米でレッドコードワームがホワイトハウスを攻撃中!?

米でレッドコードワームがホワイトハウスを攻撃中!?
その権威はメリッサ、アイラブユー以上
Microsoft IIS鯖+INDEX鯖経由だって…
Web鯖のその数10万台！
何でMS鯖はパッチ走らせてねえんだよ？

権威？

脅威だろ？
どちらにせよG8なんて報道してる場合じゃねえぜ(^^；

Red codeは20日早朝に沢山いらっしゃってます。あちこちで変なLogに気がついている管理者はましですが、
過去にクラッキングの経験を持つサイトの殆どはそれっきりで何もしてない管理者が多いですね。
このIndex.serverへのパッチは6/18に既に公開されているのに、一ヶ月間もほったらかし。
ばかぁ＝です。
笑っていたら、知り合いのサイトがその状態でした。連絡しようにも連休狙ってラッキーでしたね。
無音信でさっぱりです。ホワイトハウスに１０万人デモ攻撃みたいなもんだな。
これはこれで大変だ。

LLLLOG

日本の政府機関をターゲットにした亜種が韓国から出たらしんだが
情報持ってる人いる？

>>6
そんなはなし、どこで聞いたの？
ｶﾝｺｸｼﾞﾝならやりそうだけど

今度は添付ファイル形式のw32/sircam発見！
これでも世界一のIT国家目指すか？
＞竹中平蔵

うちもレッドコードワームらしい攻撃がいらんな国から来たけど、
とりあえず撃退したみたい。

撃退ってなんだよ？（藁

2001-07-19

■新型ワーム「コード・レッド」／1万2000台のサーバーに感染

　米イーアイ・デジタル・セキュリティは17日（米国時間）、マイクロソフトのウェブ・サーバー・ソフト「IIS」を標的としたワーム「コード・レッド」に注意するよう警告を出した。このワームは、6月に発見されたIISのセキュリティ・ホールを使って侵入し、ウェブページを「Hacked by Chinese」という文章を含む内容に書き換える。イーアイがネットワーク管理者から最初に通知を受けたのは13日で、18日時点で1万2000台以上のウェブ・サーバーが感染しているという。
　このワームは、新たな標的となるIISを捜すため、IPアドレスをランダム走査するが、走査方法の特性により、特定サーバーが感染したサーバー群から集中攻撃を受ける事態も発生する。最悪の場合、システムリソースが枯渇してクラッシュするか、使用不能になるという。

　このセキュリティ・ホールは、IISによってインストールされる「ISAPIエクステンション」の拡張機能である「インデックス・サーバー」(ウインドウズ2000では「インデキシング・サービス」)のコンポーネント「idq.dll」に、確認されないバッファが含まれるのが原因。マイクロソフトはこれを修正するパッチを公開しており、これを直ちに適用するよう強く勧めている。

[米イーアイの発表]
http://www.eeye.com/html/Research/Advisories/AL20010717.html
[マイクロソフトのセキュリティ情報]
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033

（Mainichi　DailyMail　Internet）

マイクロソフト自社サーバでさえ感染してます。

http://www.wss.net/winupd.jpg

「そんなにしてまで IIS 使う奴は 糞」で決定でしょうか。

Chineseは暇だねぇ

うちのルータRedCodeが飛んできてると思われる時間帯にCPU使用率明らかに上がっていました。
どんなパケットきてたことやら。。。

>>13
F5キーつかうおとなりの国より
1000万倍ほどまともだとおもわれ、、、

>>14
それは単にルーターがヘタレ
7200VXRか12000GSRかJuniper入れろ

今朝会社に来たら [email protected] から、おたくのマシンが
やられてるぜべいべーなメールが2通来てた。1通はダイアルアップユーザの
感染マシンのリスト。こっちはまあしかたがないんだが、もう1通は
社内の個人端末の感染リスト。クソバカヤロー、貴様ら ISP に勤務する資格なしだ。

