄|○
ファイヤウォール関連で調べまくってた・・・
亜種情報より保守情報出さんかい
おお!やっぱりecho request来てるのか うちだけではなかったようでなんか安心した
安心すんな土手珍
気になったんだが、ping打ちまくっているほうのマシンっていったいどういう状況になってるんだろう? 旧型?のときみたいに落ちまくったりするものなんだろうか? それとも自覚症状まったくなしとか?
235 :
名無しさん@お腹いっぱい。 :03/08/18 21:36
亜種ゲットしたひといないの? AVベンダーより先に情報出せよ 2chの意味ねーじゃん
236 :
名無しさん@お腹いっぱい。 :03/08/18 21:36
port 0 って、何に使うん?
>>235 そこまでの勇者は居るのだろうか・・・。
239 :
名無しさん@お腹いっぱい。 :03/08/18 21:37
>234 ひょっとしたら新型は表面上は何事もないように見せかけてping打ちまくりしてる悪寒
>>234 今のところ、これの感染者からの報告が上がってないから
どういう動きをするかは不明でしょ。
亜種ってのも状況証拠からの推測に過ぎないんだし
ルータがマンションと考えた方がいいかも。 WAN=マンションの番地、LANアドレス=部屋番号として。 炎壁機能付きルータなら、入り口に警備員がいて怪しい侵入者をガードしてくれるから各部屋(ルータ内のマシン)まで届かない。 だから、自室(マシン)自体の警備員(PFW)は暇もてあましてる。
打ってきた奴にnet sendで何に感染しているか聞いてみたい
243 :
名無しさん@お腹いっぱい。 :03/08/18 21:40
シマンテックより早くワームの亜種を見つけてド2chが世界で一番早く駆除ツール作ろうぜ。 俺には死んでもできないけど。この板の住人ならできるんじゃないの?
>>242 感染してる香具師はMessengerサービスもデフォで動いてるだろうしね。
直接135や137叩いてくるやつの相手のポート番号を見るとみんな空きポートからってことになってる。 相手の情報(発信元)のIPも捏造されているんだろうか
248 :
名無しさん@お腹いっぱい。 :03/08/18 21:42
そうか、今なら135空けて素XPで待機してれば 新種をゲットできるのかー!! 誰かやれ
249 :
名無しさん@お腹いっぱい。 :03/08/18 21:43
>>246 が、送っても
カウントダウン→シャットダウン
所持者「マシンの調子わりーなー」のループで気づかないかもという罠(w
ネットワークを監視するようなソフトは何かいいものありませんか? 教えて君で面目ないんですが。
254 :
名無しさん@お腹いっぱい。 :03/08/18 21:44
>>247 送信元のポートは空きポートがランダムに使われる。
特にスプーフィングしてるとは思えないな、ワームの性格上その必要性もないし。
255 :
名無しさん@お腹いっぱい。 :03/08/18 21:44
>>241 あーそれいいね。
そして警備員は侵入者を発見したら帰ってもらうと。
そして安い警備員は強行突破されても管理人に知らせずに何事もなかったかのように業務に戻る。と。
256 :
名無しさん@お腹いっぱい。 :03/08/18 21:45
IPとポートを混同している人が多いインターネットですね、ここは
258 :
名無しさん@お腹いっぱい。 :03/08/18 21:46
ひとつのIPは6万5千個のポートを持っているんだよ …と言ってみるテスト
>>251 どこからどこまでのネットワークを監視するのですか?
260 :
名無しさん@お腹いっぱい。 :03/08/18 21:46
>>前レス859...感謝
261 :
名無しさん@お腹いっぱい。 :03/08/18 21:47
>>257 DLLHOST.exeなんて動作してないが・・(w
262 :
名無しさん@お腹いっぱい。 :03/08/18 21:47
キタ-(∵)-!?
264 :
名無しさん@お腹いっぱい。 :03/08/18 21:49
漏れのPCからDestination Unreachableって しきりにDNSサーバに打ってるんだけど これは問題無い?
265 :
名無しさん@お腹いっぱい。 :03/08/18 21:50
ところでおまいら、順調にアタック受けてますか?
266 :
名無しさん@お腹いっぱい。 :03/08/18 21:50
飽きてきた 新展開希望
267 :
名無しさん@お腹いっぱい。 :03/08/18 21:51
大企業のネットワーク管理者とかいない? とんでもない騒ぎになってるような気がするんだけど。。。
268 :
名無しさん@お腹いっぱい。 :03/08/18 21:51
>>266 そのうち新種のワームがどこかの鯖落とすだろうからそれまで待とう
270 :
名無しさん@お腹いっぱい。 :03/08/18 21:52
271 :
名無しさん@お腹いっぱい。 :03/08/18 21:52
>>266 ここらでシマンテックやトレンドマイクロ、NAI辺りが
「新種ハケーン!! おまいら対策の用意はいいですか?」
くらい言ってくれると面白いんだけどね。
272 :
名無しさん@お腹いっぱい。 :03/08/18 21:52
朝のニュースでネットワークアソシエイツ社がBlaster(Lovsan)の亜種感染を 日本国内で発見したって話してたから、てっきりこいつの事かとおもてたよ
>>269 > 1個だけ当たってるのがあったが2000でパッチだけ当てて安心してるのか?
そんな香具師に2000は勿体無いです。
274 :
名無しさん@お腹いっぱい。 :03/08/18 21:54
修正プログラムだけ充てて、駆除してない馬鹿多そう
送られてきたアドレスに真似して PINGしてみた 1ミリ秒間隔で
>>272 それはW32.Blaster.B(WORM_MSBLAST.B)って奴な悪寒。
277 :
名無しさん@お腹いっぱい。 :03/08/18 21:54
>>275 可変IPならシャットダウンして回線が切り替わるんで、余り意味がないかも
280 :
名無しさん@お腹いっぱい。 :03/08/18 21:55
W32.Blaster.[A-C] いろいろ揃ってるね。
>>276 ○W32.Blaster.B.Worm
×W32.Blaster.B
282 :
名無しさん@お腹いっぱい。 :03/08/18 21:56
>>277 snort 走らせとくってのもありか?
>>267 ここ見てはいないとは思うけど、大企業にかぎらず
どこの管理者も結構大変らしい。
報道で出てるよりも被害受けてる企業は多いと思う。
284 :
名無しさん@お腹いっぱい。 :03/08/18 21:58
攻撃パターン青、使徒と確認されますた!
ねえこの板リロードするとHaptime.Genってのに感染しましたって 出るんだけど、これ何?
287 :
名無しさん@お腹いっぱい。 :03/08/18 21:59
288 :
名無しさん@お腹いっぱい。 :03/08/18 21:59
>>285 ((;゚Д゚)ガクガクブルブル
289 :
名無しさん@お腹いっぱい。 :03/08/18 22:00
>>285 そんな超有名なvirus知らない奴いたとは・・・
292 :
名無しさん@お腹いっぱい。 :03/08/18 22:02
今日やたらPING撃たれてるけどなんでだろ
失礼、ログ読みます・・
漏れは某企業の室部NEだが 自分とこのは初日に全部対応したので 他所のが何やってようがワシは知らん ってか手の出しようが無い罠
どれくらい来てる? うちは平均4回/分
>>292 2000回打たれるとPCが火を噴くらしいよ
>>294 ネット始めたばかりでもう2ちゃんねるでセキュリティー板まで来たか
休み明けには((;゚Д゚)ガクガクブルブル
休み明けには立派なコピペ嵐になってアク禁に
タイプミスだ・・・。駄目だなこりゃ。
なんか少し前からハードになってる・・・ 1分間に5〜6発ペース
うちは平均平均10回/分
305 :
名無しさん@お腹いっぱい。 :03/08/18 22:07
ていうかなんでニュースサイトで問題になってないんだよ
表面的に気づかないんじゃない? へたすりゃ火壁のログ見なきゃ気づかんやつもいると思う。
307 :
名無しさん@お腹いっぱい。 :03/08/18 22:08
>297 ポート80だけど3分間で144回叩かれてますけど
308 :
名無しさん@お腹いっぱい。 :03/08/18 22:08
洩れなんか1分間に10〜20発くる>135 うちはyahooだが、内部からのアクセスがかなり多そうだ 頻度もかなり増えておる ホントにだいじょうぶなんか?
うちはまだ平均平均1回/分 「平均平均」とは「丁寧に平均」したということ
全部対策し尽くしたって安心してたら。 個人持込パソが喰らってたし。 何だか他のと多重感染してるんで、ウツ。
311 :
名無しさん@お腹いっぱい。 :03/08/18 22:09
うちは平均4回/分
312 :
名無しさん@お腹いっぱい。 :03/08/18 22:10
どさくさに紛れて17300叩いてる野次馬は(・∀・)カエレ!
火壁のログなんて火壁入れていても 見ない奴は一生見ないかも・・・
314 :
名無しさん@お腹いっぱい。 :03/08/18 22:11
このping叩くやつはBlasterの亜種なん?
316 :
名無しさん@お腹いっぱい。 :03/08/18 22:12
昨日の夜までたまーに135くるくらいで問題なかったのに 今日になって急に同じocnの奴らからICMPきまくってるぞコルァ
そうなのか…。 それにしてもとんでもない勢いだ…。
トラフィック凄くない?速度が1/50に低下してるんだけど
319 :
名無しさん@お腹いっぱい。 :03/08/18 22:13
誰か余ったマシン感染させろや マジで情報くれ 俺シマンテック社員だから、 その情報載せてやってもいいぞ
感染者を 肌で感じる 火壁ログ
321 :
名無しさん@お腹いっぱい。 :03/08/18 22:14
ウイルスの性質が変わった?(誰か改造した?) 今日の朝以降、同一IPから135へ2〜4発連射で来るんですけど・・・?
で、どうすりゃいいの?
324 :
名無しさん@お腹いっぱい。 :03/08/18 22:16
お役所は大した影響も見られない、などと呑気なこと いっておるが、何を以てそういうのか? うちのルータには、22時から15分間で165回あった
325 :
名無しさん@お腹いっぱい。 :03/08/18 22:16
>>316 漏れも攻撃食らってる
誰か、懲らしめ方法を伝授してくれ
327 :
名無しさん@お腹いっぱい。 :03/08/18 22:16
>>319 ウィルスで飯食ってるなら、率先して感染すべし
日曜の朝の関口ひろしの反応見た?
329 :
名無しさん@お腹いっぱい。 :03/08/18 22:18
>>316 俺んとこは K-OPTICOM, DION が多い。海外では NY からきてやがった。
平均で3-5回/分ってとこか。
NY の奴はおとなしく停電しとけとおもた。
331 :
名無しさん@お腹いっぱい。 :03/08/18 22:18
pingは攻撃じゃないでしょ IPもバラバラだし
332 :
名無しさん@お腹いっぱい。 :03/08/18 22:18
キモイくらいにocnばっかだ(((((((((;゚Д゚)))))))))ガクガクブルブル
ipの見えない同じ奴から かれこれ400回くらいスキャンされてるんだけど何なんだろ?
