コードレッド (Code Red) 逝ってヨシ

猛威を振るっている Code Red とその亜種 (自称 Code Red II など)
についての情報を追いましょう。

前スレはこちら
「コード・レッド」って怖いの？
http://ton.2ch.net/test/read.cgi?bbs=sec&key=996563662

IPA による CodeRed II 注意喚起 (日本語)
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html

JPCERT/CC による Code Red II 注意喚起 (日本語)
http://www.jpcert.or.jp/at/2001/at010019.txt

CERT Advisory 2001-23 和訳
http://www.reasoning.org/jp/cert/incident_notes/in-2001-09-j.html

その他の情報源は >>2

Code Red II 情報(英語) : 解析情報へのリンクあり
http://www.incidents.org/react/code_redII.php

Code Red II の警告と解析レポート (英語PDF)
http://aris.securityfocus.com/alerts/codered2/

CodeRed Scanner (英語) : CodeRed 感染の可能性があるホストをスキャン
http://www.eeye.com/html/Research/Tools/codered.html

ヤマハ RT80i, RT50i の脆弱性
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html

古川電工 MUCHO-E シリーズが受ける影響
http://www.humind.or.jp/~higasino/ML/infusers/2001-Aug/msg00003.html

崩壊させられているプロバイダ INTERLINK の障害情報
http://www.interlink.or.jp/notification/backno/2001/trb029.html

東アジア壊滅の図
http://www.security.nl/misc/codered-stats/

Code Red騒ぎでCode Redソーダが絶好調 (日本語)
http://www.zdnet.co.jp/news/0108/04/b_0803_11.html

ナイス１

iku

逝っちゃってるプロバイダ情報
http://watch.impress.co.jp/broadband/news/2001/08/06/codered.htm

http://www.security.nl/misc/codered-stats/geodist.html

でかい赤丸にカーソルを合わせると、北緯37.53度・東経127度
あの国です。

1に出てるDQNルータって、管理Webが外に丸見えなんすかね？
それともやっぱ、内側のサーバが感染しちまってるのか・・・
→ならばリセットして感染発見され、到って結果オーライ！！！

>>6
相変わらず、東京、大阪の報告が1件とか2件ですねえ。なんでJARO。

沈静化してきたのかな？
http://www.security.nl/misc/codered-stats/detailed.html

>>9
cnで48時間、他で24時間周期で活動・休眠するらしいので、それのせいかも。
→securityfocus記事。まだ、ぽろぽろやってくるけど。
昨日も夕方がひどかったけど、今日はどうかな。
＃ひとまず収まっても、本質的対策がなければ、いくらでも亜種が出そう。

いや、Ｎの方がお休み期間になったので、減ったように見えるという
ウワサも？うちのサバにはＸくんが、相変わらず来てるよ。Ｎも少し来てるけど。

Code Red問題って2000年問題以上の
問題と思うけど、どうよ？

2000年問題として2000年対策
Code Red問題としてIIS使用禁止対策
どう？

>>8
＞東京、大阪の報告が1件とか2件ですねえ

そりは、未だに気が付かない管理者が多いだけな気がする是。
ニュースグループなんかでも、今どき聞いてくるヤツがいるもんな。

MSはサーバ関連製品の製造販売禁止ってことでいいかな。

>>10
Code Red II は最初の24時間（cnで48時間）の感染活動を終えると、
リブートするのでは？
そして、バックドアとトロイだけが残ると・・・
http://www.ae.wakwak.com/~sysportcore/sysport/kb/security/coderedworm.htm

通信機器とかサーバ接続がお国の認定制になるのも、嫌といえよう。

>>15
こんどはバックドア探しツアーなロボットだの厨房が大量に増えるわけね。
昨日の午後は、UDP probeがペアでお越しになったけど。

>>13
オランダまでとどいてないってだけでしょう。
K国っておくてっとオランダと近いのか？

>>17
その可能性は大だと思うよ。
「場は提供した。あとは好きにやれや。」みたいな感じかなー。

154 名前：みや 投稿日：2001/08/07(火) 09:14 ID:wAqzeuUY
http://www.isc.org/ds/WWW-200101/dist-bynum.html
を見るとｋｒのHOST数は397809　認知感染数は、5236　感染率　1.3％

全世界のHOST数は、約１億　なぜかカンコクは　４％しかないのに　感染数ダントツの一位

うちの鯖A １２時間で１６８回
鯖B１２時間で１８０回


全くうぜー

あああbiglobeのフレッツ馬鹿がうざい
頃しちゃっていいですか？

>>1
ナイスです、スレ盾おつかれさま。

確かにアドレスが近いところからやって来るんですが、
昨日と違ってNS lookupしてもホスト名不明な所がめちゃくちゃ増えてます。
（昨日は同じISPか韓国がほとんどでした）

これって大丈夫・・・というか、どういう事なんでしょうか・・？
今まで通り無視でいいのかな。(;´Д`)

だからどうした、と言われても困るんだが。もっとあるかと思ったんだけど、思ったより少ないな。
http://www2.to/codered/
http://member.nifty.ne.jp/i-tech/codered/maruigas.htm
http://www02.so-net.ne.jp/~kyoko-t/arcana/pklistv0.htm
http://www3.airnet.ne.jp/codered/

ウチにもケーブルテレビの馬鹿がよくくるよ
純粋なISPでさえ話が通じないっていうのに、CATVにメールだしてわかってもらえるんだろーか(苦笑)

>>24
WindowsでBlackICE使ってますけど、DNS載ってなくてNetBIOS名ついてるのが
結構多い。足すと、IPしか判らない奴、今日も特にふえてないすよ。

単に、DNS登録しないプロバからのが増えただけで、特別なテク使う奴が
現れたわけではないんでは（うちは旧INFOWEBなんで、そっちと状況違うかも）

http://203.140.143.83/

>>27
うー、そうなんですか。私は旧niftyなんですが、今日はさっぱりで・・。
（ZoneAlarm+ZoneLogAnalyser）
nifty側が対策したのかな（昨日は全国から来てたんですが）

（サーバ立ててるわけじゃ無いし気にしないでいいか…）

あまりにもヒマなので、要らんPCにW2KとIIS入れて、
code red v3感染後に切り離して飼ってみようと思います。

どこかに夏休みの自由研究スレ作って観察日記でもつけようかな

>>30
くれぐれも切り離してね

>>30
tanosisou

あーCodeRedうざいうざい・・・

感染するとたのしいよ

一向に復活の気配がない INTERLINK

% ping 203.141.139.100
PING 203.141.139.100 (203.141.139.100): 56 data bytes
64 bytes from 203.141.139.100: icmp_seq=0 ttl=20 time=4092.941 ms
64 bytes from 203.141.139.100: icmp_seq=2 ttl=20 time=3212.171 ms
64 bytes from 203.141.139.100: icmp_seq=8 ttl=20 time=1979.282 ms
64 bytes from 203.141.139.100: icmp_seq=9 ttl=20 time=1919.550 ms

逝っちゃってます。技術力ぜんぜん無いんだろうな。

61.115.109.21
211.19.93.143

毎日毎日ウザいんだよ。

>>35
Interlink、今朝、ちょっとだけ戻ったかな？って思えたんだけど
いまはメール送受信すら困難。
安価でIP固定なとこは、被害多いのかも。

CodeRed観察ツール
http://www.rental-web.com/~big-z/info/

http://japan.internet.com/webtech/20010807/12.html
ガイシュツダッタラスマソ

>>39
つうか、このリンク先そのものが亀だな (藁
新情報がないほうが、かえって安心か？(悪化もしてなさそうだということで)

一般紙もようやく
http://www.yomiuri.co.jp/00/20010807i505.htm

>>41
日本には広まっていないようですね。

いま、我々が見ているのは幻影に違いないのか、実はここは日本では
ないのか、ていうか、新聞社のサーバ管理部門はログ見てないのか・・・

>>41
まるで、他人事みたいな書き方だな。国内に警告を発する気はないのか？
まるでだめた。

>>42
同じプロバイダでIPが近所のヤツ結構やってきてるよ。

>>41
あいかわらず、

> このソフトを使っているサーバーは、予防策としてウイルスの侵入口をふさぐソフトを
>ダウンロードする必要があるという。

と書いているだけで、情報源にぜんぜんなっていないところが...
日本のマスコミってなんでこんなにいつまでたってもドキュソなの？

>>44
当然知ってての嫌味だってば(藁

>>45
JPCERTにしてから、6日(月)に発表だもんね。「緊急対策」センターといっても
こんなもんか？
http://www.mainichi.co.jp/digital/network/today/1.html

>>38
早速２発、、、

>>41
〜〜という。

こんな文ばっかり。

>>41
朝日は報道すらしない。もう新聞屋ヤメロお前ら。

>>43
ホントだよなぁ。海外の状況よりも、国内の情報収集を
積極的にやろうぜ！ってな姿勢がほっすぃーよ。
で、海外と国内の感染状況の比較なんぞがあれば完璧だ！

>>38
こういうツールはソース公開してくれんと使う気がおきんよなぁ。

>>52

同意
Code Red に負けず劣らず怪しいな

>>52
でもなかなか便利で面白いよコレ（ｗ

CNN の記事
http://www.cnn.co.jp/2001/TECH/08/06/code.red.two/index.html

MS と Symantec へのリンクあるだけ読売よりマシか、
と思ったら

> なお、コード・レッドやコード・レッドＩＩは
> サーバーにのみ感染し、家庭からインターネットに
> 接続しているパソコンには被害はない。

こういうこと書いてるし・・・
はぁ、とりあえず読売と CNN にメール書くか。
それで改善されるとは思ってないけど。

すくなくともBIG-Z Projectは信用できるだろ

そのメールに「ppp.***.ne.jp」だとか、「dailup.***.ne.jp」だとか
からのアクセスログを添付するよろし。
ダイアルアップマシンもどえりゃー感染しとるんじゃ！ｺﾞﾙｧ！って感じ？（ｗ