>>15
ああ、確かに。人力に比べれば1000万倍マシだね…

>>17
ﾏｧﾏｧ　落ち着いて

それにしても、亜種のほうが問題だな。今度はコネクションの
確認なんかしないだろうし。まったく迷惑な話だよ。

調べてみたら、code red にやられてたマシンは当然のごとく sadmind にも
やられてた。個人端末に IIS なんか入れておくなよお願いだがら。

20日夜に急にこれのパケット増えたよね
亜種はページ改ざんしないからきずいてないサーバー多い
んじゃないかな。
1日からまた動くけどネット麻痺したりしないのかぁ
漏れは対策立ててるけど・・・
8月1日から夏休みとったのさっ（ｗ

2001-07-31

■コード・レッド活動再燃の恐れ／8月1日は要注意　米FBIが警告
　米連邦捜査局の（FBI）の米国家インフラ保護センター（NIPC）は29日（米国時間）、マイクロソフトのウェブ・サーバー・ソフト「IIS」に感染するワーム「コード・レッド」が、米東部夏時間7月31日午後8時（日本時間8月1日午前9時）に再び活動を再開する恐れがあるとの警告を発した。NIPCはIISユーザーに対し、直ちにセキュリティ修正パッチを当てるよう呼びかけている。
　コード・レッドは7月19日に発見されたワームで、感染すると次の標的を求めてIPアドレスを走査し、セキュリティ欠陥をもつIISサーバーを見つけて自己増殖する。7月19日には、感染したサーバーを踏み台としてホワイトハウスのサーバーに分散サービス拒否（DDoS）攻撃を仕掛けたが、ホワイトハウスはIPアドレスを変更して攻撃を回避した。

　NIPCは、コード・レッドが突然変異して、活動再開時には危険度が増している可能性があると警告。感染が拡大すると、頻繁にIPアドレスを走査することでトラフィックが増加し、企業や個人による電子商取引や電子メール、エンタテインメントといったインターネットの利用が一時不能になる恐れもある。

[NIPCの警告]
http://www.nipc.gov/warnings/alerts/2001/01-016.htm

（Mainichi　DailyMail　Internet）

データ送受信妨害する「ワーム」１日にまん延と警告
　米政府とコンピューター業界は30日、インターネットのデータ送受信を妨害する「コード・レッド」と呼ばれる新型ワームが米東部時間31日午後8時（日本時間8月1日午前9時）に世界にまん延する恐れがあるとする警告を共同で出した。ワームはウイルスと異なりユーザーがメールを開いたりしなくても感染し、爆発的な勢いで広まるため、マイクロソフトの予防ソフトで直ちに対策をとるよう呼びかけている。
　「コード・レッド」はネットのデータのやりとりを管理するサーバーに侵入し、送受信の渋滞を引き起こす。19日に米国でホワイトハウスのサーバーが被害を受け、9時間で25万台のサーバーに感染したことが確認されている。米国家情報インフラ保護センターによると、ワームに組み込まれた時計により、31日に一斉に感染が再開する見通しだ。被害を食い止めるには、いったんコンピューターの電源を切るしかない。予防ソフト使用法の詳細を示すホームページは以下の通り。http://www.digitalisland.net/codered/

死ね死ねIISと能無し技術者。

米は今ITリストラの嵐だから
首切られたSEの報復措置だろうな（ｗ

MSは所詮その程度…
独禁法で逝けば良かったのに！
Linux個人レベルでもうちょっと扱い易くならねえかな？

昨日はは俺は休みだった。
今日に備えて電話しておいた。
「○○のPCのケーブル抜いといて」
○○＝厨房以下の知ったか社員

Code Red 活動してます？
Apache のログ見ても全然攻撃の気配ないんだけど。
7/20日前後にはかなりのそれと思しきアクセスあったのに。

今回は全然無いみたいね

log見たら、さっきアタック来たぞ。
動き出してるんじゃないか？

うちも来はじめた。一番最初のやつは、２２時１６分。
そのあとたてつづけに来て今までに4回。

確かに動きだしてるよ。

うちもさっき来ましたね。相手は中国上海。

うちにも今来た。わざわざPerlで偽鯖作って待ったかいがあったよ。

[Thu Aug 2 00:25:23 2001]
Access from ool-18b8c17a.dyn.optonline.net(24.184.193.122) : 2025
GET /default.ida?NN（略）　 HTTP/1.0
Content-type: text/xml
HOST:www.worm.com
Accept: */*
Content-length: 3569