334 :
名無しさん@お腹いっぱい。 :03/08/18 22:20
うーん、会社に行けば、コンソール用として放置してあるWin2000マシンがあるんだが。 AirH"でつないだら一瞬でBlasterに感染すること間違いないノートPCだ。 でも明日になったら原因も究明されているかもしれないしな。
俺もログ見たくてNISの設定で「ログを追跡」にしようとしたら ・・・インバウンドのICMPが許可になってたよ。 (´・ω・`)
337 :
名無しさん@お腹いっぱい。 :03/08/18 22:20
yahooはルータで135ポートを塞いだのかな? アタック元に135のスキャンができなくなった。 E:\blast>scan 219.181.***.*** Microsoft (R) KB823980 Scanner Version 1.00.0002 for 80x86 Copyright (c) Microsoft Corporation 2003. All rights reserved. <+> Starting scan (timeout = 5000 ms) Checking 219.181.***.*** 219.181.***.***: connection to tcp/135 refused <-> Scan completed E:\blast>scan 219.181.$$$.$$$ Microsoft (R) KB823980 Scanner Version 1.00.0002 f Copyright (c) Microsoft Corporation 2003. All righ <+> Starting scan (timeout = 5000 ms) Checking 219.181.$$$.$$$ 219.181.$$$.$$$: connection to tcp/135 refused
338 :
名無しさん@お腹いっぱい。 :03/08/18 22:20
>>316 yahooBBだが、名前解決できるホストから
ping届きまくりだ。5秒間隔ぐらいでくるから全体ではすごそう。
パンクしそうで、スニファ開けない。
>>319 偽者消えろ。
世界中で数十万台も感染してるのに、今更情報くれなんて
ネタにしては下手すぎる。
Yahoo!BBが少々とplalaが大量。
341 :
名無しさん@お腹いっぱい。 :03/08/18 22:21
ルーターの設定なのですが、 135 , 137-139 って書いてあるのですが、 135-139 ってするとまずいでしょうか? 136というのは設定するとだめなことがありますでしょうか?
342 :
名無しさん@お腹いっぱい。 :03/08/18 22:22
>>334 つ〜かぁ、お前のPCが、かせーんしてると思われ
>>267 Windows.FQAに管理者さんらしき書き込みがあった。
--
しかもVPN間の通信が135ポートに占有され全く使用できない状態に
なっています。
支店ごとにウィルスバスターかノートンが入っており、全端末最新
バッチ導入済みですがウィルス検知件数0件のためBlasterの亜種と
思われます。
---
支店全ての端末を合計すると感染してるしてない端末を含めて
数千台ありとても対応できる状態ではありまん。
--
大変そうでつ。
CyberPolice以外に情報はないのか。
344 :
名無しさん@お腹いっぱい。 :03/08/18 22:22
>341 もーまんたい
>>333 "ipの見えない"ってどういうこと?
それ漏れかも
346 :
名無しさん@お腹いっぱい。 :03/08/18 22:23
今までルータのログなんて見たことなかったけど驚愕… 直に電話線になんてぜったいつなげない。 DIONやらCATV違うところからイパーイ叩かれている
prin が凄いことになってますです…
この1時間でpingが300回オーバー TCP135が10回 UDP137が11回 (・∀・)アヒャ!!
349 :
名無しさん@お腹いっぱい。 :03/08/18 22:24
これはテロでつか?
バッチ導入してもダメ(感染する)なら、もうそれは 亜種じゃなくて別物のワームやん ってかバッチ導入しといて、駆除してない悪寒
>>345 黒氷のログ見るとポート毎回変えてる上にIPが0.0.0.0なのよね
さっぱりわからん
355 :
名無しさん@お腹いっぱい。 :03/08/18 22:26
おい!誰か発信元を晒せ
急にビッグローブが増えてきた
おいらの勘違いだった。。。 インターネット側の135ポートが塞がれたノードからのアタックダターヨ...
358 :
名無しさん@お腹いっぱい。 :03/08/18 22:28
イギリスやマレーシアからもぴんぴんだぜ! まあうちはMEだから・・・
>>355 同プロバイダからが多いんで(
>>54 参照)自分のプロバイダを晒すことになるという罠。
360 :
名無しさん@お腹いっぱい。 :03/08/18 22:28
>>347 詳細キボンヌ。
Sig3+AirH"+ぽけギコ
361 :
名無しさん@お腹いっぱい。 :03/08/18 22:28
これは、何かのお祭りでつか?
おれはOCNだけど、ここへきてほかのISPからのアクセスが増えてきてる。
ルーター導入して二週間目。 ブラスターといいICMPといい祭り騒ぎで楽しい!
365 :
名無しさん@お腹いっぱい。 :03/08/18 22:29
なんか今日になってICMP全く来なくなった。 昨日まではすごかったのに
うちの会社もbiglobeからが多いな ちなみにInfosphereのBizHikari8で鯖立ててます。
>>335 シマンテックの社員なら家にいないで会社で対応シル!
>>368 Web鯖とメール鯖 Turbolinux
ルータはBA8000PROに替えました。
NECのBR1500Hは負荷に耐え切れんでした。
co.jpドメインからも飛んできたー これってここのPC感染してるってことなのか?
すでに感染済みのやつのところにはpingが止まる?
374 :
名無しさん@お腹いっぱい。 :03/08/18 22:36
(・∀・)マツーリ
375 :
名無しさん@お腹いっぱい。 :03/08/18 22:36
376 :
名無しさん@お腹いっぱい。 :03/08/18 22:36
近くのIPアドレスから来るってこと?
1時間で52000回・・・なんで?
感染してるとログはどうなる? 送信の山?
381 :
名無しさん@お腹いっぱい。 :03/08/18 22:39
382 :
名無しさん@お腹いっぱい。 :03/08/18 22:39
ICMP Traffic2003/08/18 22:40:26送信n/aICMPType 8/0YahooBB220046121019.bbtec.netType 8/0LocalHost こんなのばっか
うち、しばらくこない ICMP
ちなみにoutpostです。
>>383 そうなん?
じゃあ・・・
感染者!今すぐログ見て!!
マジで何とかする方法ってないもんだろうか? まだpingだからいいようなものの、ほかの手段とかだったらちょっと考え物じゃない?
390 :
名無しさん@お腹いっぱい。 :03/08/18 22:42
ping来ない (´・ω・`)
392 :
名無しさん@お腹いっぱい。 :03/08/18 22:42
送信?
393 :
名無しさん@お腹いっぱい。 :03/08/18 22:43
>>371 (´-`).。oO(かっこいいなぁ・・・)
>>379 (;・∀・)ダダイジョウブ・・・?
pingめちゃ来てる。 何が起こった?亜種発生?
>379=神!!
396 :
名無しさん@お腹いっぱい。 :03/08/18 22:44
397 :
名無しさん@お腹いっぱい。 :03/08/18 22:44
port135メインだったのが139メインに変わってるよ。 うちだけ?亜種かいな?
port 80に昼ごろから来ているやつら 220.107.255.22 - - [18/Aug/2003:12:13:26 +0900] "GET / HTTP/1.1" 200 0 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" こいつら本当にwin98のIEなのか?
ICMPの設定変えたら受信から送信にかわった
ログを取ってるヤシがいた…
402 :
名無しさん@お腹いっぱい。 :03/08/18 22:46
403 :
名無しさん@お腹いっぱい。 :03/08/18 22:47
晒しage祭りか( ´ー`)y-~~
404 :
名無しさん@お腹いっぱい。 :03/08/18 22:47
407 :
名無しさん@お腹いっぱい。 :03/08/18 22:48
あのー、ひょっとして漏れのPCになーんも反応がないのって、 ノーdで「デフォルトインバウンドICMP・許可」ってなってるからでつか? ∧‖∧
408 :
名無しさん@お腹いっぱい。 :03/08/18 22:48
409 :
名無しさん@お腹いっぱい。 :03/08/18 22:48
411 :
名無しさん@お腹いっぱい。 :03/08/18 22:49
412 :
名無しさん@お腹いっぱい。 :03/08/18 22:49
>>393 鯖立ち上げ当時は大変でした。(もう4年半前になりますが)
立ち上げ1週間でBINDのホールのおかげでハックされ
FBIからメールが来ました。
翻訳した内容は
「あなたのIPアドレスがハッカー集団のPCにリストされています。
早急に対策を取ってください」
おろおろしていたらIPAから同じ内容の日本語翻訳版のメールが
来ました。
再インストールやらなんやら大変だったですよ
ご愁傷様です。
415 :
名無しさん@お腹いっぱい。 :03/08/18 22:51
418 :
名無しさん@お腹いっぱい。 :03/08/18 22:52
FBIからのメールなんてスゴイYO! 見てみたいがきてほしくないもんだ・・
でもなんかIPが順番に並んでPINGされてて YAHOOしかこない・・・これもなぜ・・・
俺も鯖買ってFBIからメールを貰いたいニダ
422 :
名無しさん@お腹いっぱい。 :03/08/18 22:52
>410 これって…マジモノ? ちゃんとIPも順繰りだし
>>419 FBIに侵入しようとすれば来るかも・・・
424 :
名無しさん@お腹いっぱい。 :03/08/18 22:53
で、結局のところ、ど〜〜〜すりゃいいの?
426 :
名無しさん@お腹いっぱい。 :03/08/18 22:53
427 :
名無しさん@お腹いっぱい。 :03/08/18 22:54
俺もFBIのメール欲しーーー家宝にしたいな
俺はORDBからメール貰っちゃった。
429 :
名無しさん@お腹いっぱい。 :03/08/18 22:55
FW入れてるのに侵入されたてどういうことやねん わざわざ135を許可してたのかー? それとも別マシン(ry
>>416 なんでもハッカーのアジトを急襲してPCを押収して解析したら
うちのIPアドレスがあったらしいです。
すごいどころか大恥です。
二度と貰わないよう戒めに残しています。
433 :
名無しさん@お腹いっぱい。 :03/08/18 22:57
>>399 漏れと同じでつ。apacheのログですね。
鯖立ててない人には関係なし?
ICMPよりよっぽどうざいんだけど。
434 :
名無しさん@お腹いっぱい。 :03/08/18 22:57
yahooをネットから切り離せ! ヽ(`Д´)ノ
漏れさぁ、前はPC全然詳しくなくてさ、アップデートもウイルス駆除ソフトも入れずに 00年〜02年の間ネットに接続してたんだけど、これってやばくない?
>>410 これって感染して、ウイルスばらまくのを一所懸命我慢汁状態では!
>>420 感染してPING打っているんじゃないの?
で、実際に98ormeで感染したやつっているのか? 亜種で感染するって話は聞くが感染したってのは出てないような気がするんだが・・
ちがうとおもう・・・さっきまでICMPきょかしてたら 受信の許可してたから・・・
440 :
名無しさん@お腹いっぱい。 :03/08/18 22:59
おいおまいら、dls-monitorって何だ?