>>56
出来ねーよ。
http://www.rental-web.com/~big-z/info/spasetup.html
ここ踏んでみ？いきなり怪しげなレジストリ書き換えファイル送りつけてくるから。

http://www.jpix.co.jp/English/English%20Html/E_traffic2.htm

JPIX

>>59
この赤いのはなんだろ。

日本のサーバーからXくん来たけど、これって教えてやるべき？
「ページを表示できません
　現在、多数の人が Web サイトにアクセスしています。」だって。

>>58
だってそれを承知で試すためのページじゃん（ｗ

あ〜あ、また今日も来るのか・・・。

繋げて10分で30回(10件x3)近く来てるよ。

何年か放置されてるような鯖もあるから、
そんなとこは対策もするわけないかな〜。

誰かバックドアから入ってIISの息の根止めるプログラム作ってくれ(;´Д｀)
毒をもって毒を制す、しか無い

今日も収束の気配全くないです。
プロバイダ関係者は CR-II との戦い４日目に突入決定かな。

>>64
今、ネットワークに送り出したけど、しばらくしないと効果は出てこないと思う。

>>65
こっちも増加傾向になってきた模様・・・ ヽ(;´Д`)ノ
http://www.security.nl/misc/codered-stats/detailed.html

Code Redに感染した糞Ｍ＄の鯖だけを狙って潰すような
ワームウィルスならぬワームワクチンを作成しよう（わら

>>61
そのサーバーの管理者が判ればそこへ
わからなければプロバイダ調べてそこへ
メール、電話、FAX で連絡してください。

これはバカの分布図・・・
http://www.security.nl/misc/codered-stats/geodist.gif

MSを糾弾する動きってのはないんだなぁ
誰か死なないと橋石火石車輪のような騒ぎにはならん

>>70
丸が大きい国はIT先進国（ｗ

>>69　サンキュ。
プロバイダーのようなので、
JPNICに登録されている管理者にメールしました。

だれかテンプレート作らない？＞通告メール

>>73
おいらの広告アドレスいれてくれたらＯＫよ

もうCodeRedにも飽きたよ。やめていいよ。

ワームワクチン機能仕様書

1.外からのport80へ接続をモニタし、件のbuffer overflow攻撃を受けた場合は、反対にbuffer overflow攻撃を行いIIS鯖に侵入を試みる（ここで、侵入しているcode redを殺せる機能が必要）
2.侵入先のIIS鯖では、侵入およびcode redの殺害に成功した場合は、侵入元の鯖に成功した旨の合図を返す
3.(2)の合図を１０回程度（定数）受け取ったら、セキュリティホールを埋めるパッチをＭ＄のサイトからダウソしてシステムに当てて、自動的に再起動する。

つーかIISへの攻撃のはずなのにApacheとか使ってるほうが迷惑してここまで着なきゃいけないのはなぜだ！！

>>3
パッチのダウソサイトへのDDoSになりそうな気配が。。。

>>3 --> >>76

初めまして、○○と申します。

御社で管理されているサーバーから弊社のサーバーへのアクセスとして
下記のログが確認されました。

210.*.*.* - - [07/Aug/2001:16:22:44 +0900] "GET /default.ida?XXXXX（中略）a HTTP/1.0" 404 282

おそらくCodeREDに感染していると思われますので、
お知らせいたしますとともに対応をお願いいたします。
ttp://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588&st=74&to=74&nofirst=true
===================================[バカ発見]====================================

★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★
スペシャル情報

◎ネットで得するいろんな情報を紹介したリンク集。
無料プロバイダ・HP・メアド・レンタル掲示板・チャット
などの無料、懸賞サイトのお得な情報満載！
HP宣伝掲示板もあります♪

　　　　　　★ポツくんのお得情報！★
　　　 　http://ww8.tiki.ne.jp/~potukun/

★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★

初めまして、○○と申します。

御社で管理されているサーバーから弊社のサーバーへのアクセスとして
下記のログが確認されました。

210.*.*.* - - [07/Aug/2001:16:22:44 +0900] "GET /default.ida?XXXXX（中略）a HTTP/1.0" 404 282

おそらくCodeREDに感染していると思われますので、
お知らせいたしますとともに対応をお願いいたします。
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
http://www.jpcert.or.jp/at/2001/at010019.txt
http://www.reasoning.org/jp/cert/incident_notes/in-2001-09-j.html

突然のメールで失礼いたしました。
よろしくお願いいたします。





★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★
スペシャル情報

◎ネットで得するいろんな情報を紹介したリンク集。
無料プロバイダ・HP・メアド・レンタル掲示板・チャット
などの無料、懸賞サイトのお得な情報満載！
HP宣伝掲示板もあります♪

　　　　　　★ポツくんのお得情報！★
　　　 　http://ww8.tiki.ne.jp/~potukun/
★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★━★

ワームワクチン機能仕様書(Ver.1)

1.外からのport80へ接続をモニタし、件のbuffer overflow攻撃を受けた場合は、反対にbuffer overflow攻撃を行いIIS鯖に侵入を試みる（ここで、侵入しているcode redを殺せる機能が必要）
2.侵入先のIIS鯖では、侵入およびcode redの殺害に成功した場合は、侵入元の鯖に成功した旨の合図を返す
3.侵入成功の合図を受け取った側では、自分のシステム内にデータとして保持していたセキュリティホールを埋めるパッチプログラムを、侵入成功した先に送信する（保持していない場合は、Ｍ＄のサイトからダウソする）。この場合、送信側と受信側とでCRCチェックを行うこと。
4.(2)の合図を１０回程度（定数）受け取ったら、パッチプログラムを自分のシステムに当てて、自動的に再起動する

>>62
テストページを踏むまで大丈夫であるかのように装っていきなり
送りつけて来るんだぞ?
そんなことする奴がトロイを組み込んでたとしてもなんの不思議もない。
Java切っとけば問題ないみたいだが。

>>55
> なお、コード・レッドやコード・レッドＩＩは
> サーバーにのみ感染し、家庭からインターネットに
> 接続しているパソコンには被害はない。

この記事、間違いなの？サーバ立ててなかったらCodeRedは関係ないと思ったけど？

Redirect /default.ida http://www.microsoft.com/

Apacheユーザは今すぐにhttpd.confにこれを書き加えるべし！！
M$にリクエストが飛びます。

>>82
Xタイプの場合はroot.exe経由で直接侵入してもいいかも。

>>82
弱点は、1.の侵入が成功しなかったら（code red の亜種で対策を取られた場合を含む）
どうしようもないこったな

>>76
もう前スレから何度も書いてるのでしつこくてすまんが、
実験としてローカルでやるのは面白いけど、インターネットで実際に
やったら不正アクセス防止法違反になるから止めとけよ。

例えば家庭からIIS入れたWindows2000Professionalで繋いでるとあぼーん

>>77
それがwormの醍醐味でしょう。。。

>>88
緊急避難（刑法）つーことで…

>>84
誤解を招くということ。
家庭からつないでいるかどうかは関係ない。
該当する IIS が実行されているかどうかでしょ？

>>91
結果的に事態を悪化させた場合は過剰避難として犯罪になります（わら

>>88
そりは、CodeRedに感染してるにも関わらず、接続斬らないネットワーク
管理者全員を逮捕してから考えることでは？

今朝はありがとう。
ハイパー初心者なのにサーバー持っちゃいました。
思いっきり攻撃受けちゃいました。
みなさんにご迷惑お掛けしてしまい、申し訳ありませんでした。

とりあえず、パッチは当ててもらったのですが、そのあと生成された
ファイルなどは外様にご迷惑を掛けるものじゃないんですよね？
難しいですね。

>>91
国際刑法上はどうなるんだ？ネットに国境はねーし

>>94
不正アクセスを故意におこなっていたかどうかって
話になったら、鯖放置ヴァカのほうが有利に
なっちゃったりして。

>>85
これって自分のサーバーがM$にアタックしてることにならないの？

210.152.236.143
210.152.236.145
210.140.200.166
ここってac.yahoo.co.jpなんですけどIISなんですかね？

それとここは笑える
210.145.140.146
セキュリティ関連の著者のサイトだけど執筆活動の前にパッチを早く当ててほしい。

aplixから来たが、大丈夫か？（藁

iij4uのフレッツADSLからも、、、

>>95は>>80宛です。
速いな〜スレ伸びるの。

セキュリティホールとかバックドア突いてセキュリティ
パッチ当てることが合法か違法かって、判例はないし
逮捕者はいないよね？ あったら教えてくれ。
前例になってみたいの？ > 94

#! /bin/sh
TMPLOG=`date +%Y%m%d%H%M%S.log`
date +%Y-%m-%d_%H:%M
grep -h "default.ida" /var/log/httpd/access_log* | sed -e "s/ - - .*$//" | sort
>${TMPLOG}
echo "total: " `cat ${TMPLOG} | wc -l`
echo "hosts: " `uniq ${TMPLOG} | wc -l`
echo "Top20:"
uniq -c ${TMPLOG} | sort -r | head -20
rm -f ${TMPLOG}

欧米のｽｰﾊﾟｰﾊｶｰが、高伝染性でIIS即死のcode blackとかを作って
結果的に事態を沈静化し、賞賛と喝采を受けて名を上げるでしょう。
日本のｽｰﾊﾟｰｸﾗｶｰには何もできません。

>>105
でも高伝染性だから結局 DDoS になって、作者捕まる、と。

インターリンク週末までダメか？

　　　　　　インターリンクからのお知らせです。

ご迷惑をおかけしております事をお詫び申し上げます。
速度低下の問題につきましては感染者を抽出し弊社側で一時的に感染者のサービ
スを停止しておりますので除々に速度は改善されます。（現在約50％です）
（感染者のサービス停止のご連絡は事後報告となる場合もございますがご了承く
ださい）完全復旧は今週末を予定しております

つか、code red の亜種として
・画面上に「MS製品とIISは、糞です。このように侵入を許してしまうのが何よりの証拠です。さっさと別のプラットフォームに乗り換えましょう」と固定貼り付け常に手前に表示のウィンドウを鯖の画面に出す
・同じ文面を、LAN内のプリンタに印刷する
の機能を持ったのを作ってほしい

>>106
おおっと、その前に即死じゃ伝染しないかもね（ｗ

>>108
そういう鯖の管理者は「大変だ！れっどはっとにしなきゃ」
とか騒いで、そこら辺にころがってる古い Distro 入れて
いまどき Ramen とか喰らって撃沈に１票

>>108
文面は複数の世界公用語で書こうね（ｗ

>>111
ならエスペラントで（ｗ

>>110
とりあえず応急処置としてcode redを沈静化できる気がするので
ヨシかなと（ｗ

>>105
欧米のﾊｶｰ、ｸﾗｶｰの方が
日本よりﾚﾍﾞﾙが高いの？

>>99
わざと感染させてんヂャネーノ？（ｗ

あのさ、気になる事あるんだ。Win2000とかWinNTのIIS狙ってくるって言われてるけど
Win98でもIISってあるよね。WINDOWS\CABS\PWSの中に一連のファイルが入ってる。
パーソナルウェブサーバーをインストしてあるとヤバイのかなー？