こんなリクエストだった。相変わらず worm.com なんだね

また別のとこから来た。今度は逆引きできん。

ところで>>32のWEB鯖にアクセスしたら、また
http://24.184.193.122/　これが表示されたけど、
亜種はこれ表示しないんだっけ？

>>32のやつはページ書き換わってるね。
うちにきたやつはみんなつながらないんだけど
これって鯖落ちたのかなあ。
それともデフォルトがないだけだろうか。
うちのはこれです。
GET /default.ida?NNNN・・・NNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u68
58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%
u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 325

あげちゃった、すまそ
>>33
これはsadmindのパロかねえ。こんなんが表示される
なんて聞いてない。亜種は改ざんしないって聞いてる。
でもこのページと同じのをどっかで見た記憶があるんだ
けど思い出せない。ひょっとして２重にやられてるだけ
かも。

あ、そう言えばCodeRedは 「Hacked by Chinese」って
書き換えるんだっけ。
>>32はなんだったかな、とにかく最近の奴だよね

ああ、失敬。調べたらsadmindそのままだった。
つーことはダブルで感染か。(･∀･)ｶｺｲｲ!

sadmindは fuck USA 〜じゃないか？
これ fuck Chinese〜になってるよ

ChineseじゃなくてCHINAだった、スマソ

>>38
そうだね、ただどっかでCHINAになってるのを見た
事がある。
パッチのあたっていないサーバーを知っているけど
いまのところ元気に動いているみたい。
とりあえず日本語環境ならば動作には影響ないのかな。
思ったよりアタック少ないね。増えてくる様子もないし
とりあえず実害なしかな？

ネットワークの専門家じゃないんでよく分からんが、あんまり
活発じゃないみたいね。とりあえず偽鯖そのままにして寝よ。

http://www.incidents.org/
現在、７万台ほどが感染した恐れあり。

なんかhttpへのアクセス多いと思ったらこのせいか。
うちには決まって3回ずつアクセスしてくる。

あ、なんか知ってるＩＩＳが落ちてるみたい・・・
これの影響かあ
情報ないですか

朝起きてログ見たらら8回来てた。
一般ユーザーにもこんなに来るもんなんだね。

まだ止まずに来てるよ。うにょうにょ。
www.smartims.net
とかさぁ。おたくやられてるんだけど、、、。

ちょろちょろ来てますね。
５分くらい前にはイタリアから来た。先方のサーバーにアクセスしてやろ
うと思ったら落ちてるみたいで見れん。

>>33の鯖ももう落ちてて見れないね

capricorin.ce.hallym.ac.kr - - [02/Aug/2001:08:24:59 +0900] "GET /default.ida?
NNNNN中略
NNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090
%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u
531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 329 "-" "-"


さすがチョン

24.229.50.49
24.112.33.216
211.45.212.222
210.90.239.193
210.177.143.81
213.11.82.35
211.61.184.185
211.23.232.182
148.208.143.4
61.135.110.130
216.76.15.171

203.236.221.24 - - [02/Aug/2001:12:07:28 +0900] "GET /default.ida?NNNNNNNNNNN
HTTP/1.0" 400 324 "-" "-"

213.142.192.82 - - [01/Aug/2001:21:15:15 +0900]
212.90.74.100 - - [01/Aug/2001:23:33:43 +0900]
211.117.6.14 - - [01/Aug/2001:23:46:41 +0900]
199.239.29.3 - - [02/Aug/2001:00:01:27 +0900]
61.77.150.163 - - [02/Aug/2001:02:49:13 +0900]
210.236.73.201 - - [02/Aug/2001:04:06:51 +0900]
208.168.93.234 - - [02/Aug/2001:04:20:59 +0900]
65.105.83.231 - - [02/Aug/2001:05:16:28 +0900]
213.97.203.43 - - [02/Aug/2001:05:56:20 +0900]
200.196.67.249 - - [02/Aug/2001:06:35:49 +0900]
195.70.152.198 - - [02/Aug/2001:06:48:13 +0900]
210.110.88.76 - - [02/Aug/2001:07:32:59 +0900]
210.55.57.45 - - [02/Aug/2001:08:32:13 +0900]