441 :
名無しさん@お腹いっぱい。 :03/08/18 22:59
442 :
名無しさん@お腹いっぱい。 :03/08/18 22:59
379の中の人は落ちつけ(w
443 :
名無しさん@お腹いっぱい。 :03/08/18 23:00
>>441 それですね。DLLHOST.EXE。ついにきましたか。
>>410 フォルダ、
C:\WINNT\system32\wins
の中に何か在る?
落ち着きますw
なつかしいプロバイダーからpingtが増えてきた
448 :
名無しさん@お腹いっぱい。 :03/08/18 23:00
ぎゃース俺のPCどっかに137売ってるよ。ブロックしてるけど。 pingは売ってないな。とりあえずオフライヌ
450 :
名無しさん@お腹いっぱい。 :03/08/18 23:01
む、新展開か?
>>379 は感染してるってこと?
自分もYBBなの?
なんか23時でping止まった。
受信はともかく 送信エコーがあると自分が感染してるってことですか?
WORM_MSBLAST.D 特 徴: 「WORM_MSBLAST.A」の亜種と見られるワームです。DoS攻撃も行うものと考えられます。 現在ウイルス活動を解析中です。情報は随時アップデートしてまいります。 デフォルトでは 10,240 bytes 前後の"DLLHOST.EXE" のファイル名で侵入するものと考えられます。 Windows XP 上では"MSBLAST.EXE" という名前のプロセスを探し、存在した場合には強制終了させます。また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホール用のパッチをダウンロードし、再起動する活動も行います。
454 :
名無しさん@お腹いっぱい。 :03/08/18 23:02
455 :
名無しさん@お腹いっぱい。 :03/08/18 23:02
YBBだけど・・・じゃあブロックしてるのは何で?
>>454 結構ここからもネタを引っ張っていたりして ♥
460 :
名無しさん@お腹いっぱい。 :03/08/18 23:03
463 :
名無しさん@お腹いっぱい。 :03/08/18 23:04
ルーターを使ってると感染しづらいのかな?
464 :
名無しさん@お腹いっぱい。 :03/08/18 23:04
>456 感染源特定しないとこれ駆除してもまた(ry Blaster騒ぎの後からFW入れたとか?
DLLHOST.EXE のファイルがシステムフォルダ内以外にないかどうか 確かめたほうがいいね。
>463 うん
468 :
名無しさん@お腹いっぱい。 :03/08/18 23:05
Filename MSPATCH.EXE Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Runon "Nonton Antivirus " = mspatch.exe This is a patch to fixedRPC Problem! Y The worm has been packed with Aspack.
469 :
名無しさん@お腹いっぱい。 :03/08/18 23:05
379は 中→外 ブロック 外→中 スルー だったらおもしろいな(藁
結局、379さんはどうなんですか? 感染? 夢遊病? ネタ?
>>435 やばくないから、もう寝なさい。
>>410 は今すぐ回線切って(ry
ICMP Inogoing許可→感染
↓
人為的作業により
↓
ICMP Outgoing許可→外部へ攻撃を開始!
ICMPを内と外共に遮蔽してくれ!
472 :
名無しさん@お腹いっぱい。 :03/08/18 23:06
>>456 感染した君のPCから発信されようとしている外向きPINGをFirewallがブロックしているんだね。
外向き内向きを間違えていて感染してしまったんだろう。すぐに回線を切って対策をとりたまえ。
>>469 小説より面白いんだよ。事実ってヤツはw
なんか夕方より激しくなってるなPing。
475 :
名無しさん@お腹いっぱい。 :03/08/18 23:07
夏休みだから「亜種」作り放題だろ。。。
476 :
名無しさん@お腹いっぱい。 :03/08/18 23:07
まあ意見がまとまったところで、
>>379 くん、さようなら。お大事にw
379はウェルカム腕噛むどこ噛むねん状態
面白いくらい釣れたww 気分いいところでもう寝よっとww
480 :
名無しさん@お腹いっぱい。 :03/08/18 23:08
ぐはあ、やっぱ亜種かあ。 亜種の出現をリアルタイムで確認ちまったよ……
481 :
名無しさん@お腹いっぱい。 :03/08/18 23:08
新型はセキュリティホールを塞いで回るワームってこと?
482 :
名無しさん@お腹いっぱい。 :03/08/18 23:09
483 :
名無しさん@お腹いっぱい。 :03/08/18 23:09
俺達も亜種作ろうぜ 今ブラスター亜種作成コンテスト中みたいだし
もうすぐ三十路ってことか
485 :
名無しさん@お腹いっぱい。 :03/08/18 23:10
定期的(1-2分に1度) 2003/08/18 23:01:25 FIREWALL 2 connection denied from 218.123.xxx.xxx:n/a to 224.0.0.1:n/a (eth1) という風にログされるんですが、これってなんでしょうか? 218.123.xxx.xxx は私のIPではありませんがご近所さん(YBB)のようです。 224.0.0.1 も違うのですがどうしてこのログがこちらに記載されるのか分かりません
報告します。windowsの検索を使って「DLLHOST.EXE 」と検索したら DLLHOST.EXE-3FBD750D.pf C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\wins\DLLHOST.EXE が検出されました・・・ごめんなさい。
487 :
名無しさん@お腹いっぱい。 :03/08/18 23:10
>>453 そいつ漏れのところにもいた。とりあえずDLLHOST.exeを探して、名前を
DLLHOST_.exeに変えてリブートしたら治りますた。ただし、
リードオンリー属性がついてるのでそれをはずしてからね。
あとoutpostとか、ZoneAlarmとか入れないとまたそこらじゅうから感染させられると思われるけど。ちなみにWin2000+SP4,YBBでつ。
489 :
名無しさん@お腹いっぱい。 :03/08/18 23:10
>>483 ばれたらFBIやらIPAやらからラブレターが届きますね。
>>486 キタ━━━( ´∀`)・ω・) ゚Д゚)゚∀゚)・∀・) ̄ー ̄)´_ゝ`)−_)゚∋゚)´Д`)゚ー゚)━━━!!!!
491 :
名無しさん@お腹いっぱい。 :03/08/18 23:11
492 :
名無しさん@お腹いっぱい。 :03/08/18 23:11
>>485 224.*.*.*って、クラスD、マルチキャストアドレスじゃねーのか?
493 :
名無しさん@お腹いっぱい。 :03/08/18 23:11
494 :
名無しさん@お腹いっぱい。 :03/08/18 23:11
みんなping攻撃されたって言ってるけど、漏れのはログにpingが記録されないんだけど…。 zone alarmとXPのファイアウォールでpingのログ取る方法知ってる人いたら教えてくれませんか?
479はにせものです。 DLLHOST.EXE-3FBD750D.pf これはおいといて 残りのどちらを消せばいいでしょうか?
496 :
名無しさん@お腹いっぱい。 :03/08/18 23:12
>486 君は流行の最先端だよ!! 胸を張れヽ(゚∀゚)ノ
つーことは一時間に52000回乱れ打ちしてるのか… そりゃ祭りになるはずだ
498 :
名無しさん@お腹いっぱい。 :03/08/18 23:12
なるほど。MSBLAST.EXEを削除して代わりにDLLHOST.EXEが 置き換わるから急激な感染拡大があったわけか。 理解完了!
?また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホール用のパッチをダウンロードし ワラ
500 :
名無しさん@お腹いっぱい。 :03/08/18 23:12
ログにアタックの形跡が全くないのですが、 これもルーターのおかげですか?
この新種もCodeBlueのような運命を辿りそうな悪寒
502 :
名無しさん@お腹いっぱい。 :03/08/18 23:13
よし、DLLHOST.EXE捕まえた。ちょっくら覗いてみよっと
>>485 今、流行のやつです。
>>486 C:\WINDOWS\system32\wins\DLLHOST.EXE
↑はサクージョ汁!
505 :
名無しさん@お腹いっぱい。 :03/08/18 23:13
506 :
名無しさん@お腹いっぱい。 :03/08/18 23:14
trendmicroの > Windows XP 上では"MSBLAST.EXE" という名前のプロセスを探し、 > 存在した場合には強制終了させます。 > また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれる > Windowsのセキュリティホール用のパッチをダウンロードし、再起動する活動も行います。 でもでも、これって誰もがネタで言ってた 修復してくれる善玉ワームなのか?(w でもDoS攻撃なのか結果的には
507 :
名無しさん@お腹いっぱい。 :03/08/18 23:14
508 :
名無しさん@お腹いっぱい。 :03/08/18 23:14
>>502 今回の作者さんからのメッセージは何ですか?
487がほんとだとしたら C:\WINDOWS\system32\wins\DLLHOST.EXE
>>495 下のほうC:\WINDOWS\system32\wins\DLLHOST.EXE
が読み取り専用だったのでこちらをけすことにします。
間違えてsystem32\dllhost.exeを削除しないようにな。
513 :
名無しさん@お腹いっぱい。 :03/08/18 23:16
Windows XP 上では"MSBLAST.EXE" という名前の プロセスを探し、存在した場合には強制終了させます。 また、一般的に「RPC DCOM バッファオーバーフロー」と 呼ばれるWindowsのセキュリティホール用のパッチを ダウンロードし、再起動する活動も行います。 『結構いいやつ』なんじゃないの?間違い?
514 :
名無しさん@お腹いっぱい。 :03/08/18 23:16
C:\WINDOWS\system32\wins\DLLHOST.EXE 5.76 KBならおけ?
515 :
名無しさん@お腹いっぱい。 :03/08/18 23:16
しかし、このPing攻撃すごいねー 短い時は10秒おきくらい、長い時でも1分おきくらいの 間隔で 全部違うIPからやってくる。 そのうち、ルーターのログがPingで埋まりそうだ。(^^;
げ。この亜種、98にも感染するのか?
うちはXPだけどsystem32フォルダにdllhost.exeなんて無いな
518 :
名無しさん@お腹いっぱい。 :03/08/18 23:17
>>379 ブロックしてるなら実害は無いからヨシ!w
ブラスター対応のアプデトしててもDLLHOST.exeに感染してるんか?