インターリンクから来たメール

> ZOOTサービス速度障害の件につきましてはトロイの木馬型ウィルス「CodeRed」
> が原因であると断定致しました。
> このウィルスは任意のサーバーに寄生し、ポートスキャンを行うために多量の
> パケットが流し攻撃目標となっているサーバーに速度低下等の重篤な影響を与え
> ます。

ポートスキャンじゃないんだが。
なんか日本語も錯乱してるし（ｗ

>>116
CodeRed (II含む) に関しては PWS には付かないらしい。

Code Red FAQ を読もう
http://www.incidents.org/react/code_red.php

またaplix.co.jpからきやがった。
なんかここのアプリケーションまで信用出来なくなってきた。

http://202.250.238.XXX/scripts/root.exe?/c+dir+"c:\"
前スレで見つけたんだけど、これって何？
もしかして、IPの部分を変えれってこと？

http://61-220-187-172.hinet-ip.hinet.net/index.htm

おれのトコは中国系が多いね。
日本だとフレッツISDNのNifty（だと思う。ppp.infoweb.ne.jp）
co.jpも来るけどここには書かない。
メールはしておいたけど。

http://sw59-24-218.adsl.seed.net.tw/

> 123

おれとこも懲り案、茶いニーズ系多いよ。昨日は .go.jp なんてのもあった。

Internetのトラフィックを無用に増やしてしまう、無用サーバーを
立ててる奴らを罰したいと思うのは俺だけか？？

s210-219-176-97.thrunet.ne.krうざい、３時間の間に５回来てる

IP: 211.214.202.188
Node: WITNET21-X3IDBP
NetBIOS: IS~TNET21-X3IDBP
Group: WITNET
MAC: 00609709A0A3

このIPから17:28に178回もリクエストがあった。
ほかは、多くても30回が最高。
このIPからのリクエストあった人、他にいます？

>>121
何だか分からないなら触るな。
そいつは迷惑だし犯罪だ。

IP: 210.122.114.92
Node: INTEL
Group: WORKGROUP
NetBIOS: IS~INTEL
MAC: 00D0B7B74803
DNS: INTEL

PWSとIISで別モンだよね？

>>128
http://211.214.202.188/
ｶﾝｺｯｸのサイトみたいだね。
IIS/5.0だって。

CODE RED VIRUS DEFACER 1.0
http://www.opensource.na-web.net/site/codered.html

>>125
>昨日は .go.jp なんてのもあった。

ってそりゃマズイでしょ〜。>.go.jp
っつーか、政府がIISなんか使っちゃｲｶﾝYO！

どこだろう・・・知りたい(w

>>92
そっか。とりあえず安心しました。深読みできなくてスマソです。

>>132
ありがと。
いつもは
http://www.mse.co.jp/ip_domain/
ここで、ドメインサーチをしてるんだけど、詳しいデータが出なかった。
それにしても、ｶﾝｺｯｸ系、多いね。
http://www.security.nl/misc/codered-stats/geodist.gif
日本が見えないよー。日本は、こうゆうIT先進国には、ならないようにしないと。

http://61.142.137.5/

だからIPさらすのやめろよ。

カンコックのお役所もたいへんみたい
http://news.yahoo.co.jp/headlines/reu/010807/int/18345001_japan_47407_1.html

>>139
でも大学が一番酷いと思う

>>126 >>131
PWSもバージョンにもよるけど、基本的にIISの亜種。
でも、IISから付け入って悪さをさせるのはNTのアーキテクチャ。

NT（2000もXPもNT）と、95、98、Meは、見た目は似てるけれど
中身はまるっきり別物。

root権限剥奪もへったくれもない95、98、Meについては心配ご無用。

TCP Flags Sっていうのは平気なんだけど
CMPってのがくると"PROTECTED"とでても
ページが表示できなくなったり、再接続しようとしても
エラーがでて繋げなくなるっ、、、。
これcode redなんすか？
FWはzonealarmいれてます。

http://61.77.110.71/index.htm

って言うか
よくよく見たらNASAから来てるんだけど・・・
pc99013130019.jpl.nasa.gov

これはIPではなくリモホだからOK?

http://61.138.138.109/

>>98
ワームがいちいちRedirect先を見に行くわけないだろうが。

http://61.136.9.22/
http://61.76.108.197/

>>146
98じゃないけど

ProxyPass /default.ida http://www.microsoft.com
なら銅？

>>148
いや、いいけど…。
何が悲しゅうてクソのために自分がMSにアクセスしに行かなきゃならんのだ。

今になってもまだ気づかないなら、警告してあげたらだめなの？
いい加減にして下さい。うざいっす。
http://203.140.142.178/scripts/root.exe?/c+dir+"c:\"

「コード・レッドＣ」駆除ソフトを無償配布＝トレンドマイクロ

　トレンドマイクロは７日、米国を中心に猛威をふるっている新種のコンピュー
ターウイルス「コード・レッドＣ」を自動的に駆除するソフトを、インターネッ
ト上で無償提供すると発表した。無償ソフトはｈｔｔｐ：／／ｗｗｗ．ｔｒｅｎ
ｄｍｉｃｒｏ．ｃｏ．ｊｐ／ｖｉｒｕｓｉｎｆｏ／ｉｎｄｅｘ．ａｓｐのサイト
で提供される。同ウイルスは感染に気付きにくいため、日本国内でも多くのサー
バーに侵入している可能性があるという。

>>148
ワームはサーバの言ったことなど聞いてないと思われ

このまま放置しても何も変わらないと思うのヨ
*.co.jp にはメール打ってるけど
*.kr とかいつまでも続きそう．．．

今日までで７千近くアクセスされてる（鬱

CodRedな鯖だと思って見たらsadmindにもやられてたYO!

せっかくなので、Apache 使いの人へ。
Code Red II のログだけを別ファイルに隔離する設定。

SetEnvIf Request_URI default\.ida code-red
CustomLog /var/log/httpd/access.log combined env=!code-red
CustomLog /var/log/httpd/codered.log common env=code-red

NNNN はヘッダが不正なのでこれでは隔離できないみたい。
XXXX だけが別ファイルに記録される。

>>152

いんや、ちゃんとリクエスト逝ってるYO!
ステータス200で 3K〜13K ぐらいのレスポンス返してるみたいだけど何に返
してるのかな？

うちの会社のIISにroot.exe叩いてみた。
ｳｺﾞｲﾁｬﾀｰﾖ。あはは。del /s *つっこんでみっか。

>>152
ワームに取りに逝かせるんじゃなくて自分で取りに逝ってワームに転送
するの。

http://61.77.219.84/
http://61.152.213.6/
http://61.79.100.142/

*.zaq.ne.jp
*.home.ne.jp
から来た！

>>159
何がしたいの？楽しい？

>>161
放置されてると思われ

*.ocn.ne.jp
から来た！

>>163
そこら中からきとる。いちいちさわがんでくれ。

うちはj-comなのですが、同じj-comから大量アタック！
建前上は鯖禁止なのだか．．．やれやれですわ

>>161
これだけは言っておく。
......

>>164
これだけは言っておく。
......

あいしてる

　　

ここ伸びるの早いね。

>>164
いちいちさわいでるのが、このスレ
いちいちさわいでるのが、２ちゃんねる

Code Red2ってなんじゃ？

>>165
リクエストのログを j-com に送ってやってくれ。

http://www.aalti.co.jp/

ここからcoderedアタックが飛んできた。
んで、サイトの中見たら

次の経験者を募集します。
インターネット関連業務
ホームページ作成
イントラネット関連ソフトの開発
イントラネットシステムの構築
JAVA、VBscript、Perl 等

あかんわ・・・

>>171
昨日は会話に発展があったのだが、ホーワしてしまった。

IISから、Apache for win32 にアップグレード
http://www.ring.gr.jp/pub/net/apache/docs/windows.html
http://www.ring.gr.jp/pub/net/apache/dist/httpd/binaries/win32/apache_1.3.20-win32-no_src-r2.msi

ほら、さっさとやれ！！！

>>175
また「しみじみ述べていいですかクン」みたいなのが来ないかなぁ（ｗ

CodeRedにやられるような所はラーメンにもやられるべ

http://210.119.33.149/c/winnt/system32/cmd.exe?/c+dir

>>179
これだけは言っておく。
……

>>179
要注目だね

>>175
こういうのもなんだけど、
ぜんぜん収まる気配も無くって、、慣れてきた。

>>173
らじゃ
>>174
わろた

>>182
だぁね。でもさぁ今回の件がどーゆう形にせよ収束してしまったら、
お馬鹿管理者は、「これだけ被害が出てるんだから、悪いのはワーム
で、俺悪くないもんねぇー」って言い出しそうだね。

で、また何ヶ月かしたらおんなじ事繰り返すんだろうな。
>>97
が全然笑い話じゃなくて、本当にお馬鹿管理者の方が楽だし。
変なの。

ApacheでCodeRedのアクセスを"codered.log"に記録するのはいいが、CodeRedのアクセスをaccess.logに記録しないようにするにはどうしたら？

dosアタックまだ？

破壊まだ？

>>185 /%PATH%/default.ida をバーチャルホストにしてログ分けれ

http://210.119.33.149/c/winnt/system32/cmd.exe?/c+dir
http://210.220.214.233/c/winnt/system32/cmd.exe?/c+dir
http://210.21.31.181/c/winnt/system32/cmd.exe?/c+dir
http://210.207.36.10/c/winnt/system32/cmd.exe?/c+dir
http://210.91.104.12/c/winnt/system32/cmd.exe?/c+dir
http://210.120.24.191/c/winnt/system32/cmd.exe?/c+dir
http://210.85.108.97/c/winnt/system32/cmd.exe?/c+dir
http://210.91.80.129/c/winnt/system32/cmd.exe?/c+dir
http://210.220.217.151/c/winnt/system32/cmd.exe?/c+dir
http://210.96.195.167/c/winnt/system32/cmd.exe?/c+dir

豊作だ。

>>189
わざわざ載せなくても、ログですぐわかりますがな。

あのさ、CodeRedの�Tと�Uって、別物？？同じ穴、NとXの違いで使うのに。
�Uってホワイトハウス攻撃しそうに無いんだけど。。。
次回対象のIPアドレスはランダムに生成するみたいだけど、感染元の隣接ネットワーク
当たるの好きみたいね。だから伝染するの早いんだって。どっかに書いてあった。

>>191
超既出あぼーん

>>191
過去ログ全部読んで出直せ。

>>191
>>1 と >>2 の情報源見てから書け。

>>192
だって、書くことﾅｲﾝﾀﾞﾓﾝ｡｡｡｡｡

今度code redマスコット作ったよ。

>>186 やられたいのかゴルァ
>>187 壊して欲しけりゃパッチなし IIS 入れろゴルァ

なんか減ってきたんだけど
漏れのとこだけか？

>>198
昨日の晩もそんな書きこみあったねぇ

減ってくるとちょびっと寂しい気がする

>>199
infowebだけど夜になってから ppp.infoweb.〜 が無くなったような?
今ごろだが対策したか?