211.178.88.3 - - [02/Aug/2001:09:10:22 +0900]
195.224.227.2 - - [02/Aug/2001:09:54:48 +0900]
61.211.4.180 - - [02/Aug/2001:10:07:03 +0900]
24.147.235.36 - - [02/Aug/2001:11:03:50 +0900]
166.104.61.20 - - [02/Aug/2001:11:36:53 +0900]
203.236.221.24 - - [02/Aug/2001:12:07:28 +0900]
203.247.202.90 - - [02/Aug/2001:12:32:25 +0900]
213.151.136.8 - - [02/Aug/2001:16:20:32 +0900]
202.104.104.80 - - [02/Aug/2001:16:58:17 +0900]

212.181.151.4 - - [02/Aug/2001:17:18:35 +0900]
211.234.190.83 - - [02/Aug/2001:17:24:41 +0900]
止まらﾈｰﾖ(w

http://www.himawari.sakura.ne.jp/%7Eloveseat/index.html
　 ∧＿∧　　 　∧＿∧　　　 　∧＿∧
　（　・∀・）　　（　・∀・）　　　（　・∀・）
⊂　⊂　 ）　　（　Ｕ　　つ　　⊂__へ　つ
　<　<　<　　　　）　）　）　　　　　（＿）|
　（＿（＿）　　（_＿）＿）　　　 彡（_＿）
http://www.himawari.sakura.ne.jp/%7Eloveseat/index.html

うげ！
思いっきり感染したよ。

普段は１日数回ポートスキャンが来るだけなのに
今日に限ってHTTPばかり狙って20回以上。
これだったのか．．．

昨日からやけにアタックが多いと思ったらこれかい？

NULL.idq狙ってくるやつがあったが、変種か？

うちの会社のウェブサーバ（Linux）にもたくさんきました。
8/2だけで100件近くあった。
適当に20件ほどたどってみたところ半島が多かったなぁ。
最初原因不明だったので半島からの攻撃かと勘ぐってしまったよ。

うちのサーバもひどい
ログがどんどんふくらんでいく
うちは半島より欧州から多いんでヨローピアンな感じだ

関係あるかも。東めた被害

東京めたりっく，不正アクセスにより一部回線不通に

8月2日の20時，東京めたりっく通信の一部ADSLモデムに対し無差別に大量の不正
アクセスが行われ，現在もすべての収容局のFamily，SOHO契約のユーザーの一部
が接続困難な状況になっている。同社Webのサポートページによると，前面LEDラ
ンプ異常点灯，モデム動作不良，速度低下状態などの症状が起きているという。

　同社では，一部ポート（TCP80番）に対しての接続制限を行っており， WWWサ
ーバを設置しているユーザーのWebを外部から参照できない状態だ。

http://www.zdnet.co.jp/broadband/0108/02/meta.html

うちの場合７月のは欧米とゆー感じだったけど、今度のは半島＆中国
がほとんどだね。

うちにも来たぜ〜＞code red
昨日辺りからhttpdのエラーログに「なんだろこれ？」と思っていたが。
…いまみたら着実に増えてる。すごい勢いだ。韓国とアメリカが多いかな？

うちに来たやつのホスト名リスト。ダイヤルアップPPPも多いねぇ。

Name: 61-218-161-203.HINET-IP.hinet.net
Name: ndslppp44.sttl.uswest.net
Name: host213-121-125-145.in-addr.btopenworld.com
Name: webproxy223.bcs.ee
Name: line89.comsat.net.ar
Name: fs-gw.teleworks.co.uk
Name: server1-kma.kma.local
Name: ingeopc01.ingeo.tuwien.ac.at
Name: 61-218-213-201.HINET-IP.hinet.net
Name: kather.xs4all.nl
Name: adsl-66-120-218-182.dsl.sntc01.pacbell.net
Name: schilling4u.schilling4u.com
Name: user-33qt5ng.dialup.mindspring.com
Name: utlhq301.utl.co.ug
Name: c1639423-a.bvrtn1.or.home.com
Name: dyn-102-014.admin.purdue.edu