もしそうならFW入れるかセキュリティ機能のあるルータ使うしか対処方法ないな・・
PCよくわからんやつらはどうすれば・・・(藁
>>514 C:\WINDOWS\system32\wins\
↑のディレクトリは無菌状態ならば空です。
520 :
名無しさん@お腹いっぱい。 :03/08/18 23:17
>>515 ^^;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
521 :
名無しさん@お腹いっぱい。 :03/08/18 23:17
>>508 それらしきものは見当たらないが、たぶんVCで作られただろうことは想像できる。
もちっと念入りに読んでみる。
522 :
名無しさん@お腹いっぱい。 :03/08/18 23:17
zone alarmで普通にログ見れるじゃん
523 :
名無しさん@お腹いっぱい。 :03/08/18 23:17
送信はなくなりましたw が! 受信が少しですが始まりましたがストップしてます。 なお送信しているときは受信しないようです。
ぼちぼちパッチあてるか…
526 :
名無しさん@お腹いっぱい。 :03/08/18 23:19
>>485 218.123.**がマルチキャストのサービスをやってて、受信者がいるかどうかの
ポーリングを定期的にかけているんだね。気にすることはない。
527 :
名無しさん@お腹いっぱい。 :03/08/18 23:20
>>524 > なお送信しているときは受信しないようです。
そりゃそうだ(w
528 :
名無しさん@お腹いっぱい。 :03/08/18 23:20
>>506 ああ、それで、効率的にするために、まずpingで相手の存在を確認してから、
tcpで進入するのか。
で、システムにパッチを当てる………
まあ、この程度のping、海戦の末端では何のDosにもならんのだが。
感染経路が知りたいね。
530 :
名無しさん@お腹いっぱい。 :03/08/18 23:20
>>516 95、98の記載あるね
マ ジ デ ス カ ?
98系にはどうやって感染するんかな? TrendMicro早く!
とにかく大文字のDLLHOST.EXE がなければへえきなんだな? 小文字のほうは絶対消しちゃいかんってのはわかるけど。
よかったじゃん、98も祭りに参加できるし
C:\WINDOWS\systemにもdllhost.exeがある から誤爆注意しる
536 :
名無しさん@お腹いっぱい。 :03/08/18 23:21
>>514 2003.6.19日製なら、たぶんOK。
537 :
名無しさん@お腹いっぱい。 :03/08/18 23:21
>>532 %windir%\system32\winsのDLLHOST.EXEだね。
538 :
名無しさん@お腹いっぱい。 :03/08/18 23:21
>>379 はウインドウズアップデートしてなかったの?
539 :
名無しさん@お腹いっぱい。 :03/08/18 23:21
これはOKなの?
541 :
名無しさん@お腹いっぱい。 :03/08/18 23:22
ニュー速の書き込みによれば パッチダウソするだけで起動まではしてくれないみたい? 誰かフィックスしたバージョンを(ry
543 :
名無しさん@お腹いっぱい。 :03/08/18 23:22
TBS来ますた
545 :
名無しさん@お腹いっぱい。 :03/08/18 23:23
>>534 グッジョブ!!
保存&拡張子変更完了。
546 :
名無しさん@お腹いっぱい。 :03/08/18 23:23
>534 キキキ、キ(ry
547 :
名無しさん@お腹いっぱい。 :03/08/18 23:23
キタ━━━━(゚∀゚)━━━━ !!
>534 VBでチェックに引っ掛かるのを確認しますた
( ゚д゚) 相変わらずTVでやる対策ってのは赤子レベルだな・・・・。
550 :
名無しさん@お腹いっぱい。 :03/08/18 23:24
dllhost.exeあったんだけどwinsなんてフォルダなかった
553 :
名無しさん@お腹いっぱい。 :03/08/18 23:25
>>534 の拡張子を変更しようとしてダブルクリックしてしまう展開きぼんぬ
554 :
名無しさん@お腹いっぱい。 :03/08/18 23:25
>379 DLLHOST.EXE消しても復活するって報告あるからもう一度タスクマネージャーで 確認してください。
ノートン先生に買っときゃ良かった(´Д⊂グスン ウイルスドクターじゃ安心感がねぇよ・・・。
´∀`)やべっ、うっかり
>>534 をダブルクリック&ping送信にしてた。
てへっ。
558 :
名無しさん@お腹いっぱい。 :03/08/18 23:27
>>532 に補足。
Win2Kなら消しても次のリブート時にシステムが復帰させてくれる。(システムファイルプロテクションって名前だったっけ)
でもその対策は正解。
はぁ・・・ ダウソするのはKORやCHSで、JPNはしないのか・・・
560 :
名無しさん@お腹いっぱい。 :03/08/18 23:27
>※注:Windowsのシステムファイルにも同名のファイルが存在しますので >ワームのコピーと混同しないようにしてください 消しちゃう人いるんだろうなあ。
561 :
名無しさん@お腹いっぱい。 :03/08/18 23:27
>>508 特にメッセージらしきものは無し。
HKLM\SYSTEM\ControlSet001\Services\RpcPatch
にサービスとして登録される。これで自動実行させてるみたい。
562 :
名無しさん@お腹いっぱい。 :03/08/18 23:28
>557 (ノ∀`)アチャー
今日クリーンインストールしたんですよ、 でそのときにXP標準のファイアーウォールつけとけば 大丈夫かなと思ったんですが、 そっからアップデートして MSBLASTはもう大丈夫だと思ったらこんなことに・・・。 ちなみにもうタスクマネージャーではDLLHOSTはもうありませんでしたw
564 :
名無しさん@お腹いっぱい。 :03/08/18 23:28
俺必死で>534を落として喜んでたら、実はもう既に保菌者だった…(ノ∀`)アチャー
なんか詳細見て思ったんだが 誰かが「このウィルス削除するウィルスあればなあ」 とかいってたよな まさしくそれにあたるんじゃないか?
568 :
名無しさん@お腹いっぱい。 :03/08/18 23:29
569 :
名無しさん@お腹いっぱい。 :03/08/18 23:29
>555 ノートン先生はまだ寝てるよ( ´Д⊂ヽ
>>379 XPのファイアーウォールは、電源投入後のプロセスの起動の順番の都合で、わずかな時間だけどタイムラグ(とういか無防備な時間)が生じるって噂がありまするが。
でも結局CodeBlueはワームそのものになった
ただこの亜種はパッチ落とした後もpingは打ち続けるけどな
クリーンインストール→アップデートしようとネットにつないだ瞬間に カンセーン( ゚Д゚)
24KのやつはOK?(98)
577 :
名無しさん@お腹いっぱい。 :03/08/18 23:30
うっかりさんが多いいんたーねっつですね (ノ∀`)
578 :
名無しさん@お腹いっぱい。 :03/08/18 23:30
msblastに関係なかった98等は、この亜種に感染してもいいことなしってことか?
580 :
名無しさん@お腹いっぱい。 :03/08/18 23:31
>>379 まあ日が悪かっただな。
すごいものアプしてくれてありがとう
>>561 なんかHTTPで通信しようとしてない?
>>571 じゃあそのせいかな?
ちゃんと切断してたから
584 :
名無しさん@お腹いっぱい。 :03/08/18 23:31
>>579 バスターはパターンファイルをさっき更新してこいつに対応したからね。
I love my wife & baby :-)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:-)~~ sorry zhongli だれか翻訳おながいします
586 :
名無しさん@お腹いっぱい。 :03/08/18 23:32
>>581 HTTP/って文字列がダンプ中にあるね
まぁお役に立てたみたいでよかったです 今見ても復活はしていませんでした。 本当にするんですか?
>>534 をDLLHOST.EXE.VIRUS030818にリネーム、コレクション虫篭追加w
590 :
名無しさん@お腹いっぱい。 :03/08/18 23:33
んで新種の95、98感染例は如何に?
>>585 Chian = 蒋(介石)?
zhongli = (金)正日?
592 :
名無しさん@お腹いっぱい。 :03/08/18 23:34
pingがきまくりでウザイなんとかしてよ
595 :
名無しさん@お腹いっぱい。 :03/08/18 23:34
>585 妻子愛してるぜー 蒋介石こんにちわー(作成元を皮肉ってる?) 2004年には自分自身を削除するよーん 金正日(これも?)悪いねヽ(゚∀゚)ノ
596 :
名無しさん@お腹いっぱい。 :03/08/18 23:34
597 :
名無しさん@お腹いっぱい。 :03/08/18 23:35
>588 別スレで見つけた未確認情報なので 念のため、PC再起動しても復活しなければもう大丈夫かと
ICMP Traffic2003/08/18 23:32:57受信n/aICMPType 8/0YahooBB220045221072.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:29:27受信n/aICMPType 8/0YahooBB220044056047.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:29:07受信n/aICMPType 8/0YahooBB220041092012.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:28:34受信n/aICMPType 8/0YahooBB220047120050.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:28:27受信n/aICMPType 8/0YahooBB220047084170.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:28:24受信n/aICMPType 8/0YahooBB220042072011.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:28:14受信n/aICMPType 8/0YahooBB220043072039.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:26:53受信n/aICMPType 8/0YahooBB220047008146.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:26:35受信n/aICMPType 8/0YahooBB220044216006.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:25:46受信n/aICMPType 8/0YahooBB220044104131.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:25:27受信n/aICMPType 8/0YahooBB220046180208.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:24:19受信n/aICMPType 8/0YahooBB220047117074.bbtec.netType 8/0LocalHost
379は氏ね
ICMP Traffic2003/08/18 23:24:09受信n/aICMPType 8/0YahooBB220043148192.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:23:00受信n/aICMPType 8/0YahooBB220042048003.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:22:58受信n/aICMPType 8/0YahooBB220046221108.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:59受信n/aICMPType 8/0YahooBB220045144143.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:48受信n/aICMPType 8/0YahooBB220043092217.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:38受信n/aICMPType 8/0YahooBB220046184160.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:10受信n/aICMPType 8/0YahooBB220044241041.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:07受信n/aICMPType 8/0YahooBB220044020056.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:19:02受信n/aICMPType 8/0YahooBB220046220072.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:41受信n/aICMPType 8/0YahooBB220041149027.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:23受信n/aICMPType 8/0YahooBB220045044090.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:15受信n/aICMPType 8/0YahooBB220044208241.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:34:01受信n/aICMPType 8/0YahooBB220044250008.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:32:50受信n/aICMPType 8/0YahooBB220044208233.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:32:03受信n/aICMPType 8/0YahooBB220044105026.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:31:25受信n/aICMPType 8/0YahooBB220044016079.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:30:37受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:30:26受信n/aICMPType 8/0YahooBB220044112100.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:30:16受信n/aICMPType 8/0YahooBB220044136044.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:26:52受信n/aICMPType 8/0YahooBB220044017015.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:26:05受信n/aICMPType 8/0YahooBB220044016104.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:25:39受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:24:45受信n/aICMPType 8/0YahooBB220044250008.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:24:01受信n/aICMPType 8/0YahooBB220044112039.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:23:27受信n/aICMPType 8/0YahooBB220044052046.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:48受信n/aICMPType 8/0YahooBB220044016243.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:40受信n/aICMPType 8/0YahooBB220044017015.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:19:26受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:19:14受信n/aICMPType 8/0YahooBB220044105026.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:18:07受信n/aICMPType 8/0YahooBB220044105002.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:53受信n/aICMPType 8/0YahooBB220044052046.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:51受信n/aICMPType 8/0YahooBB220044104152.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:51受信n/aICMPType 8/0YahooBB220045168026.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:43受信n/aICMPType 8/0YahooBB220044112039.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:30受信n/aICMPType 8/0YahooBB220043076170.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:14受信n/aICMPType 8/0YahooBB220044052058.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:16:23受信n/aICMPType 8/0YahooBB220044208233.bbtec.netType 8/0LocalHost
602 :
名無しさん@お腹いっぱい。 :03/08/18 23:36
延々とバッチ拾って再起動するって香具師ですか?