>>198
ウチはまだすごいぞ。

こいつ酷い。
Code Red だけじゃなくてSad Mindにもやられてる
ファイル共有有効でAdminパスワード無しだし。（笑）
Cドライブまで丸見えはちょっとまずいのでは・・・・

http://211.119.182.80/

今えらい勢いでぞぬアラームが点滅しまくったよ。
初めてかな？

そうだな〜
10分に2〜4アクセスまで減ってきたような感じ。
へってねーか。

>>203
まずいんではとか言いながらさらすなYO

ｋ○ｒnet.netってとこ経由ですげーきてたんだけど
ぜんぜんこなくなった。
トップで注意促してるからいくらなんでも気が付いたってことか

相変わらす５分おきに２〜３アクセスきます。
しかし、明らかにpppなinfowebが多すぎ。
RemoteProcedureCallってのも混じってくるようになったんだけど。

遅ればせながら、あぱっち for W32でログを取り始めたんだけど、
DocumentRootにダミーのdefault.ida置いとかないとエラーログ
のほうに逝っちゃうよ(;´Д`)ﾖｸﾜｶﾗﾝ
default.idaの中身は「http://www.2ch.net/」でいいんだよね

同じプロバの奴から２発来てる。
管理者にメール送っておくべき？ちなみにiij4u。

http://security.chosun.ac.kr/
securityが聞いてあきれる。

うちは、plalaとhi-hoだけになったな。
プロバイダの技量がシレるってか。

pppのinfowebって多分@niftyだと思う。（おれもntt*****.ppp.infoweb.ne.jpになってるし）
一応、@niftyには20件近くログ提出して
対応してくださいとは言っておいたけど・・・

感染して24時間後にリブートするし、いいかげんパープーでも気づくだろ。
減ってもよさそうなもんだ

>>2 のSecurityFocus記事リンク参照。

さっきはじめて真面目に読んだけど、cmd.exe参照も膨大だったのか。

>>201
眼の錯覚でした。

Asahi-netから３連発、その他、３〜５分おきにきている
全部が　61.*.*.* 　

>>210
ログを iij に送りましょう。

http://www.zdnet.co.jp/broadband/0108/07/codered.html
CodeRedの攻撃でルータも悲鳴

既出だったらごめんね

>>155
LOGが見やすくなりました。THX

>>216
確かに61から始まるのって多いよね。
誰か理由知ってる？

ログ解析したら2000アクセス（3日）のうち７割はＫＲからだった。
こいつら気がついていないのか？

>>220
第一オクテット同じ、第二オクテット同じところに選択的に送信するそうな。
61系は比較的新しいし、にわかサーバが多いんでは。

>>221
krも感染後24時間後リブートだし、サーバより、DSLユーザでクライアントのw2kが多いんじゃないかな？
＃根拠レス

ねーねー

とりあえず/default.idaに仮cgi置いて環境変数REMOTE_ADDRで
IP取って自動で管理者にメール送ったりしたらどうかな？

・・・・自分の鯖のリソースをCGIとメールでさらに使う事になるけど


それとも感染者がcmd.exeport80で実行出来るなら
当然formatとかdel *も実行できるんだよね？
仮CGIで片っ端から殺すのって恐ろしいほど簡単なCGIで出来ると思うけど
まぢでやろうかとちょっと思っちゃうよ・・・・

ウチ1分おきにアタックが続いててマジで影響でてんのよ

SUNがMicrosoftの開発言語(C/C++のどこがじゃ(藁)を批判。
Javaで書けと逝っている。ご都合主義な。
http://www.zdnet.co.jp/broadband/0108/07/bof.html

>>224
定期的にこの書き込みあるな。
自分からわざわざ糞スパマーの一員になったり、
犯罪者になりたいというなら止めない。
そうでなければやめとけ。

>>224
捕まるからよせと多数既出。捕まりたければ黙ってやり多摩へ。

俺んところは210なんで9割以上210からだな。
第二オクテットまででカンコックと見分けられるが能力付きそうだよ（鬱

>>224
数秒おきという強者も居るので我慢しなさい。

>>224
とりあえずIPだけからメール送れれば困らんのだが、送れんから問題になっている
＃仮に遅れてもただのメールボムになってしまうように思うが。

ほっといても24時間後に勝手にRebootしてワーム消える(裏口残る)仕様だよ。

>>203

ディアブロ�Uがインストールされてるな
あと、デュアルブート仕様だね。
他人のマシンの中ってなかなか興味深いね

>>231
触っちゃ駄目よ、見るだけよ♪

━━━━━CodeRedIIは笑えた！
default.ida１０００アクセスごとにカウントしてたのってオレだけ？
（よっしゃー２０００アクセス突破！よーし次は３０００アクセス突破しろーって）
でも結局は６０００アクセスしかきてねえんだよね。全然、騒ぐほどじゃないし。
CodeRedIIは笑えた。まじで
SlashdotJapanで知って、手を叩いてわらったなぁ。
おまえらがCodeRedIIにあってる間、2chでIP晒し上げてた
アホだなーこいつらって思いながら
わざわざnet sendで警告送ろうかと思ったよ。
でもCodeRedIIのおかげで何かしらの利益を得た人だっている訳だし
結果的には良かったんじゃないかな。
たしかJPCertやIPAがユーザーへのAdvisoryを渋っていたけどさ、
あそこらへんってADSL厨が多いからそのまま全滅させたかったんだよね。
今でもブロードバンドで繋いでるやつがいるらしいけど、
せこいんだよ！俺らの帯域なんだよね。むかつく。
ところでCodeRedII感染後はあいつらってインターネットどうしてたの？
もしかして気づかずに露画像ダウソ？厨房だなぁー。
どちらにしろSECURITY.NLのRed Code worm statsはまさに
原子爆弾のようで壮観だった！
気持ちの良い夕刻でした

>>233 そろそろ出るとｵﾓﾀﾖ!

>>233
ﾂﾏﾝﾅｲYO!

>>233
とりあえず、xDSLしながら国際電話で露画像はないだろうが、
CodeRedI,IIが自粛仕様だからまだマシなような？
＃破壊よりは、裏口入学が主目的だろう。

root.exeってなんの権限で動くのかね。
formatまでは無理なんじゃねーの。

>>237
Windowsの権限なんてあって無いようなモンだろ(藁

>>237
Administrator権限だよ…

>>237
LocalSystem だよ。

>>237
LocalSystemだよ

なんでもできちゃうね。

どっちなんすか？

>>240
気が合いますね。ケコーンしましょう。

ログファイルを消した後フォーマットだな

>>242
トラぶったら再起動、再インストールする
しかないような前時代的なOSだからね。
それにしてもこのスレッド、実際にIISを
乗っ取られた人は書き込んでないのかな？
ぜひ顛末を聞せてｸﾚ!

シロウトがしゃしゃり出る場所じゃないでしょうけど。
素朴な質問、CodeRedIIって収まりつつあるんですか？

>>244 CodeRed が収まったらね。

>>247

少なくとも今日までのログを見る限りは増え続けてるよ

ネットやメールのスピードは普通に戻っているように見えるんですけど。

Win2000プロで、サーバ立てていないんですが、僕も仲間に入りたく
なりました。どうやったら攻撃されているのを見れますか？
ノートンのインターネットセキュリティは持ってます。

KRを隔離すれば収まる気がする。

>>251
Apache入れてログ見ろ。ただし素人はヘタに
手をだすとやけどするぜ！　覚悟しとき。

>>251

ファイヤウォールのイベントログを見よ

ぺプシの Code Red 入手したのでカクテルを作ってみました。

「パケット・ストーム」

材料
　ジン 1/3
　ドライ・ヴェルモット 1/3
　ぺプシ "Code Red" 1/3

以上をステアして、カクテル・グラスに注ぎます。
カンパリで赤色を付けてもよいでしょう。

うちの学校のサーバは７月２８日以降のログが消されてた。
外に向けて何かやってたらしい。システム自体はいじられなかったみたい。
当然再インストールだけど。

タスクマネージャのプロセスであるプロセスが動いてると危険と言われましたが失念。知ってる人いたら教えてもらえない？

>>251
早い話がhttpのGETメソッドが投げられてくるって事
もっと掘り下げればPort80に不信なものが来るって事。

>>251
ルーターのsyslogとって見れば

>>251
CodeRed観察ツール
http://www.rental-web.com/~big-z/info/

夕方の転載。賛否両論あったけどね（ｗ

某大学から凄まじい数のスキャン来てるんだけど、管理者にメール送ったほう良いのかな？
その管理者大目玉になるのが目に見えるから可哀想で今のところ躊躇。

日本ベリサインのWebサイトに不正アクセス

http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/prom/137133

>>254
なぁ〜んないの。
>>258
Port80は閉じてるし。なんか勘違いしてる？
>>251
それが一番かなぁ。

スキャン回数が3の倍数なのは80,1080,8080がスキャンされているということでしょうか？

>>262
そりゃ問題だね。

>>261
攻撃を放置するほうが悪。連絡いれましょう。
>>262
とりあえずこのスレとは関係なし
>>264
違います。

>>264
ではどうゆうことでしょうか？

>>267
SYNのリトライ

ttp://www.oresama.org/default.ida

>>269 ｻｲｺｰ!!
俺もなんかしこんどこ。

>>203


うーん　そのホムペにいくと　Sad Mindに　感染します　南無ー

9：45から2HでCRが７２匹

９匹　ｊｐどめ
６３匹　ｋｒどめ　61と202が１匹づつ　残りは211

海底ケーブル　斬ってよし

>>271

というよりそのホムペのあるサーバーが感染してるだけだろ

>>269
やべぇ、笑った
ダミーのdefault.idaを早速入れ替えた

>>269

（　´∀｀）

こんなところからもキターヨ
http://dns.taica.com.tw/

>>276
認証局がコレではアレでナニだ。

>>276
ていうか、最新消息がぜんぜん最新ちゃう。

個人PCで感染してる奴っていったい何やってんだ？
デフォルト状態じゃ感染しないだろ？
本当に迷惑だな。

どうでもいいが、そのdefault.idaは誰が見るんだよ（ｗ

>>279
ホムペチェックに使用し後片付けわすれたと思ワレ。

>>280
いや、競うなら今のうちだ(藁

>>276 CA か。そういやさっきも日本ベリサインがやられてたな。

>>279
個人でも、Win2KPで、W3Sを入れてるとかかります。
ホムペテストなんかしてる人は注意を

インフォメーションサービス、WIN2Kはデフォルトで入ってる。

>>278
民国90年は西暦2001年だよー。

>>279
何も対応をやってないだけ…

夜になるとまた数が増えてくるな(´-｀；)