>>56
うちでも１件だけまじってた。malformed Host header じゃなくて
File does not exist になる奴。
こっちはまだ情報みないね。

http://www.tajiri.com/

追加

217.15.64.198
64.242.115.165
195.178.183.203
216.53.74.93
195.122.185.132
216.16.224.130
206.153.58.147
163.121.197.150
208.57.255.99
62.161.74.159
210.201.72.136
205.205.100.19
203.169.156.130
210.205.191.50
203.58.197.228
211.223.14.137

わしも混ぜれ。
163.152.19.198
217.116.226.12
200.128.57.163
208.167.16.50
210.67.59.189
211.200.7.2
216.13.15.206
170.210.136.18
211.248.9.118
212.14.239.242
211.183.42.79
64.182.205.79
202.211.32.42
210.189.122.229
61.119.41.130
193.192.87.10
24.5.114.56
202.110.225.161
211.22.7.29
65.100.162.185
210.91.80.130
65.1.20.12
211.56.235.206
193.45.11.54
61.218.171.106

飽きたね。まだ来てるけど。

IIS うざい。

134.75.107.68
140.131.114.216
193.82.0.69
195.96.76.126
196.32.159.98
200.213.3.2
202.125.80.51
202.31.147.31
203.190.131.28
203.236.139.6
203.236.230.19
203.237.51.93
206.124.12.149
210.103.160.2
210.106.188.215
210.110.64.197
210.12.191.1
210.201.104.184
210.220.227.217
210.222.65.144
211.172.176.181
211.174.163.221
211.175.207.144
211.20.246.210
211.62.36.31
211.63.143.217
216.244.196.16
216.37.41.65
216.86.204.77
217.59.53.131
24.12.85.15
24.160.158.121
24.19.89.233
24.4.229.243
61.132.122.177
61.136.117.45
61.180.170.2
62.155.251.157
63.221.191.10
64.105.47.178
64.172.243.18
65.106.42.36
65.7.154.252
66.108.72.62

port80を3発ずつ叩いてくる奴かい？
ｺﾈｸｼｮﾝ不確立のsyslogが肥大でﾋﾞﾋﾞｯﾀよ

24.253.144.228
213.120.115.192
193.253.44.179
128.134.176.140
210.206.77.150
212.143.235.194
209.219.10.208
61.163.218.108
211.227.229.127
212.164.196.17
216.112.83.91
168.131.53.95
206.71.66.138
213.53.162.6
212.135.222.210
211.222.223.52
202.64.132.14
64.80.29.12
193.252.110.30
208.176.34.175
207.30.9.99
139.223.134.140
203.176.75.70
202.98.45.144
61.218.24.74
211.233.21.183
38.203.21.6
24.203.75.6
211.56.217.193
211.48.98.10
211.48.98.11
66.68.32.28
212.156.70.254
61.218.62.52
24.245.6.74
202.106.20.74
202.156.2.246
202.156.200.119
24.0.50.180
202.105.178.185
195.55.211.214
211.22.135.21
211.116.188.200
63.28.209.83
193.251.78.218
212.236.7.227
193.252.223.123
12.79.40.193
62.96.177.23
204.210.177.137