荒らしキター
八つ当たりですか
606 :
名無しさん@お腹いっぱい。 :03/08/18 23:36
似非379うぜぇよ。
>>379 おまえそうやって荒らしてると今回の送信元に認定するぞ!
609 :
無料動画直リン :03/08/18 23:37
ICMP Traffic2003/08/18 23:16:07受信n/aICMPType 8/0YahooBB220047168014.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:16:13受信n/aICMPType 8/0YahooBB220044104098.bbtec.netType 8/0LocalHost 送信し終わってから受信しているのはこれだけでした・・・ 逝ってきます〜
全然違った( ´Д⊂ヽ 忘れてくれ
yahooなんだけど、夕方から回線切れまくりのアドレス変わりまくり。 これもmsblastの影響かな? 狙われやすそうなアドレスwになっちゃったんで、回線切って寝よっと。
615 :
名無しさん@お腹いっぱい。 :03/08/18 23:37
>>596 TrendMicroのページでは、感染対象に95,98,Meが含まれてるよ。
いわゆる、win32ベースの全てのWindowsだよ
>>585 俺様は妻と子を愛してるぜ!(・∀・)ニヤニヤ ようこそ チアンへ!
注意事項:2004年には勝手に自己消滅します(テヘ ごめんよジョングリ
617 :
名無しさん@お腹いっぱい。 :03/08/18 23:37
>>571 >>582 ファイアウォールの立ち上がりまでの間に、DLLHOST.EXE 確かに受け取りますた。しょぼん
これはもう手順無視して、本体電源⇒ファイアウォール立ち上げ⇒モデム電源
しかないわな。そらそうと、うちMeなんですけど、もらっちゃうみたいです。
ただし、動き出してはいないご様子。
620 :
名無しさん@お腹いっぱい。 :03/08/18 23:38
621 :
名無しさん@お腹いっぱい。 :03/08/18 23:39
ファイアウォール内で運用しているネットワークで感染した人います? 弊社は外部の持ち込みPCも接続できるのだが、今のところ大丈夫っぽい。
作者はチャイナか?
>>616 どもです
でもこれじゃ
作者はなにを考えてるのかわからんな
624 :
名無しさん@お腹いっぱい。 :03/08/18 23:40
破壊活動有りか・・・・。 明らかにオリジナルより優秀だ。 9xにも感染を広げるし・・・。
ここにログ晒すな、邪魔じゃ
つーことはPC時計を2004年にしたら勝手に消えるのかな
628 :
名無しさん@お腹いっぱい。 :03/08/18 23:40
昨日はYBBで今日はinfowebマジウザイ。
629 :
名無しさん@お腹いっぱい。 :03/08/18 23:40
悪戯だろう pingでDOSなんて聞いたことが・・・
630 :
名無しさん@お腹いっぱい。 :03/08/18 23:41
I love my wife & baby :-)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:-)~~ sorry zhongli 漏れはおまいらが大好きだ、チャンとじょんいる。 追伸:2004年におまいらあぼーん みたいな感じかな。
631 :
名無しさん@お腹いっぱい。 :03/08/18 23:41
作者というかソースを公開したのが中国の セキュリティ系グループだとか
>>614 そうかなあ
日本人だったらダウソするパッチに日本語版を
含めると思うんだが・・・
633 :
名無しさん@お腹いっぱい。 :03/08/18 23:41
634 :
名無しさん@お腹いっぱい。 :03/08/18 23:42
ここでだいぶ前から騒いでいたからJAPANで届け出る人が多いんでは?
作者は中国人だと思うよ。 Chianとかzhongli なんて中国人しか書かない。
見方を変えれば、かなり効率的な方法だね。 ワームを持ってワームを征すとはね。
637 :
名無しさん@お腹いっぱい。 :03/08/18 23:42
おまえらWin3.1のユーザーの俺を誉め讃えろ。
638 :
名無しさん@お腹いっぱい。 :03/08/18 23:43
640 :
名無しさん@お腹いっぱい。 :03/08/18 23:43
RPCオーバーフローを解析した奴らが、 厨房にコードを利用されたのが気に入らず、 その報復ワームを作ったのではないかと愚考
>621 内部のPCのバッチが行き届いてるのかな それなら問題無いが、持ち込みPCが感染してたら バッチあたってないPCはアボーン FWは内部には無意味
642 :
名無しさん@お腹いっぱい。 :03/08/18 23:43
後始末が大変だけどね
>>619 こゆのはあまり聞かないレアケースなんで、他ではめったには信じてもらえなかったりするのがウツなんですよねん。
お疲れ様でし。
というか、これパッチを当ててから再起動するのか?
646 :
名無しさん@お腹いっぱい。 :03/08/18 23:45
>>627 >企業感染のほとんどがそれ。
「それ」っていうのはやっぱり「持ち込み」のことを指しているんだよね?
ほかの会社が持ち込みをどう許容しているのかが興味あり。
個人的には完全禁止にしたいが、上がそう思っていないんだよね。
647 :
名無しさん@お腹いっぱい。 :03/08/18 23:45
>>594 漏れのPCにもDLLHOST.EXEってのが居たんだけど、
本当に削除して良いの?
釣りじゃ無いよね?嘘じゃ無いよね?
>>614 どこの奴が作ろうが一発目を日本に打ち込めば日本で広まるんじゃない?
>>621 641の人も書いてるけど。
ワークグループ構成のLANで、個人パソ持込での感染例がありましたんで。
650 :
名無しさん@お腹いっぱい。 :03/08/18 23:46
会社は全てのPCに直接FWを導入汁。馬鹿か?
651 :
名無しさん@お腹いっぱい。 :03/08/18 23:46
関係者さんお疲れ様 今日を境に仕事もおちついたかたも多いでしょうか。。 そろそろ終息に向かうと思われたんですけどDION OCN ODN等、 大手はブロックが効いてるみたいなんだけど、 YahooBBの中でははまだ垂れ流しのようです。。 おそろしいですうんこ企業
652 :
名無しさん@お腹いっぱい。 :03/08/18 23:46
>>647 system32\winsフォルダの奴だけを削除しろ。
ってか、バッチダウソして再起動するだけのプロセスなら この氾濫しまくってるpingの説明はどうなるの?
>>585 Welcome Chian~~~
sorry zhongli
上の二つはわからないよ。
固有名詞なんだか何なのかわからんし、チャイナとかコレア系の表記でそ?
>>637 まだ生きてたのか!?糞爺めw
>>648 一発目はやはりスラマ-の件もあったし半島でそ?
656 :
名無しさん@お腹いっぱい。 :03/08/18 23:46
そのうちにウイルス感染すると自動的にワクチンダウンロードするプログラムがデフォルトで XPあたりに組み込まれたりして。 最もそうなったところでたぶん穴だらけになるんだろうけど。
>>612 漏れのルータもタイムアウトしまくり。ただ、再起動には至ってない。
ファームも影響受けてるのかしらん。ちなみに、無通信の監視時間は
60分にしてます。いや〜、さっきログ見たら昼より多めになってるね。
658 :
名無しさん@お腹いっぱい。 :03/08/18 23:47
>>647 C:\WINNT\system32\wins\DLLHOST.exeがあったら即消しなさい。ごみ箱に投げて
からすぐに空にするのを忘れないこと。その前にZoneAlarm入れなさい。
これってWindows Updateきちんとしてたら防げる問題だったろ。
Chianは生まれたばかりの息子では?
661 :
名無しさん@お腹いっぱい。 :03/08/18 23:49
今回の新種は例えるとすると「なまはげ」がぴったりかなw
NEWS23あれからどうした?
>>659 そうなんだよね。
当たり前のことなんだけど、できてる香具師が想像以上に少ない。
パッチがあたっているっていうレジストリだけ書き込まれるとかやられるとそう簡単には消えないだろうなと思ったり。
666 :
名無しさん@お腹いっぱい。 :03/08/18 23:50
>>649 某杉並区とかではそうやって感染しますた。
ちなみにおいらの隣の席の香具師、そうやって感染してますた…
漏れはなぜか大丈夫ですた…
メガネ、巨乳、少女、緊縛、美女、ストッキング。
さあ貴方の股間をムズムズさせる語句はいったいいくつありますか?
全てのエロを網羅した作品です。
アニメとはいえこれだけたくさんのフェチ心をくすぐる作品はめったにありません。必見!!
無料ムービーをご覧下さい。
http://www.pinkfriend.com/
>>660 それだ! ウェルカムトゥザワールド!息子!ってことか?
香港辺りの人かな?
>>664 Windows Updateでイタイ目を見る香具師もいるし。
あんまり信用されてないのかな〜。
671 :
名無しさん@お腹いっぱい。 :03/08/18 23:51
日本のユーザーのセキュリティ意識が低いと判明しました。
てか家の環境ダイヤルアップなんだよ・・・。 Updateする気にならないよ・・・。 一応823980のパッチは当てたけどさー。 会社の方は全然大丈夫だった。
>>666 内部告発!!!!っき、っき、キタ━━━━(゚∀゚)━━━━!!
泣く子はいねがぁ〜悪い子いねがぁ〜
675 :
名無しさん@お腹いっぱい。 :03/08/18 23:52
C:\WINDOWS\system32\dllhost.exe は消すなよ。
OCNは落ち着いてきたな。何か対策でもしたんだろうか? それに比べてplalaからのアクセスが増えてるって言うのは・・・
679 :
名無しさん@お腹いっぱい。 :03/08/18 23:53
>>676 すごいよね・・・。明らかに初心者を狙ってるよね。
>>670 信用してないならしてないでDCOMを止めたり、
パーソナルファイアウォールを何か入れたりすればいいのに。
>>664 Win9x系ではルータやPFW無い場合どうやって防ぐの?
NetBIOS over TCP/IPを無効にすれば防げるのかな?
682 :
名無しさん@お腹いっぱい。 :03/08/18 23:53
2003/08/18 22:28:15 NAT RX Not Found : ICMP **.***.**.** > ***.***.**.***(IP-PORT=7) ↑ログにあるコレの事かな? 初心者丸出しなんで、ICMPが何なのか分からないよ(´・ω・`)
>>680 信用はしないけど自己での対策もしないんだよねきっと
687 :
名無しさん@お腹いっぱい。 :03/08/18 23:54
I love〜 ってメッセージ、漏れの捕まえたDLLHOST.EXEには入ってないなぁ。 なんでだろ〜
件のRPC用のパッチを当てておいたマシンでも感染したような・・・
689 :
名無しさん@お腹いっぱい。 :03/08/18 23:54
9xって元々135なんか動いてないんでわ?