関係ないけどホムペテストっと何？
ローカルでHTML読むだけじゃだめなの？

>>285
デフォルトじゃ入ってません

直接は関係ないがMSに読んで欲しい。
http://www.atmarkit.co.jp/news/200108/07/msnovell.html

CODEREDOででいったいどのくらいトラフィックが混雑しているのかきになる

>>288
Activeバッテンとか、あくてぃぶさーばーぱっぱらぱーを開発した場合に必須。

だいたい。　感染しているマシンは、パッチを当てたくても、スピードが遅すぎて、
本当に当てられるのかどうか、疑問。
何時間何日かかる事やら。
回線切られた奴は、一生パッチ当てられないぞ。どうすんだ？

>>269 ﾔﾏｻﾞｷﾜﾗﾀﾖ

>>293
再インストール（ｗ

>>28
ほんと、コンピューターの管理でサービスとアプリケーションの
下になんかない？

>>269
芸が細かいというか、暇人というか・・・（ｗ

>>269見直して気付いたけど、コメントがなめてる（ｗ
どうでもいいが、<BODY>ぐらい書くのさぼるなよ

>>293
リブートしてトロイ削除してレジストリ直してIIS止めてプロバに電話して、
パッチ当て・・・る、脳があれば世話ないな。
低脳クンでなくて、うっかりクン、不精クン、しまったクンだったら、まだいいんだが・・・

>>289
まちがった

過去ログ読めとかかなり言われそうで嫌なんだけど、人多そうなので思い切って聞いてみる。
IISが動いているマシンだと放置しとくだけで感染してしまうのかしら？

確実に増殖してるね。いずれ収束するんだろうか？
アタック元の管理者にかたっぱしから連絡しないと事態が収まらないような気がしてきた。

>>301
IISに、インデックスサービス(これもデフォ)が入ってるとそうなる。
イントラ用ならルータで80切っとけばいいけど。

>>298
漢字コード誤認識防止のおまじない文字列の１つ
けど実際にあれ選んでるのは初めて見た（ｗ

>>304
つーかあんなもん化けてもいいじゃないか（ｗ

>>302
@niftyだけど、とりあえず、昨日よりは少ない。
不精君でも、リブートするから、気が付くんじゃないか？
うちの会社は、遅ればせながら今日、社内総点検命令が出てました。

要らないサービスは　入れない　付けない　起動させない
これ基本

>>301
1.ネットワークからIIS+Indexサーバにアクセス可能
2.必要なパッチがあたっていない

以上の条件を満たしていたらアウトです。
ネットワークからってのは、インターネットから直接に限らず、
LAN内から侵入される可能性も大いにあります。

へへ見てちょ
www.nefty.net/desktop/haritsuke/imgboard.cgi

>>301
過去ログ全部読めとは言わんが、せめて >>1 のリンク先
くらいは読めよ

100MB のファイルを置いといたのに 56kB しか食べてくれなかった。

>>299
だよねぇ、なのにある会社の管理部はイントラ内で
大繁殖したからって感染PC全部初期化命令を出しよった。
ローカルディスクを初期化しろってさぁ
いくら危機的でも対処方法があるのにねぇ

2，3ヵ月後に又再発するに１５おしりコイン

>>311
　それ、面白い。俺もやろうかな、と思ったけど....
　やっぱ、無意味だよなあ。

２３時をまわったからダイヤルアップのアホどもも戦線に参加して来た。

無意味というか、無駄なトラフィック増やしちゃイヤ

>>295
再インストールしてもすぐ感染するから、パッチを当てないと駄目
>>299
パッチを当てようとしても、OSのバージョンアップしてないと、パッチが当たらないので、
サービスパックをダウンロードして、バージョンアップして、パッチを当てて、というのが、ものすごいじかんがかかる。

いや、Code Red がバッファオーバーフローしないかなと思ってｻ...

>>312
つーかバクドア削除してレジストリ戻して、なんて複雑な作業
できる奴のPCは総じてきっちり防衛できてて、パッチて何？
っていってるようなマヌーな奴のPCが軒並みやられてるわけよ。
でオフィシャル指示としては「感染したら初期化しろ」になったさ。
手順書つくれぇ？アホかーーーーーい。
おまえらの不始末までなんで俺らがかぶらにゃならんのってことよ。

>>315
テレホタイムはプロバイダの担当者帰っちゃってるだろうから
朝までログ集めて、まとめて送り付けて対策しろって言おうかな。

>>317
今の状態だと、そーやって再インストールしてる間に感染。

なんか、不思議だよな>ダイアルアップ
前回のアクセスからリブートしていないわけないと思うから
再感染なのかな。

>>319
じつはこの話、ちゃんとした情報処理の会社なんだけどね
しかも超大手･･･

インストール中はケーブルはずせやｺﾞﾙｧ

>>317
それ以前に､英語が分からなくて、パッチが当てられない人が大多数だと思うぞ。
パッチなんて、素人が当てるとは想定してないからな。

バッチを落としてる間に感染したら終わりじゃないのか？
初心者はバッチをメディアに保存して再インストールだな。
CodeRedの駆除法教えてください厨房に説明するのは疲れそう。

>>319
よく考えたら、IIS動かす必要のない奴に関しては
「IIS止めれ」
で済むのでは。バックドアもIIS経由だし。

>>323
オレがその大手の管理部だって発想はない？

>>328
ご愁傷さまです。

>>324
えぇだって、パッチはサーバに有るじゃん。
てか、DHCPサーバ探すのに時間がかかるしぃ｡
やだ、やだ、えらそうにぃ。
って言われる会社に１票

せっかく感染してるのだから、バックドアつかって直すとか。

The　Internetから切れ＞感染馬鹿

ほんとご苦労様です。
でも12時間もネット止ると仕事にならんよ
原因の通知だって、翌朝だし

>>331
もち社内だけね

そろそろ飽きてきたから、完全に消滅するか
面白い亜種をリリースするかどっちかにしろとか
思ってる俺は逝ったほうがいいかな？
土曜21時ぐらいが一番楽しかったんだが

IndexServerとisapi殺しとけ

なんでみんなせっかく感染してるマシンをばらしちゃうかなぁ。
もったいないよ？

>>331
それも考えたが、root.exeの場所を探すコード書くのは
意外と面倒だ。D:、E:あたりにInetPubがあるならまだしも、
M:とかQ:とかに配置してるような変態まで対処する気にはならん。

>>337
踏み台か、暗号コンテストにしか使えないマシンたちです。

気が付いて速攻削除して知らんふり決め込んでる奴もいるしな。
気持ちはわからんでもないが、防衛できたマシンにはアタック
ログばっちり残ってるんだからさ。ムダムダ。

アタックされたログを公開するのって法的に問題ありますか？
エロ動画ダウソ速度が落ちてﾌﾟｿﾌﾟｿなので晒してやりたいのですが。

あの〜これってWIN２０００とNTに感染するの？
っ〜うかマジでうぜえんだよ！！！！！

>>342
いっつ　つー れいと。

★２ｃｈが常時ＩＰ取ってる証拠？★
http://kaba.2ch.net/news/kako/994/994154317.html

以下の情報を記録させていただきました。
http://usagi.tadaima.com/2chbbs/subback.html

これってポートアタック以外に感染するって事あるんですか？
80さえブロックすればイントラはOKなはずですよね？

>>340
うちでは、ダイアルＵＰ接続馬鹿が居て、そいつがＬＡＮ内に持ち込んだ
ようなんだが、退職者のサーバに電源いれてそれが原因かのように言ってる。
ウィルスじゃなくて、ワームなんだってことに気が付かない言い訳が、哀愁
を誘うなり。

のんきだな
http://www.jwntug.or.jp/index-j.html
http://news01.jwntug.or.jp/openforum/index.html?ng=jwntug%2Eopenforum%2Ewindowsnt%2Esecurity