個人鯖なんだけど約３０分おきにきている　７／２０よりは少ないけど

2001/08/02 00:34:34 62.0.72.21
2001/08/02 01:03:22 203.74.210.30
2001/08/02 01:16:19 202.105.150.114
2001/08/02 02:23:23 24.181.205.153
2001/08/02 03:44:13 168.126.22.203
2001/08/02 04:49:34 206.206.48.90
2001/08/02 05:33:48 195.145.138.60
2001/08/02 06:14:36 208.61.44.46
2001/08/02 06:20:35 212.65.244.5
2001/08/02 06:30:02 209.77.75.11
2001/08/02 06:33:13 200.212.167.137
2001/08/02 06:46:15 61.213.130.152
2001/08/02 07:02:56 194.12.227.98
2001/08/02 07:26:01 210.186.220.2
2001/08/02 07:29:37 65.28.165.173
2001/08/02 12:06:50 24.1.195.70
2001/08/02 12:16:08 24.28.93.179
2001/08/02 13:33:05 211.174.35.154
2001/08/02 14:46:28 203.254.139.21
2001/08/02 14:52:47 129.174.48.38
2001/08/02 15:35:44 64.219.245.65
2001/08/02 15:43:00 64.67.160.132
2001/08/02 15:56:55 216.5.195.131
2001/08/02 16:47:25 210.91.115.232
2001/08/02 17:38:57 24.66.198.226
2001/08/02 18:29:10 210.181.173.3
2001/08/02 19:11:52 194.51.27.51
2001/08/02 21:44:43 24.181.214.112
2001/08/02 21:47:58 211.220.191.153
2001/08/02 21:51:14 203.144.13.33
2001/08/02 21:58:14 211.72.38.53
2001/08/02 22:27:56 202.43.83.106
2001/08/02 23:04:45 195.18.233.44
2001/08/03 00:08:35 208.188.19.13
2001/08/03 01:43:21 195.80.189.33
2001/08/03 02:21:13 204.94.239.179
2001/08/03 02:48:46 61.33.77.194
2001/08/03 03:20:55 210.123.145.15
2001/08/03 03:34:57 200.231.205.97
2001/08/03 04:19:10 211.38.138.14
2001/08/03 06:03:36 24.8.219.28
2001/08/03 06:51:52 194.236.31.24
2001/08/03 08:38:15 216.25.161.101
2001/08/03 08:44:38 64.249.21.34
2001/08/03 09:01:48 61.216.73.165
2001/08/03 09:25:42 61.218.179.18
2001/08/03 09:53:26 64.80.155.131
2001/08/03 11:03:19 210.108.205.221
2001/08/03 11:35:52 64.218.67.77
2001/08/03 12:35:51 61.153.22.212
2001/08/03 13:26:43 65.67.151.196
2001/08/03 15:09:29 212.59.19.90

追加
前までは２，３ぐらいしかこなかったのに急に増えたぞ。
どういうこと！？

63.205.131.29
217.126.69.227
210.85.56.233
212.175.156.35
211.56.9.99
24.12.165.106
24.250.22.176
211.67.218.60
210.102.1.87
209.183.213.143
64.52.176.208
203.248.215.5
61.170.151.202
61.134.82.99