>680 火壁はともかくとして、DCOMの止め方なんか理解してるようなやつがどれくらいいると思う?
ぷららだが、ICMPが来るわ来るわ。 MNVのログが1時間弱で流れてしまう。
694 :
名無しさん@お腹いっぱい。 :03/08/18 23:54
>676が正解
696 :
>>680 :03/08/18 23:54
そうだよね。そういう人って、 信用してない、のではなく、理解できなかった、なのでしょ?
>>683 マスタリングTCP/IP(基礎編)という本がオススメです。
この分野に興味があったら読んでみて。
>>683 ICMPってのはな、玄関についてるインターフォンみたいなものだ。
699 :
名無しさん@お腹いっぱい。 :03/08/18 23:55
>>685 金をケチってるんだろう。そういう国民性だし
700 :
名無しさん@お腹いっぱい。 :03/08/18 23:55
>>682 その前にWindows98、windows2000,WindowsXPのどれを使っているか書き込みなさい。
701 :
名無しさん@お腹いっぱい。 :03/08/18 23:55
内部メッセージからみるに RPC DCOMのバッファオーバーフローを利用したワームの ソースコードを公開したのは中国のセキュリティグループX Focus(事実) でそのコードをほとんコピペしてMSBLASTとして世界中に広めたのは 世界の混乱をたくらむ北朝鮮(妄想) それに怒った中国のX FocusがMSBLASTワームを叩くワームを作って 広めた(妄想) それだけじゃなんなんでpingを打って目立つようにしてみた で「悪いな、ジョンイル」 って感じで妄想してみる。
>>682 C:\WINDOWS\system32\dllhost.exe
は消すよな。
繰り返す!
C:\WINDOWS\system32\dllhost.exe
は消すなよ。
>>685 火壁もいれてて、Updateもしてる漏れが馬鹿らしくなってくる・・・
704 :
名無しさん@お腹いっぱい。 :03/08/18 23:56
>>691 理解していませんが、サービスを停止することはできますw
705 :
名無しさん@お腹いっぱい。 :03/08/18 23:56
>>682 ダメに決まってるだろ、
考えてわかんねぇか?
家に兄弟や親用のPCが何台もある奴は大変だな
707 :
名無しさん@お腹いっぱい。 :03/08/18 23:57
でおまいら今pingどうなん? 漏れのルータログとれないんで
>>703 Windows Updateはレジストリだけ見て実際のファイルのバージョンは調べてない
節が今までもあったけど、今日のCNETの記事でそれが明らかになったわけで。
だから、漏れもあまり信用してない。
もちろん真面目にチェックはしてるけどね。
>>704 それより前に、DCOMなんて物が実装されていることすらしらねーだろ、普通。
しらねーものをどうやって止める?
>>703 こんなに仲間がいるじゃないか・・・
一緒に馬鹿になろうぜ
>>680 まったくもってそのとおりだと思うよ。
車の仕組みを知らないで車を使う人も増えたということだよ。
まとめ C:\WINDOWS\system32\dllhost.exe ←消さない C:\WINDOWS\system\dllhost.exe←消さない C:\WINDOWS\system32\wins\dllhost.exe←消す
SUS使ってる人いる?
>>712 なら君は宇宙の仕組みを知って
この宇宙に生きているのかい?
717 :
名無しさん@お腹いっぱい。 :03/08/18 23:59
>>710 サービスをクリックして停止すればいいだけじゃないの?
DCOM普通にあるし。
718 :
名無しさん@お腹いっぱい。 :03/08/18 23:59
>>710 そうだな。
アイコンをダブルクリック、自動ブートのCDを入れる。
このぐらいで解決しない事を求めても無駄
>>706 この間帰省して親のノートPCのメンテ(≒windowsupdate)をしてたんだが、タイミングばっちりだったようだ。
帰るのが数日遅かったら、今ごろは…ガクガク
720 :
名無しさん@お腹いっぱい。 :03/08/18 23:59
>>700 XPのSP1です。
感染前にうpでーとして、ブラスター本体には感染して無いので
油断してました。さっきからこのスレを読んでいたら話題になってて、
気になって検索してみたらあったんです。
721 :
名無しさん@お腹いっぱい。 :03/08/18 23:59
ノートン先生、ぬるぽにはあんなに素早く対応してくれたのにー
明日かなり鬱なんだけど
723 :
名無しさん@お腹いっぱい。 :03/08/18 23:59
>>714 オリジナルファイルを消して自己を複製するから全て削除→修復インスコ
で正解じゃない?
DCOMって何の略?
うちは全滅に近い状態だったよw 事業所間通信は全滅・・・つかファイアウォールとルータで切り離し、 構内LANもダムハブ使ってるような部署は通信途絶。 あわてて修正手順書を起こしてFAXで日本中に送りましたとさw 完全復旧までどれくらいかかることやらw
>>717 普通の奴は、タスクマネージャとか見ないし、サービスダイアログも
開かない。DCOMなんてサービス、あることすら知らない。
このログ表記、ちゃんと防げているんでしょうか・・・?
ここまで怪しいログがズラーッと並ぶことは初めてなので
ちょっと不安です。
>>697 うーん、正直そんなに興味はないんですけど、
ネットを続ける以上、知識として持って置くに越したことはなさそうですね・・・。
今度調べてみます、ありがとう。
>>698 とりあえず、穴があるかどうか確かめているって感じでしょうか。
間違っていたらすいません。
icmpもそうなんだけど、アメリカ、フランス、トルコ、他逆引き 出来ない所からudpパケットが飛んで来るんだけど。。。 似たような人いる? これって何かのコンボなのかな。
>>726 インスコまでしてくれないんかい
きがきかねえなあ。
>>723 かつては最強と歌われたシマンテックも堕ちたねw
>>725 たまには自分で調べろや。
Distributed Component Object Model
Windowsに大文字小文字の区別ってあったっけ? 素朴な疑問 dllhost.exe DLLHOST.EXE
「WORM_MSBLAST.A」の亜種と見られるワームです。DoS攻撃も行うものと考えられます。 実行されるとWindowsのシステムフォルダ直下に"wins"という名前のフォルダを作成し、 そこに "DLLHOST.EXE" のファイル名で自身のコピーを作成します。 このファイルは 10,240 bytes 前後のファイルサイズです。 ※注:Windowsのシステムファイルにも同名のファイルが存在しますので ワームのコピーと混同しないようにしてください。
739 :
名無しさん@お腹いっぱい。 :03/08/19 00:02
>>729 ウイルスバスター使っててよかった・・・(w
>717 そこに原因があるとどれだけの人が気付くかというのが根本の問題じゃないかと 現に何にも気付かない人の数→大量のpingでは
とりあえず、98には感染するのか亜種は? 面倒なことしたくないんだが
>>725 Distributed Component Object Model
744 :
名無しさん@お腹いっぱい。 :03/08/19 00:03
>>728 そうか。前SE使ってて、SEは不安定だから、PCを弄る癖がついてるからかな?
745 :
名無しさん@お腹いっぱい。 :03/08/19 00:03
で、379はあうぽ入れてるのに どうしてやられちゃったのだよ
>>733 かってに最強と歌われたシマンテックも堕ちたねw
^^^^^^
長崎大学さん感染してますよー
748 :
名無しさん@お腹いっぱい。 :03/08/19 00:03
>>651 漏れYBBだけど、確かにまだ来るね、1分あたり4発くらい。
floppyfwでも勉強しようかな。でもoutpostに慣れてしまった…
749 :
名無しさん@お腹いっぱい。 :03/08/19 00:04
トレンドマイクロの社員がいる
750 :
名無しさん@お腹いっぱい。 :03/08/19 00:04
>>716 ネガティブな読み方をするとそう発言できるなw
752 :
名無しさん@お腹いっぱい。 :03/08/19 00:04
今回のはMEも98も危ないのか?
753 :
名無しさん@お腹いっぱい。 :03/08/19 00:04
中国系のトレンドマイクロは煽りすぎ。
754 :
名無しさん@お腹いっぱい。 :03/08/19 00:05
プラットフォーム: Windows 2000, XP やっぱ9xは関係ないようだな。
dionもまだまだ大量にくる・・・
>>752 同じ穴を使ってるんだったらNT系のみだろ
中国ばっかだな・・・
あ、いつの間にやらTrendMicroのページから、95,98,Meの記述が 消えている。
762 :
名無しさん@お腹いっぱい。 :03/08/19 00:06
>678 やっぱ感染活動もするんか サンクス
亜種の発表はあったけど ICMP→TCP135という流れについては いまだに情報が出てないね。
767 :
名無しさん@お腹いっぱい。 :03/08/19 00:07
香川テ○ビ放送て・・・
768 :
名無しさん@お腹いっぱい。 :03/08/19 00:07
ん、95系は消えたのか だと思ってたよ
pcを目覚まし代わりに使ってるから基本的につけっぱなし 朝起きたらどうなってるか楽しみ
Y!BBからのICMPが多いのは利用者が多いから。ただそれだけ。
>>761 そうそう!
しかし情報更新は1 時間, 12 分前とある・・・
さっきは95,98あったのに
>>765 ひええ、最近の警察はワームの解析までするのか。
んなの、民間の会社に任せとけばいいのに。
>>754 ほんとだ〜 も〜焦ったよ〜
Meで感染したとか逝ってた香具師出て来いヽ(`Д´)ノ
9x系消えたね。 なんだったんだ
亜種は95,98にも感染するってーの。
98でupdateしに行ったら更新する必要なしだと、寂しいな。
777 :
名無しさん@お腹いっぱい。 :03/08/19 00:08
>>772 今の時期、民間は寝ているからだと思われ。それに国内じゃないしw
ICMPトラヒックの急増
779 :
名無しさん@お腹いっぱい。 :03/08/19 00:09
ウインドウズ2000で感染して、除去して、パッチ当てても、オフィスが 起動しないってことあるの? 再インストしても、動かないと聞いたが...
780 :
名無しさん@お腹いっぱい。 :03/08/19 00:09
要は感染するけど活動しないってことじゃないの? せいぜいping打つくらい
20時くらいからログ取りはじめたんで、相手IPを片っ端から逆引きしてみた 逆引き成功したのが214個、半数近くが自分と同じプロバイダだったけど so-netが24個、infowebが13個、YahooBBとocnが8個 日本以外からuk, tw, au, sgが一個づつと.netが数個って感じ いや、ちょっと暇だったんで
783 :
名無しさん@お腹いっぱい。 :03/08/19 00:09
>>756 開発者が便利に使うものだから。ぐらいでいいよ。
>>769 とりあえず明日ちゃんと目覚ましで起きることが出来るかな…
785 :
名無しさん@お腹いっぱい。 :03/08/19 00:10
>>765 これか
783 名前:名無しさん@お腹いっぱい。[] 投稿日:03/08/18 17:50
いまのところ2ちゃんで確認されてるブラスターの挙動としては
1、普通にTCP135にアタックしてくる
2、最初にping(ICMP)を打って反応があったPCにTCP135のアタックをかける
(pingが拒絶された場合は135アタックはしない)
の2つのパターンになりますかね。
788 :
名無しさん@お腹いっぱい。 :03/08/19 00:11
>>783 分散コンピューティングを簡単にできるように実装したものくらいでいいのでは?w
検索したところ、 DLLHOST.EXE-21A3A314.pf −C:\WINDOWS\Prefetch dllhost.exe −C:\WINDOWS\system32 こんなのが出てきましたが、大丈夫なんでしょうか?