>>344
IPは公開するものだ。

AT&Tしっかりしてくれ。すさまじいアタック食らってんだよ

>>342 バックドアからやりたい放題だということはこの板を見れば
明白。未必の故意で捕まります。

>>346
人のせいにするやつ信用できない残念だけどクビ。

同じ会社のような気がしてきたぞ（笑
収集できたログの発動時間からしてダイアルアップ経由感染と踏んでるぜ。

NT4はSRPを入れれば大丈夫みたいやね
http://www.microsoft.com/japan/technet/security/nt4srp.asp

>>350
誤爆？

誰かそろそろ、全ネットワークがストップしたあのアホな会社を晒してくれ。

Win2kもproはデフォじゃ感染しないみたいだし、一般ユーザーは取り合えず安心ですね。

なんだかチャット状態ですね。

みんな見てくれよ〜ぶらくらじゃないから
http://www.nefty.net/desktop/haritsuke/imgboard.cgi

>>356
気が付かないうちに IIS インストールされてる Win2Kプロ
が沢山攻撃に参加してると思うのだが。

>>355
全サーバーWINで組むような駄目ネットワークは絶滅危惧種

誤爆ｽﾏｿ >>341 宛てでした

>>359
ちょっと不安になってきたんだけど、人のマシンに気づかれないようにIISインストなんてできるの？

だからあ、コンピューターの管理でサービスとアプリケーションの
下になんかない？

>>362
くとうてんがちがうのであつた

>>355
どこどこ？

>>363
インデックスサーバーがありますね。
これが停止していればOKです。

>>362
わかりにくくてスマソ。

IIS がインストールされていることに気が付いていない
Win2K Pro ユーザーが沢山いるだろうな、という意味。

>>366
デフォルトで停止してる？

>>366
停止しててもだめだよ。

>>366
違う！
index service 動いてる動いてないは関係ないぞ。

Win2kProってデフォルトじゃIISはインストールされないでしょ？
素人はサービス追加したり弄ったりしないだろうからまず大丈夫。
コンピュータの管理＞サービスとアプリケーション＞サービス＞インデックスサービスが停止してれば問題なし。
これが開始になってると非常にまずい。

default.idaあるないですね。

>>369
そうすよね！！
誰も気づいてくれないんだもの。

>>372
default.idaのパスは？

>>367
恥ずかしながら私がそうでした。
遅ればせながら対応しました。
無事でよかったけど・・・。

>>371
違うっつーのよ。いいかげんな情報流すな！

だってan httpd立てようとした時「８０は使われてます」って出たもの。

default.idaは無くてもidq.dllに渡されてしまうからだめ。
.idqと.idaに対するidq.dllへの割り付けを消してしまうかしないと。

もし感染してたとして
ＩＩＳをアンインストールすればＯＫ？

>>366
本当にOK？　うちではインデックスサービスが停止していても、
DLLが残ってると入り込めるらしいという情報が流れているのだが。

>>378
陳謝。

>>379
おまえみたいな奴があとからあとから出てきてこっちの仕事は
停滞しっぱなしだ。

サービスとアプリケーションの下層にインデックスサービスがあるんですけど中身が空なら安全ですか？

idq.dllのリネームで済まないか？

>>379
とめとけばあんまり良くないけどひとまずOk。
ただしSystem File ProtectionがOffになったまま。

>>379
全然ダメ。

>>384
それならパッチ当てたほうがいい

>>366
今回はこういう方達の大量感染なんで
どうにもならんでス。

　 　　　　　　　 　　　　 　　　／）
　　　 　　　　　　　　　､2)Y⌒ 　⌒フ　　　＋
　　　　　　　　　　　ｯ-i'´ 　　 　 　⌒フ
　　　　　　 　　　 (´ ,.-ﾞー-、 　　　 ろ、
　　　　　　 　＊　シ彡ノ"ﾐVv　　　　）
　　　　 　* 　　　ﾉﾉﾉﾉ"ヽヽヽミ 　　シ　 ／￣￣￣￣￣
. 　 　　　　　　　,l'）∩　 ∩ |)|ヾ　ミ　　＜　逝ってよし
　 　 　 　 　 　,○）、 ▽　 ﾉjl| YYﾞ　　 　＼＿＿＿＿＿
　 　 　 　 　　 {_∃ ｀l____/⌒'i|
　 　 　 　 　　　￣ Yl"ﾞ⌒lY　|　　＋
　 　 　 　 　 　 　　,ﾄ|＿_/ﾊ　i、
　　　　　　 　　　　,iﾆiﾆiﾆﾕ ﾞh,,）
　　　 　　　　　　 ﾉtYTYヾ＼
　　　 　　　　　　/''フ''''ー<"ヽ、
　 　 　 　 　　　/__ﾉ 　 　　＼ノヽ、
　 　 　 　　　 （＿_）　　　　　ゞ＿_）

>>386
ありゃ、Backdoor到達できたっけ？

>>384
ida/idqマッピング解除してScriptsを消せ。
実行権解除でもいいぜ。

>>388
かわいい〜

結局、ごちゃごちゃいわずに手順どおりにやれってことになるわけだ。

>>390
なるほど、実行権は確かに楽だ。まあIISなんていう
ステキなHTTPDは触ったことも無いんで、実は関係無いんだが

ワームの削除方法：


1. 次のWebサイトから修正プログラムをダウンロードして入手し、適用します：

http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033（日本語）

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp（英語）

これで一人減ったんでよかった。

-------ここまで読んだ---------
もう寝る。

／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
|　あしたまでに全部駆除しといて。
＼
　 ￣￣￣|／￣￣￣￣￣￣￣￣￣￣￣￣
　　∧＿∧　　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣
　 （　・∀・）　 ∧ ∧ ＜　もう、手詰まりです。
　（　　⊃ ）　 (ﾟДﾟ；)　　＼＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣ （つ＿つ＿＿
￣￣￣日∇￣＼| BIBLO |＼
　　　 　 　￣　　　=======　　＼

http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

iij大丈夫か？、、、
もう１０件も来てるぞ

いいかげんなこと言う前に >>1 と >>2 のリンク先は読んでくれよ．．．

そう言われるといいかげんなこと言いたくなるな

他のとこは勢い落ちてるのかな
俺んとこは、Win2kﾀﾞｲﾔﾙｱｯﾌﾟOCNで
2時間半で230件ぐらい来てる。早く鎮まって欲しい･･･

>>397 うぉ、一気に書き換わってる。

>>397
普段の低姿勢が無くなって、ちょいちょいと怒りが現れているね。

　　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣＼
　　　　　　　|　　IISが起こす昔からの騒動を見ていると　 　 　 　 |
　 ∩_∩　　|　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 　　|
　（´ー`）　<　　IIS自体がバックドアであるような気がするよ　　 　|
　（　　　）　＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿／
　 |　|　|　
　（___）__）

インデックスサービスってｱﾝｲﾝｽﾄできるの？
サービスにIndexing Serviceっていう名前で入ってるんだけど、開始にはなってないが･･･

>>405

1に戻って以下読み直し。

>>397
でも HTTP のリクエストを攻撃パケットと呼ぶのは違和感ある...

>>405
できるけどしても意味ない

>>406
一応過去ﾛｸﾞは読んで、MSの修正ﾌﾟﾛｸﾞﾗﾑをｲﾝｽﾄしたりして感染自体はしてないんですけどね、
Indexing Serviceのｱﾝｲﾝｽﾄは過去ﾛｸﾞにはなかったと思ったんですけど

>>408
意味無いの？やり方だけでも教えくれないかな･･･

>>409
390みてください。

http://www.symantec.com/region/jp/securitycheck/codered_secutitycheck.html
ここでチェックソフト落としてチェックしてみた。

your computer does not appear to be vulnerable to the codered warm
と出たけど、英語わからん・・・。
coderedに弱くない？問題ないって事でええんかのー。

いや〜出始めの頃に落とされて良かったよ＞NNNNの頃

会社の社員が使っているIISマシン落ちてやんの。
SRP入れたから良いけど。

>>411
さいです

your computer does not appear to be vulnerable to the codered warm

アンタのPCにはCodeRedに対する脆弱性が見つからなかった

>>411
does notくらい読めるやろー

http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

一部転載させてもらおう

＞（Code Red II に）感染したホストについて は修正パッチを適用し再起動する(Code Redに対する対処)だけでは
＞まったく 不十分であり、レジストリ値の変更等も必要になる。また、こうした対処を しても、既にバックド
＞アを悪用された可能性もあり、システムの全面的かつ 徹底的なチェックが必須である。それが難しい場
＞合は、全面的な再インストール を行なうことが強く推奨される。

次のターゲットは、やっぱりこれ？
http://www.zdnet.co.jp/news/0108/07/e_ie.html
＃すまん、デマはよそう。

WIN2Kでインターネットにつないでしまった不幸なあなたに送る
バックドア検出ツール
http://localhost/scripts/root.exe?/c+net+send+localhost+やられてますよ

>>416のリンクが一番分かりやすい。
ここでごちゃごちゃいってる奴らははっきり言って要領を得ない。

ﾜﾗﾀ

>>418
なるほどこりゃいいね。

そろそろ次の展開がほしーな
だれか殺虫剤ワーム作ってくれー
名前はアースレッドでよろしく

>>419
・・・みんな君に解説してる訳じゃないんでね

まあ、誤解しがちな点が解決されたんではないか？
ましな情報源のをちゃんと読めという話は確かだが。

http://www.symantec.com/region/jp/sarcj/data/c/codered.v3.html

>>418 おお、いいんじゃないですか。
パート２立てるときは１に載っけといてよ。
# 「やられてますよ」って日本語じゃだめなんかな。

>>414
サンクス！

>>411
すまん、よめんのだ！バカなのだー。
でも、こんなバカの管理してるサーバーが大丈夫なのに、感染してる
サーバーが多いのは信じられないなー。

まとめると
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\Scripts
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\msadc
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\c
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\d
のレジストリキーが存在、あるいは
c:\explorer.exe
d:\explorer.exe
c:\inetpub\scripts\root.exe
c:\Program Files\Common Files\System\MSADC\root.exe
が存在していれば感染。
タスクマネージャのプロセスにInetinfo.exeが存在（IISがインストール済且つ動作中）すればパッチを当てる必要有り。
パッチを当てるにはSP2インストール必要有り。

ってことでよろしいですね。

まとめてくれたのはありがたいんだが 15 分後には同じ質問が
出るよ、この回り具合だと。

>>４１８

http://localhost/scripts/root.exe?/c+net+send+localhost+やられてますよ
って感染してても表示されない気がする

>>428
万能backdoorありってことは、

・ログを消して(通用するのは休眠サーバだけだが)
・レジストリキーもそれなりに戻して、
・別のバックドア仕掛けてドロンジョ(古っ！！）

なんてことはないか？

厨房がUnixでWebサーバー立てる時代だからね

>>４３１
explore.exeなんて目立つ名前じゃないと発見少しは遅れるかな？

別のバックドア、トロイの危険性があるから
素人は素直に再インストールしろっての

さらにまとめるとWindows2000Pro.インストールしたまんまの状態ならIISは動作してないので問題なし。
不安ならバッチあてればなおよし。
Serverはデフォルトでバッチ当てる必要有り。

ってことでよろしいですね。

>>431
もちろんある。
rootkit の類を植えられてる可能性あるし、不安なら再インストール！
なのだが、厨房管理者はその辺神経質にならないから
問題なんだな。