どんどん増えるんだけど。
apacheで同じこと起きたら死ぬね。

http://mclain.wa.com/

http://255.255.255.255/
http://mclain.wa.com/
http://www.digicrime.com/

>>72
それ悲劇
致命的な穴空いてても放置してる管理人多いし

自宅鯖

[02/Aug/2001:01:30:30 +0900] 211.73.210.253
[02/Aug/2001:02:16:36 +0900] 211.176.62.73
[02/Aug/2001:02:51:37 +0900] 209.91.66.240
[02/Aug/2001:03:23:31 +0900] 129.171.67.95
[02/Aug/2001:04:34:56 +0900] 211.233.21.184
[02/Aug/2001:04:38:08 +0900] 203.45.202.154
[02/Aug/2001:06:20:16 +0900] 207.196.191.105
[02/Aug/2001:06:35:25 +0900] 61.35.94.68
[02/Aug/2001:06:53:37 +0900] 38.176.0.228
[02/Aug/2001:11:22:37 +0900] 130.228.2.44
[02/Aug/2001:11:45:22 +0900] 205.130.66.9
[02/Aug/2001:12:41:42 +0900] 211.196.229.58
[02/Aug/2001:13:50:19 +0900] 212.0.128.6
[02/Aug/2001:14:37:26 +0900] 210.59.227.201
[02/Aug/2001:17:02:21 +0900] 64.3.2.98
[02/Aug/2001:17:56:04 +0900] 157.160.128.134
[02/Aug/2001:18:03:02 +0900] 203.248.108.232
[02/Aug/2001:18:36:06 +0900] 211.108.241.111
[02/Aug/2001:18:58:32 +0900] 193.144.185.15
[02/Aug/2001:19:09:02 +0900] 211.242.6.159
[02/Aug/2001:23:20:37 +0900] 207.8.134.168
[03/Aug/2001:00:10:20 +0900] 62.161.253.242
[03/Aug/2001:00:16:18 +0900] 211.247.137.251
[03/Aug/2001:01:45:55 +0900] 210.200.8.81
[03/Aug/2001:04:27:18 +0900] 24.1.5.161
[03/Aug/2001:06:55:49 +0900] 203.230.251.51
[03/Aug/2001:07:16:26 +0900] 210.216.153.20
[03/Aug/2001:07:47:13 +0900] 12.34.156.101
[03/Aug/2001:08:01:05 +0900] 211.36.231.200
[03/Aug/2001:08:38:06 +0900] 195.168.11.109
[03/Aug/2001:11:08:52 +0900] 204.60.95.36
[03/Aug/2001:11:12:39 +0900] 211.75.135.190
[03/Aug/2001:12:16:18 +0900] 216.82.228.21
[03/Aug/2001:12:48:00 +0900] 211.39.105.31
[03/Aug/2001:12:48:04 +0900] 130.91.216.147
[03/Aug/2001:13:34:06 +0900] 195.215.173.11
[03/Aug/2001:13:53:48 +0900] 62.251.192.162
[03/Aug/2001:14:35:56 +0900] 195.249.146.217
[03/Aug/2001:15:35:12 +0900] 200.204.199.52
[03/Aug/2001:16:04:59 +0900] 207.35.47.107
[03/Aug/2001:16:46:37 +0900] 194.228.145.51
[03/Aug/2001:17:22:37 +0900] 211.210.124.66
[03/Aug/2001:18:06:22 +0900] 140.128.118.212

まだ来てるねぇ。

jordan.korea.ac.kr
derecho.unca.edu.ar
ppi03-0529.din.or.jp
iweb2.deai.ac
ci26005-a.nash1.tn.home.com
cx839844-a.meta1.la.home.com
211-56-235-206.panworldnet.com
srnf0801.asplenium.net
61-218-171-106.HINET-IP.hinet.net
mail.seg-outdoor.com
host53.trantech-inc.com
rr-26-69-118.atl.mediaone.net
bw1-188pub43.bluewin.ch
www.pseudo.cz
cs666817-100.austin.rr.com
211-232-158-190.panworldnet.com
ptb46.sion.net
evrtwa1-ar5-054-226.evrtwa1.dsl.gtei.net
pD904830A.dip.t-dialin.net
pc-obs.bretagne.ens-cachan.fr
sea-adsl10-91.wolfenet.com
66-74-213-156.san.rr.com

逆引きしてみた。

なんか飽和に達したみたい
クラックできるところはクラックしつくしたのか？

うちは今のところ収まったみたいだけど、前回と比べて３倍ぐらい
に増えてる。（回線細いのにたまらんよ）
けっこーな騒ぎだったはずだがパッチ当てたやつが少なかったって
ことか？

61.74.223.143 - - [03/Aug/2001:23:26:33 ;0900]
またはじまったよ
>>72
Apache/1.3.20 だけど死なねｿﾞ（ｗ

俺の処も今始まった、
2001/08/04 00:22:20 195.243.198.221

はじまり遅いな

http://www.theecozone.com/logs/access_log
http://www.gerrish.net/logs/access_log
HTTP/1.0 400 324 ってどういう意味？

grep 'default.ida' /var/log/apache/access.log | awk '{ print $1 ; }' | perl -ne 'chop ; print `nslookup $_ | grep Name` '

>>84
HTTP/1.0はリクエストのバージョン。
400はHTTPステータスコードでBad Request。
324は送出したバイト数。

>>85
こういう使い方を見ると、もっとかっちょええのに修正したくなるんだよなぁ(藁。

awk '/default.ida/{print $1}' access.log | xargs -n 1 nslookup | grep Name

cj3147636-a.kkbnj1.kt.home.ne.jp

210.220.138.168 - - [04/Aug/2001:21:22:10 +0900] "GET /default.ida?萌え萌え萌え
萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え
萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え
萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え%u9090%u6858%ucbd3%u7801%u909
0%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%
u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 200 12