>>788 どこが簡単なのかと、小一時間問いつめたい気分だが、要するに、
漏れの技術がないだけの話なので、泣きながら同意。
791 :
名無しさん@お腹いっぱい。 :03/08/19 00:12
>>788 >分散コンピューティング
俺の想定だと、この単語で眠りに落ちるw
寝たいんだけど、明日起きたら感染してるってことはないよな PINGも打ってくるな! 入っているんだからゆっくりうんちさせろ
793 :
名無しさん@お腹いっぱい。 :03/08/19 00:12
はいYAHOOです・・・だからでしょうね・・・。
やっぱ寝てないのか
はいみてますw
対処して 夜が明けたら 亜種騒ぎ
ahooって最高 明日手続きしようっと
806 :
名無しさん@お腹いっぱい。 :03/08/19 00:15
XP PROです。・・・そういえば書いていませんでしたねw
ワーム貼り付けている奴明日警察来るぞ
811 :
名無しさん@お腹いっぱい。 :03/08/19 00:16
>>793 間違って32のを削除しちゃったらどうなります?
812 :
名無しさん@お腹いっぱい。 :03/08/19 00:16
ICMP通してやったら次は135が来るってことか
813 :
名無しさん@お腹いっぱい。 :03/08/19 00:17
814 :
名無しさん@お腹いっぱい。 :03/08/19 00:17
>379 例のファイルそろそろ消しておいた方がいいのでは 悪用されると犠牲者が続出の悪寒
815 :
名無しさん@お腹いっぱい。 :03/08/19 00:17
817 :
名無しさん@お腹いっぱい。 :03/08/19 00:17
猫に小判 豚に真珠
ヒットしますたー
820 :
名無しさん@お腹いっぱい。 :03/08/19 00:18
今から解凍して調べてみます
キターーー
>>800 のは
モノホンのmsblastだったーーー
バスター反応したYOーーーー
もうゴミ箱とうさずに消してますw
>>720 sfc /scannow
これを、ファイル名を指定して実行」に打ち込むとよいかも
多少時間がかかるけど。
826 :
名無しさん@お腹いっぱい。 :03/08/19 00:20
それにしても ICMP 叩かれた log とこのスレと、伸びる勢いはどっちが 上か(w。
鑑定スレで出てた鑑定で見かけたので、winsというフォルダを探してみたところ、 wins ファイル フォルダ C:\WINDOWS\system32 0 バイト 2002年12月2日、18:55:41 なんて言う空のフォルダを発見しました。 なんでしょうかこれ? スレも読んで勉強してるのですが、どなたか情報お願いします。
ウヒョー。ファイアーウォールのログ見て焦ってセキュ板に来たら案の定・・・ 俺も一時間に100〜のping食らってる。ネトゲが重いんだけど、このせい?
要はwinsってフォルダにDLLHOSTがなきゃいいんでしょ
832 :
名無しさん@お腹いっぱい。 :03/08/19 00:21
ここらで一発、インターネッツむけにWINSサーバー公開してみるか
833 :
名無しさん@お腹いっぱい。 :03/08/19 00:21
>824 違います。 上げてた方です。 このまま放置してたら誰か言ってたけど警察来ても文句言えない状態に。。。
今から証拠画像キャプチャしてうpしまつ
837 :
名無しさん@お腹いっぱい。 :03/08/19 00:23
古いオリジナルのやつなら探せば結構出てくる悪寒。
相変わらず頻繁に来るな。 ずっとランプが点滅してるのがなんとなくウザイ。
いちいち確認しないで自分で判断しろよ
>>800 はウイルススキャンしても出ない、、
トレンドじゃないから。
843 :
名無しさん@お腹いっぱい。 :03/08/19 00:24
winsってフォルダは最初からあるの? それとも一度でも感染したらできるの?
けどNT系ってまだまだ穴とかありそうだよな そのたびにこんなこと繰り返すんだろうか 今回の一件でセキュリティ意識が少しは向上すればいいんだが
845 :
名無しさん@お腹いっぱい。 :03/08/19 00:25
>>843 ある場合もあるし無い場合もある。
ちなみの漏れの2000 SP4にはある。
846 :
名無しさん@お腹いっぱい。 :03/08/19 00:26
>843 デフォ
名前:379をNGワード指定しました。
ウホッ
851 :
名無しさん@お腹いっぱい。 :03/08/19 00:27
>379 いいかげん空気嫁
こんなん感染しちゃうヤツは大人しくMeつかっとけ
854 :
名無しさん@お腹いっぱい。 :03/08/19 00:27
>>845 俺のsp4にはマルチブートしてる片側だけにあった
>>847 まぁ、フォルダの作成日時を見れば一発だけどね。
857 :
名無しさん@お腹いっぱい。 :03/08/19 00:28
ping打ってくるIPにポートスキャンしても 今回の該当ポート開いている人って少ないんだけど
>>800 ウザい。お陰でウイルス2匹飼うことになってしまったじゃないか(w
>>860 感染してないくせにおとなしくMeなんて使うな
865 :
名無しさん@お腹いっぱい。 :03/08/19 00:29
Meマンセーですが、何か?
869 :
名無しさん@お腹いっぱい。 :03/08/19 00:31
(´・ω・`)ショボーン メモ帳はOSじゃないし・・・でも
871 :
名無しさん@お腹いっぱい。 :03/08/19 00:32
>>858 関係ないけどああいう壁紙使ってる奴は信用しないことにしてる(w
メモ帳&万年筆最強
マジでやる気なさげですね Symantec
>>875 更新ないなぁ。何やってんだろ。
ぬるぽことAntinnyのときは早かったのにね。
パスワードをクラックした悪寒。
いやまじほんと今でも 脇から汗が出てるわけだが・・
今頃シマンテックの社内LAN全滅のヨカーン
僕のPCはリカヴィネが守ってくれてます! だからだいじょうび!テヘ
883 :
名無しさん@お腹いっぱい。 :03/08/19 00:38
>>873 >>800 が link 貼ってた奴って icmp 乱射してくる新型じゃないよな?
旧型のは昨日のうちに確保してるんでお腹いっぱい。
884 :
名無しさん@お腹いっぱい。 :03/08/19 00:38
わかった、この亜種はシマンテック製だな
6ちゃんが感染したらMSか対策ソフト会社に電話しろと逝ったのが悪い
137や138を送信してるってどうなん?
これはしまんこってす
888 :
名無しさん@お腹いっぱい。 :03/08/19 00:39
890 :
名無しさん@お腹いっぱい。 :03/08/19 00:40
つか800は何をはしゃいでるんだ? イマイチわからん
旧型は適当にググれば出てくるんだけどなぁ(w
893 :
名無しさん@お腹いっぱい。 :03/08/19 00:41
? 今の状況でXPのFWとかセキュリティのFW切ったら 新型にやられます?
895 :
名無しさん@お腹いっぱい。 :03/08/19 00:42
セキュ板なのに初めてウィルスに触った子供みたいにはしゃいでるし ZIPのPIKAZIPクラックなんぞで得意になってるし なんかよーわからんな
>>892 msblast.exeのMD5
5AE700C1DFFB00CEF492844A4DB6CD69
DLLHOST.EXEのMD5
53BFE15E9143D86B276D73FDCAF66265
ルータのログみたらこんなんあったんですがなんでしょう? FILTER UDP connection denied from 192.***.*.*:137 to 159.***.***.***:137 (br0)
\ 壊滅ワッチョイ! / + \ 全滅ワッチョイ! / + + /■ヽ /■ヽ / ■ヽ (( ∩,,・д) (,,・∀・) (д・,,∩ )) + ヽ ⊂ノ (⊃ つ (⊃ 丿 + (__(__) (__ノ__ノ (__)し' + 現在の○ymantec社内
スレの勢い急に萎えたな…。 みんな就寝?
>>800 はおいしくいただきました。皆もPIKAZIP使えばすぐなんで欲しい人は検索汁
>>898 話によると192.168.247.129へ139番ポートでアクセスするとのことです。それのログでしょう。
903 :
名無しさん@お腹いっぱい。 :03/08/19 00:50
WinDos窓用のポートスキャナでいいのない?
904 :
名無しさん@お腹いっぱい。 :03/08/19 00:50
このスレ、夏休み企画ですからw
445と6949が急に増えた。 何でだろ。
PC初心者でもないのに疎い漏れに付き合って、 丁寧に教えてくださった方達、本当にありがとうございました。 明日も無事だといいです。
>>901 みんな明日は、蔓延しているウイルスを
退治しなくてはいけないから体力を蓄えているのですよ。
λ ... 明日は亜種・・・
>>902 >
>>898 話によると192.168.247.129へ139番ポートでアクセスするとのことです。それのログでしょう。
ログの内容も正しく読み取れない椰子がレスすんな
>>898 メルコのルータかな?
簡易設定みたいなので、外向きの135,137-139,445をルーティングしないような
フィルタがあったはずです
913 :
名無しさん@お腹いっぱい。 :03/08/19 00:52
受信があるのにゾーンアラームは反応しないって何でしょ?
ごめん、135は通すんだったかも
勝手に慌ててsagにしてた俺に付き合ってくれて
このスレのみなさんありがとうございました。
隠しててももはや無意味なので
>>800 のパスは
1
です。
それではおあとがよろしいようで(・∀・)ノ=ノ
>>908 なるほどです…。
ってかスレの方向が800を叩くスレに変わってきてるようなw
918 :
名無しさん@お腹いっぱい。 :03/08/19 00:55
ルータ・FW設定万全でのんきにこのスレ見てる 俺たちを震え上がらせるような WORM_MSBLAST.E キボンヌ
919 :
名無しさん@お腹いっぱい。 :03/08/19 00:56
最後まで空気の嫁ないヤシ(w
nyで拾えるのか・・・ セキュ全OFFのが速いオカン
2003/08/18 23:33:55 NAT RX Not Found : ICMP 211.***.***.183 > ***.***.**.*** (IP-PORT=7) ウチのルータのログは↑で終わってるんだが、だいぶ落ち着いてきたのかな? まだガンガン来てる人いる?