>>428 まさかとは思うが、MeでExplorer.exe削除する奴は居ないよな。
NTと2000のIISは注意だけど。

>>435
IIS 動作させちゃうアプリってあるんじゃなかったっけ？
FrontPage とかどうだっけ
あとは Visual InterDev とか

>>438
IISを動作させるアプリをまとめて、これ使ってる人要注意みたいな感じで喚起するといいかもしれませんね。

>>473
ﾜﾗﾀ
ってーかMeや98にも感染するの？

>>360
> 全サーバーWINで組むような駄目ネットワークは絶滅危惧種
だったら保護して増やさなきゃ。

>>440
否

>>441
隔離

NT = rootkit

>>441
TCP/IP禁止。全部NETBEUIに戻す。

>>439
そうだね。うちは FrontPage とか無いので検証できないので、
知ってる人いたら教えてください。

とりあえず、>>435 は Win2KPro でもタスクマネージャで
確認、としておいたほうが良い気がする。

>>445
NetBeuiごしに感染するワームなかったか？
東急CATVで流行ったやつ。

一寸の赤虫にも五分の魂。

>>430
あれをあそこにああいうふうにコピーして実験した結果は
ＯＫだったけどそんな簡単なもんじゃないんだっけ？

うちのネットワークNetBeui禁止だよ。
何考えてんだか。

>>447
あいたたたた

>>450
ただただIPつなぐなというたわごとでした。マジレスすまん。以上。

>>446
そうですね。次スレ(あるのか？)の>>1にまとめましょう

ことあるごとに「Dialｳﾌﾟだめ」「RASだめ」と、ささやかな
我々の要望をうち砕く本社／親会社の情報システム部。
まさかCodeRedごときにやられたりはしませんよねぇ（ｗ

さあ、CodeRedを見事に撃退した彼らの奮闘ぶりをたたえまくろう！

…ちゅう新ｽﾚをﾁｸﾘ板に上げたいと思うが、どうよ？

>>454
どこどこ？

>>449
うちのだとlocalhostあてのnet sendは届かない。
　マシン名を指定すると届くけど。

漏れはユーザだが、けなすことより動かすことを考えようという気になった。
今日は寝るざんす。

>>454
CodeRedがらみのちくりスレは一つはあってもいいとおもう

>>457
管理者さんはエラいということざんす（人によるが）。でわ。

ありゃ？
24.49.*.*
なんてとこから来たよ。
210ばっかりだったのに。

　これで日本は（韓国も同じだが）サイバーテロ仕掛け
れば一発で御陀仏、お役所もマスコミも無力だと証明で
きたね。「ならず者国家」もブッシュ大統領も大喜びさ

>>461
遊びに使ってるのが殆どだからそれほどこまりまセーン。

やべ、210.91.32.2 の X 型から連続攻撃食らってる。
３秒間で連続23回＋８秒後に最後の一回アクセスがあった。
こんなの初めて見るんだけど新種？

かなりアタックが来てますね・・・
うちはMacのWeb共有というへぼい自家鯖ですが。
ログを見てると数分に一回は来ます。
主に中国系のサーバを媒介としているようです。

TCP Port6345に沢山おいでになってますが、何のバックドアやら。
昨日の昼はUDPだった。知ってもどうにもならんが。

6346の間違い。

>>466
どこかで見たようなPort番号…
と思ったら、それgnutellaですよん。

某CATVユーザーなんですが、自分のプロバのサポートに、
警告対応メールよろしくと言っても返事ないです(T_T)
（zonealarm警告が多発しているのに）

hinet.net にはログを送った。

>>467
Thanks。
なんだ、たいしたモンじゃないな (藁
到って禁欲的にしか使用してないもんで・・・

http://210.219.128.95/scripts/root.exe?/c+dir+"f:\XXX"
えろいのばっかもってる

今なら、root.exeでWeb改竄して自己主張し放題なのだろうか。。。
宗政分離ﾏﾝｾｰ
KomeiRed

>>471
デリっておやり

うちの apache に攻撃にきてるワームの元 IP、jp domain だけ調べると
.ad.jp, .ne.jp, (常時接続ユーザっぽい)、
.co.jp ばかりで、
.gr.jp, ac.jp がほとんど無い。
貧乏人は今回はほとんど攻撃を受けなかったのだろう
大学はほとんど IIS 使ってないのかな。

>>471
入手したいが方法がわからん(藁

>>475
wwwrootにコピって
httpから落としたら？

>>471
D:\にも魅力的なファイル名がいっぱい

>>471
入手しようとしたがファイルでかすぎ。
というかアクセス集中してんのか (藁

>>474
東大のNTサーバはIISだよ。

旦那の知らないところで妻がもてあそばれているというヤツですな。

>>478
アクセスが集中してるっつーか、増殖に忙しいんでは？
っつーか、ﾔﾒﾄｹﾖｰ。

むかつくからフォーマットかけようか
ntldrを削除か迷いますなぁ

謝罪と賠償を要求されるぞ（ｗ

>>481 すまん、思わず手が出た (藁

>>478
得ろ画像サービスなんてそんなもんか・・・

>>483
つーか、CodeRedにやられる奴がそこまでするか？
しかもやられたのがエロ動画
泣き寝入りっしょ

何とか TERUMI 画像と置き換える方法を考え中...

Name: s210-219-128-95.thrunet.ne.kr
Address: 210.219.128.95

krだぞkr（ｗ

>>479
そうか、やっぱ金持ち大学は違うな（藁

こいつSM好き？
金沢文子まであるよ

>>488
じゃ犯っちゃってOK?

>>486
まぁ、個人ユーザならそうかもしれんが、企業だったり
なんらかの団体が管理しているマシンだと要求されても
おかしくないと思われ。

企業はﾀﾞﾒｰ、個人ならｵｹｰってことではないので、念のため。

在韓日本人か？
それとも日本かぶれのチョン

火事場泥棒はﾔﾒﾚ。ﾏｼﾞﾃﾞ。

http://61.18.152.229/scripts/root.exe?/c+dir+"c:\movie"

inetnum: 61.18.0.0 - 61.18.255.255
netname: HKCABLE-HK
descr: HK Cable TV Ltd
descr: Cable Multi-Media Services
country: HK
admin-c: AD23-AP
tech-c: AD23-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-HK-ICABLE
changed: [email protected] 20001213
source: APNIC

person: administrator dns
address: 12/F., Cable TV Tower,
address: 9 Hoi Shing Road,
address: Tsuen Wan,
address: N.T.,
address: HK
country: HK
phone: +852-2112-7516
fax-no: +852-2112-7977
e-mail: [email protected]
nic-hdl: AD23-AP
mnt-by: MAINT-HK-ICABLE
changed: [email protected] 20000811
source: APNIC

>>495
たいしたのがないんですが・・・

どう見ても個人鯖だな
例え企業でもエロ動画置いてある会社って・・・
ﾌﾟﾌﾟｯ

だからﾔﾒﾚってば。ﾎﾝﾄに。
感染を放置している側に責任がないとはいわんが、
バックドアを仕掛けられてしまうのはワームのせいで故意ではないだろ。
しかし、そのバックドアを利用して侵入するのは故意だろ。
その違いをよく認識ｽﾚ。

>>495
スキャンディスクによる修復フォルダの多いマシンやな（ｗ

前スレよりモラルを維持してきたが、ここに来てアレになったようだ。

IISでFTPサーバーだけ動かしてるんだけど、これでも感染のおそれがあるの？
なるべくSP2当てたくないんだけど…。

はなからFTPだけだったら、問題ない。

うちの大学も犯されたらしい。
「本学の複数のコンピュータが侵入され…」だって。

http://www.jpcert.or.jp/

>>501 皆、エロに反応した (藁

ホントだな。この板にはそんなに厨房がおおいんか？
自ら「僕チャンバックドアを利用して他人のマシンを
覗いてマース！」って公言しているようなもんだろ。
ｷｦﾂｹﾛﾖ。

>>428

c:\Program Files\Common Files\System\MSADC\root.exe
には、なんにもなかったのですが、
c:\inetpub\scripts\root.exe
には、root.exeが存在していました。
感染しているのでしょうか？
パッチは当てているのですが。。。
すみません、教えてください。

感染後にFTPだけにするのは、仕込まれ後なんでアウトだけどってことで。

>>507
あぼーん対象です
頑張ってください

>>507
合掌です。

>>507
感染してます。すみやかに処置しましょう。
お大事に・・・

うげ。馬路すか？
ちなみに、root.exeを削除するだけじゃ、駄目ですよね？
もしかして、インストールし直し？　ﾄﾞｷﾄﾞｷ

2ヶ月ぐらい前のsadmindに気が付いてなかったとかなら笑えるかも。

>>512
まず回線切って、IISを無効にして、再起動しましょう。
とりあえずこれで、今以上の増殖と侵入は防げると思われ。

その後にココでも読んで、しっかり処置しましょう。
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

>>512 とりあえす名前欄に fusianasan と入れてみ。

ゾーンアラームもいれたのに。。。時すでに遅し？

藁ってやってください。。。

>>513
あぁ、その可能性もあるねー。
>>507 は sadmind の可能性も考えたほうがいいと思われ。

全ネットワークが停止した会社か。
業界最大手の某社ですかね･･･

皆さんお待たせ〜
>>471と>>495のエロ鯖は次回リブート時に
system32以下ログもろとも吹っ飛びます。
思う存分お楽しみください。

ちなみに>>471のほうがレベル高いもの持ってるよ

実は、この一連の騒動で、
月曜日にOSインストールし直したばっかりなんです。
（コードレッドとは気が付かずに、別のトラブルかと思ったので）
ということは、sadmindの可能性は低いのでしょうか？
（sadmindについてはよく知らないので、今調べています。）
とりあえず、こちらから何かを送信している形跡はないのですが。。。
打つ足し脳

>>519
おお〜神様
なんていい人だ

>>519
ついでに使えるコマンド増やしてください
お願いします

>>519
ﾜﾗﾀ
知らせるにはちょうど良いな（藁

>>521 だまされるなっ! これは罠だ!!