激しくﾜﾗﾀ

cj3168809-a.kkbnj1.kt.home.ne.jp

# awk '/jp.*default.ida/{print $1$4$5}' /usr/local/apache/logs/acc
ess_log
i252120.ppp.asahi-net.or.jp[04/Aug/2001:21:41:15+0900]
i212167.ppp.asahi-net.or.jp[04/Aug/2001:21:49:31+0900]
i252120.ppp.asahi-net.or.jp[04/Aug/2001:21:54:50+0900]
i231133.ppp.asahi-net.or.jp[04/Aug/2001:21:56:36+0900]
i212167.ppp.asahi-net.or.jp[04/Aug/2001:22:00:47+0900]

cj3020122-a.sugnm1.kt.home.ne.jp

10.20.183.45

210.20.183.45

自宅サーバーにも来た。

日本製は、NNNNでなく、XXXXXだ。

i252120.ppp.asahi-net.or.jp - - [04/Aug/2001:21:54:50 +0900] "GET /default.ida?X
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd
3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%
u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 280 "-" "-"

IPだけ貼り付けてる奴は邪魔だからどっか逝ってね。

＞ハート？
プロバイダ板のJ-COMスレ逝け

なんで日本製？

日本製＝.JPから来たと言うだけ

じゃあ日本製って言うなよ

うーん、うちのログ見ても
たしかにJPドメインからきているやつは
全部XXXXだな、NNNNNじゃなくて
つまり、純正CODE　REDではなくて
亜種ということか？

nsレコード使った方がドメインが確実に判るよ。

漏れのサーバー晒しあげ
漏れのサーバーにきたクソIPを晒し上げキャンペーン中

http://takuomix.homeip.net/

>>102
にゅ？apache？？

漏れの鯖はApacheですが何か？

XXXはcnやkrからも来てるよ。

いまApacheつかってるんだけど
ちょっとだけ感染したくなってきた・・
IIS入れちまおう、という衝動が・
普通にインストールすると　*.idaはスクリプトマッピング
されるのかな、IIS使ったことないのでよくしらないのだが

>>100
response code も　404（Not Found） になっている。　

>>105内もそう
XXXがやたら増えた
u40-129.u203.giga.net.tw
203.141.153.39.user.at.il24.net
>>86こいつらはXXXのバカは　HTTP/1.0　302　267だった


>>85　>>87　それはどこに書けばいいのですか？
httpd.confですか？

>>95
来たね
急にXXXXXXXXXXXXXXXXXXXXXこればっかりになったよ

NNNの場合は400
XXXの場合は404
どちらにも共通し、たまに200

この違いは何なのでしょうか？

>>106
ワシも(^^;
帯域つかってバリバリ送出してー。
ついでに亜種も作りてー(それは犯罪)
デフォのままインストールすると感染対象になるらしい。

>>108
違うよ。コマンドラインから書くの。シェルスクリプトでもいいけど。
ログの位置は個々に変える必要はある。

岡山情報ビジネス学院 情報工学化
〒700-0901　岡山市本町6-30　フジビル9F
Free Dial 0120-682336

CodeRED スレ　ﾖﾝﾃﾞ下さい。ｵﾈｶﾞｲｼﾏｽ。
ウｾﾞｪんだよ〜〜〜！

>>112
了解

＞ページを表示できません
＞現在、多数の人が Web サイトにアクセスしています。

f094041.ppp.asahi-net.or.jp
アホが何公開してんだか．．．．やられてまっせ

>>87
(1)awk '/default.ida/{print $1}' access.log | xargs -n 1 nslookup | grep Name
(2)awk '/default.ida/{print $1}' access.log | nslookup | grep Name

(2)でもいいみたいなのだが、違いはなーに？

httpd.confにHostnameLookups Double
をいれとけー。

HostnameLookups Onで十分だよ。