925 :
名無しさん@お腹いっぱい。 :03/08/19 01:02
>>921 プライベートネットワークからインターネット上の159.**アドレスのノードへ
通信を開始しようとして、ルータの基本ルールに蹴られてるんだね。
フィルタを見直すより、なぜ159.*にNetBIOSでアクセスしようとしているかを
突き止めたほうがいいよ。
すいません、普段Ping80msくらいの鯖に対してなにも起動してなくても Ping300msとかいってるんですけどこれと関係ありますか?
>>921 911は間違ってるかも
簡易設定みたいなので、外向きの137-139,445をルーティングしないような
フィルタがあったはずです
としておきますね
今回のは135を閉じなくてはいけないのでそちらは手動設定しないと駄目だったと
思います
会社のなのでちょっと記憶があいまいで、、
誤爆スマソ
2003/08/19 01:02:08 NAT RX Not Found : ICMP 219.*.*.* > 219.*.*.* (IP-PORT=7)
dionとeonetからがんがんきてますが・・・
72番をリズムよく叩かれてる。 とりあえず、寝るか。
932 :
名無しさん@お腹いっぱい。 :03/08/19 01:04
確かにICBMは落ち着いてきたな 135叩きと時間割ほぼ同数に (1、2時間前は5倍以上) 今はICBM毎分3発ぐらい
ノートン先生駄目やん バスターのほうがいいの?
みんなPC落として寝たからかな
>>932 ICBM(((( ;゚д゚)))アワワワワ
937 :
名無しさん@お腹いっぱい。 :03/08/19 01:05
938 :
名無しさん@お腹いっぱい。 :03/08/19 01:05
なんだか気が狂ったように、攻めてきます。 この書き込みも、ノートン先生の警告が邪魔で、なかなか書き込めません。 俺のパソ=俺の彼女 たのむよ。ホントに・・・
>>932 大陸間弾道ミサイルが毎分3発か。
大変だな。
940 :
名無しさん@お腹いっぱい。 :03/08/19 01:06
NT3.51は影響ありますか? いまどきマジでNT3.51でネットに繋いでいます。メインで使ってるわけではありませんが。
941 :
名無しさん@お腹いっぱい。 :03/08/19 01:06
みんな寝たから、感染してる稼動PCが減ったんだな 再燃確実か
>>933 そうとも限らない。ベンダー間で定義ファイルのリリースにタイムラグが生じるのは当たり前。
今回はトレンドマイクロが早かっただけのこと。
どっちか好きなほうを使うべし。
943 :
名無しさん@お腹いっぱい。 :03/08/19 01:07
>>924 うちは相変わらずだよ。今 01:10-JST だが 01:00 以降に 18 回きた。
回数は減ってきたかな?
大陸間弾道ミサイルをそんなに食らってる人がいたのか・・・・・・
>>921 というか、159.*.*.* が自分のアドレスかどうかをまず明記すべきでは?
218.222.*.*からばっか・・・ もう調べる気にもならん。
地球ともおさらばかな・・・・
あ、そうか、確かに寝た人が多いのかもね。 という事は、また明日にはガンガンくるのかな・・・ちょい鬱。
951 :
名無しさん@お腹いっぱい。 :03/08/19 01:10
>>933 先走って訳のワカラン駆除する時あるけどなw
ぽっくんのPCをノックしてるPCにいいたい。 寝ろと。
NODも対応したようだ。 検出した。 >ファイルDLLHOST.EXEはワーム Win32/Nachi.Aに感染しています NOD32 このファイルの感染は駆除できません 本物だったのかw
954 :
名無しさん@お腹いっぱい。 :03/08/19 01:11
220.*.*.*から毎分3,4回・・・
>>945 159.*.*.*のほうは自分のアドレスじゃないです。
XPのFWのログだけどサパーリわからん 普通? 2003-08-19 01:01:23 DROP TCP 64.**.***.66 221.***.***.190 80 3402 40 FA 264968683 464888510 32640 - - - 2003-08-19 01:01:30 DROP TCP 64.**.***.66 221.***.***.190 80 3400 40 FA 195729454 445146151 32640 - - - 2003-08-19 01:01:50 DROP TCP 64.**.***.66 221.***.***.190 80 3360 40 FA 3659790204 248057394 32640 - - - 2003-08-19 01:02:04 DROP TCP 64.**.***.66 221.***.***.190 80 3379 40 FA 4051330826 347924084 32640 - - - 2003-08-19 01:02:25 DROP TCP 64.**.***.66 221.***.***.190 80 3338 40 FA 3298201911 162869541 32640 - - - 2003-08-19 01:02:45 DROP TCP 64.**.***.66 221.***.***.190 80 3355 40 FA 3573469676 230363351 32640 - - - 2003-08-19 01:03:07 DROP TCP 64.**.***.66 221.***.***.190 80 3409 40 FA 378631531 493381058 32640 - - -
ahooBBでICMP来てる香具師いる? ログ取り開始してみたが一向に来ない。
958 :
名無しさん@お腹いっぱい。 :03/08/19 01:13
内にはICPOが来たよ モウダmrポ
960 :
名無しさん@お腹いっぱい。 :03/08/19 01:14
961 :
名無しさん@お腹いっぱい。 :03/08/19 01:14
ICMPめちゃくちゃきて鬱。こんなにログいらんし。。。 これってフィルタできないの?
962 :
名無しさん@お腹いっぱい。 :03/08/19 01:14
963 :
名無しさん@お腹いっぱい。 :03/08/19 01:15
>>961 ブロック設定を解除してスルー汁!
これでログはスーキリ
964 :
名無しさん@お腹いっぱい。 :03/08/19 01:15
>>962 ん? 違ったかな。酔っててスマソ
965 :
名無しさん@お腹いっぱい。 :03/08/19 01:15
>956 Web見てたら、それ出るよ 80
968 :
名無しさん@お腹いっぱい。 :03/08/19 01:16
>>921 あなたのPC(192.***.*.*)がUDPポート137で
(159.***.***.***)のUDPポート137と
通信しようとしたんで止めました
って意味ですね。
フィルタの動作としては正常です。
ポート137はNetbiosで使われているポート
(159.***.***.***)はあなたのルーターに割り当てられている
グローバルアドレスじゃないかな
マイクロソフトネットワーク用クライアントとか
マイクロソフトネットワーク用プリンタ/ファイル共有
とかが有効になっている可能性が高いですね。
スタンドアローンで使ってるなら落としておきましょう。
自宅でLAN組んでファイル共有とかしてるんなら
しかたないでしょうが。
まあルーターが止めてるんで問題はないでしょう。
>>957 ひっきりなしでつ。
2003/08/19 1:16:17通信の要求219.57.247.5ICMP(2048)
2003/08/19 1:14:21通信の要求219.57.110.53ICMP(2048)
2003/08/19 1:13:39通信の要求219.60.236.124ICMP(2048)
2003/08/19 1:13:30通信の要求219.57.38.55ICMP(2048)
2003/08/19 1:12:58通信の要求219.57.172.39ICMP(2048)
2003/08/19 1:12:27通信の要求219.58.14.109ICMP(2048)
2003/08/19 1:11:52通信の要求219.57.168.191ICMP(2048)
2003/08/19 1:11:49通信の要求219.57.242.26ICMP(2048)
2003/08/19 1:11:39通信の要求219.56.226.85ICMP(2048)
2003/08/19 1:10:37通信の要求219.54.2.44ICMP(2048)
2003/08/19 1:10:22通信の要求219.57.60.9ICMP(2048)
2003/08/19 1:09:46通信の要求219.56.188.104ICMP(2048)
2003/08/19 1:09:17通信の要求219.55.196.102ICMP(2048)
2003/08/19 1:09:15通信の要求202.229.198.199TCP(4101)
2003/08/19 1:09:08通信の要求219.58.36.125ICMP(2048)
2003/08/19 1:08:47通信の要求219.57.6.80ICMP(2048)
2003/08/19 1:08:22通信の要求219.57.130.47ICMP(2048)
2003/08/19 1:08:11通信の要求202.229.198.199TCP(4101)
2003/08/19 1:07:42通信の要求219.57.192.150ICMP(2048)
2003/08/19 1:07:13通信の要求219.57.140.76ICMP(2048)
2003/08/19 1:07:07通信の要求202.229.198.199TCP(4101)
971 :
名無しさん@お腹いっぱい。 :03/08/19 01:16
メルコのルーターってPINGを通さないんだけどなんで? PINGを通すとどうなるのか見てみたいのに・・・
972 :
名無しさん@お腹いっぱい。 :03/08/19 01:16
次スレまだ?
更なる亜種きぼんぬ
次の亜種はメモ帳を使ってネットに接する奴きぼんぬ。
>>957 自分もYahooだけど相変わらずきてるよ。
Yahoo自体は減ったけど。アメリカと大陸からちらほら
祖そろそろ次スレでしょ〜
>>960 ,969,978
そうかぁ。
何故か漏れのところには一度も来てないな。3時間ほどログ取ってるんだけど。
自分でPing撃ったらReplayパケットのログが残ってたから設定間違いって事もないんだが。
msblasterを喰らえ!!!!
982 :
名無しさん@お腹いっぱい。 :03/08/19 01:20
>>968 追加
念のため外からの137〜139、445あたりもフィルタで止めてることを
確認しといた方がいいですね。
>>935 W32.Welchia.Worm
って Welcome to China の略か(w
>>978 相変わらず10秒に1回来てますahoo
985 :
名無しさん@お腹いっぱい。 :03/08/19 01:21
>>956 Windows 使ってないからよくわからんが drop tcp だからとりあえず安心
しといていいんじゃないの?80/tcp ってのがナニだが(w。
でも、64.**.***.66 だの 221.***.***.190 だのってどこのアドレスよ?
来なくなったよ
system32\wins\dllhost.exe と同じ場所に、 system32\wins\svchost.exe が有る香具師いるか? 有ったとして、そのニセsvchost.exeのプロパティで、 名称==tftpd.exeになってないか?
レスしてくれた方どーもです。
勉強不足です。
>>964 マジで酔ってますなw
代わりにレスしてくれてますが
989 :
イタチ飼い ◆ITACHIz.0o :03/08/19 01:23
10秒単位で来るな・・・ OCN、富士通さん、ぷらら、アフォーBB、アジアンネットワーク? もう国際社会って感じでつ・・・
990 :
名無しさん@お腹いっぱい。 :03/08/19 01:23
>>980 外からのpingは無視なルータじゃね?
自分でpingって内側から打(ry
991 :
名無しさん@お腹いっぱい。 :03/08/19 01:24
papiko
>>968 グローバルアドレスは61.***.***.***というやつなのです。
ちなみに159.***.***.***ってのを検索してみたらCountry: USとかなりました。
LAN組んであるんでファイル共有はしてます。
問題ないということなんでとりあえずこのままにしておきます。
(・∀・)チゴイネ
995 :
名無しさん@お腹いっぱい。 :03/08/19 01:25
nurupo
1000ダニ
もらった
1000ダニ!
999 :
名無しさん@お腹いっぱい。 :03/08/19 01:25
一〇〇〇
>995 ガッ
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。