>>520
きちんとフォーマットして再構築やり直したか？
上書きだと消えないだろうし、
復元だとバックアップ時点で感染してたら意味がない。

夏厨版になってしまった。

>>524
えっそうなの？

あー、今のうちにログを回収して >>519 のアドレスを確保しておこうかー。

>>525
CodeRedIIの仕様を知らないと思われ。

いつのまにか厨房のすくつになってしまったが
わらいがとまらん。。。。

>>529
いや、root.exe

もう一度いおう。
これからは、インターネットはこういうものになる。

>>531
はいはい

世界６大会計監査法人のひとつから
インバウンド食らってます（NISで遮断されてますが）

>>528
自分もログに残るよ(ｗ

>>525
すみません、つきあっていただいて。。。
フォーマットして再構築したのですが、
その後ネットに誤ってつながったときに
感染したのかもしれません。

回線切って逝ってきます。
ありがとうございました。。。

>>536
お大事に。

>>524
今ログ見てきたけど>>519まじでやってるよ

もう一度いおう。
これからは、インターネットはこういうものになっちゃった。

夏厨ちゃんのﾈﾀｳｻﾞｲ。

文子はモザイクあったよ
ｸﾛｳｼﾀﾉﾆ･･･

　　　　　　∧ ∧　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
〜′￣￣( ﾟДﾟ )　＜　今晩ワこれで終わり
　UU￣￣ U U　　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

wwwrootにあげたら
ファイル名きぼんぬ

独り占め禁止

自分たちが何をやってるか分かってるんだろうとは思うが。
バックドアからの侵入の話は他でやってくれないかな。

ダメです隊長ーーーーーー
みんなエロに目が眩んでますーーーーーーー (藁

死肉に群がるハイエナとハゲタカの群れを連想

http://pcweb.mycom.co.jp/news/2001/08/07/06.html
http://pcweb.mycom.co.jp/news/2001/08/07/17.html

Cドライブのプログラムファイルの中の
いくつかのアプリがいきなり消えてしまったんですが
関係あるのでしょうか？
どなたか教えてください。

default.idaをあひゃひゃにしといた

どーよ、誰かﾀﾞｳｿに成功したんか？

>>546 死肉というか、腐った鯖だがな (藁

ﾀﾞｳｿの話はﾀﾞｳｿ板に逝けよ

ログを入手したがリブートでファイルが消えるような細工が成功した
形跡は見られなかった。

>>549
自分で間違って消してしまった、ということは考えられないか？
IIS を動作させているのか？
OS は？

質問でしゅ。韓国・中国のネットワークは大丈夫なのでしょうか？
転送速度がちょと落ちるぐらいなのでしょうか？
それともネットが使い物にならない状態なのでしょうか？

感染してるやつのフォルダ消すにはどうしたらいいのかな？

おはよう、ドキュソくん減った？

>543

すんまそん　こぴーできませんが？

f:\XXX\Tokyo sluts2.mpg c:\Inetpub\wwwroot
The filename, directory name, or volume label syntax is incorrect.
0 file(s) copied.

っていわれます。

ﾄﾞｷｭｿは夜中だけにしてくれ・・・

HKにある機械の情報をJPから操作して取り出したらどの国のケーサツに
つかまるんだ？
いんたーぽーるかあ？

"GET /default.ida?XXXXXXX〜HTTP/1.0" 404
というのが今までのログだったが、GETもdefault.ida?も
なくて単純にXだけの羅列のログがいくつか残りだしている。
"XXXXXXXXXXX〜HTTP/1.0" 400
何だろう？

↑既出

>>561
日本から米国にアクセス（他人が仕掛けたﾄﾛｰｲ利用）して、
日本の警視庁に検挙された例ならあるよ。
ttp://www.npa.go.jp/hightech/arrest_repo/kenkyo_2000.htm

裁判はHKだろね、被害者HKなら、たぶん
刑務所もか（ﾜﾗ

って、お祭り気分で目の前のエロに目がくらんで
やっちゃったﾄﾞｷｭｿ君たちにはもう遅いか・・・
よいこのみんなは真似しちゃだめだよ（はぁと）

なんかスレ内容変わってるし・・・
夏だねぇ。

CodeRedに感染したエロサイトがあったよ
でも、運営している人がどんな人か恐くて手が出せないYO!

捕まるわけないじゃん

ホント夏だねぇ〜。
わらかしてはもらったけど。

>>568
サイト管理者にメールしてあげるか、もしくは放置がよいと思われ。

さてさて、出勤するか。

>>559
パラメーターはこうだろ
"f:\XXX\Tokyo sluts2.mpg"+"c:\Inetpub\wwwroot"

>>564
覗いて見るのもNGなの？

jpnicのwhois見て連絡とろうにも、メールアドレスすら記入のない
技術連絡担当者って何様のつもり・・・。

夜中は厨房スレ化してるな（ｗ
さて、テレホタイムに集めたログ、プロバイダに送るかな。

見るだけならOKと思って固定IPで串も刺さずにアクセスしちゃったよ(TT

>572
はいそれもやりました。
でもダメでした。

>>574
あーいるねぇ。

仕方ないから会社名や電話番号で検索かけてみてるけど、
なくなってるとことか社名変更してるとことか、確証がとれな
くて鬱。

今日の朝からポート.80だけじゃなく8080にも来るようになってるなぁ
これも Code Red？

ポート: 8080
モード: TCP
IP アドレス: 217.3.91.183
ホスト名: pd9035bb7.dip.t-dialin.net

>>579
アクセスログはどんな感じ？

Ｚ登場
Ｚが親でＡ，Ｃの子供を自己増殖
GET /default.ida?ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
GET /default.ida?AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
GET /default.ida?CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC

>>574
(1) ヤーさま。
(2) ただのおやじ。

>>581
GET /default.ida?萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え
GET /default.ida?鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱
(ただしUTF-8に変換)

>>580
こんな感じ
01.8.8 9:56:30 AM 拒否 Web 共有 kk-393.alphatec.or.jp
01.8.8 9:56:20 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:18 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:15 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:13 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:11 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:08 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:55:46 AM 拒否 Web 共有 210.107.98.33
01.8.8 9:55:45 AM 拒否 Web 共有 210.107.98.33
01.8.8 9:54:18 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:54:17 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:54:16 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:54:15 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:51:37 AM 拒否 Web 共有 210.109.54.5
01.8.8 9:51:37 AM 拒否 Web 共有 210.109.54.5
01.8.8 9:51:36 AM 拒否 Web 共有 210.109.54.5
01.8.8 9:50:25 AM 拒否 Web 共有 yokohamako2-158.ppp-1.dion.ne.jp
01.8.8 9:50:21 AM 拒否 Web 共有 yokohamako2-158.ppp-1.dion.ne.jp
01.8.8 9:50:18 AM 拒否 Web 共有 yokohamako2-158.ppp-1.dion.ne.jp
01.8.8 9:48:28 AM 拒否 Web 共有 210.73.76.5
01.8.8 9:48:27 AM 拒否 Web 共有 210.73.76.5
01.8.8 9:48:26 AM 拒否 Web 共有 210.73.76.5
01.8.8 9:42:09 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:08 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:07 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:06 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:05 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:04 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:41:51 AM 拒否 Web 共有 210.101.100.106
01.8.8 9:41:50 AM 拒否 Web 共有 210.101.100.106
01.8.8 9:41:49 AM 拒否 Web 共有 210.101.100.106
01.8.8 9:38:15 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:38:09 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:38:04 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:38:01 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:37:59 AM 拒否 不明 (8080) 211.95.67.243

アナログモデムにて接続中、やたらとモデムのアクセスランプが点滅する
↓
何で？と思ってモデムのプロパティを見ると、大量のパケットを送信中
↓
もしや？と思ってnetstatを見ると、いろんなサイトのport80に接続中
↓
そんなバカな、と思ってタスクマネージャを開くと、IIS動作中。
↓
ガ━━（ﾟДﾟ；)━━ン！

>>584
バックドアだのがあいてるところ、巡回中なんじゃないか？

ADSLで接続中、突然通信できなくなる
↓
プロバイダがCodeRedのパケットストームで落ちていると断定
↓
「ｺﾞﾙｧ! CodeRed喰らって落ちてるぞ。早く直せｵﾗ」と電話
↓
「お客様のマシンからCodeRedのパケット出ておりましたので切り離しました」
↓
ガ━━（ﾟДﾟ；)━━ン！

５　不正アクセス禁止法違反
（１）他人が仕掛けたトロイの木馬系ハッキングプログラムから取得したＩＤ、パスワードを使
用して、アメリカ合衆国に設置された有料ゲームサイトの認証サーバーに対して不正アクセスを
行い、ゲームを行った。（平成１２年２月検挙。警視庁）
（２）有料掲示板「２ショットチャット」の認証機能が甘いことに乗じ、自作ＣＧＩプログラム
を使用してセキュリティホールを突き、パスワードを入力することなく不正アクセスした。ま
た、不特定多数の者が当該掲示板にアクセスできるようなリンクを自分の管理するホームページ
上に作成した。（平成１２年６月検挙。北海道、富山）
（３）インターネット上の掲示板で知り合ったハッカーグループが、インターネットで不正に入
手した他人の識別符号を使用して、大学やプロバイダーに対して、その管理者等になりすまして
不正アクセスした。（平成１２年１１月検挙。愛知等）

ドキュソ八倉厨房が多いねえ（　´∀｀）

>>ガ━━（ﾟДﾟ；)━━ン！
これいいねぇ（ｗ

>>581
新しい亜種って事？

（３）専門学生（２０歳）は、ホームページの中の爆弾マークをクリックすると自動的に１１０
番につながる携帯電話（インターネット接続）のホームページを開設し、多数の事情を知らない
閲覧者に１１０番させ警察の通信指令業務を妨害した。（平成１２年８月検挙。偽計業務妨害。
警視庁・高知）

これいいねぇ
ブラクラも業務妨害罪？（ｗ

ポリが罠張っているのに気づいてない厨房も多いね、このスレ（ｗ

IIS鯖からのoutgoingのsynパケットを弾くように
パケットフィルタを設定してください

>>592
ﾜﾗﾀ
どんな罠だよ
ﾀﾞｳｿ板は行った方が大漁だぞ(w

8080は手動でしょうね。うちのルータの弾きログには１個もないよ
137と53舐めが3回ずつ、80は今日だけですでに一千行超えてる・・・
Apachは1行だけどルータは3行記録するからねぇ

先週RT50iが落ちまくったんで
ファームウェアをRev.3.05.38にしたけど、
3日目にしてまた落ちた。
なんか対応策無い？
お盆休めないな、このままじゃ。

>>595
BlackICEで見ると6カウントずつだけど。SYNのリトライは6発ずつ(攻撃側OSのデフォ?)で、
ルータが3行以上は記録抑制してるだけか。

対策方法が１つだけある！ログ取るな！

>>596
うちは http service off にして、念のため
httpd listen 8080
httpd host none
とかしているけど。今のところ大丈夫みたいだが。

8080はproxyを探しているに一票

>>599
http service offは無理です。
8080にポート変えたら少しは改善する？
（厨房でスマソ）

8080は手動？かなりの数が来てるんだけど？
ま、俺もログ取るの止めるかなぁ
そうそうＭａｃだから全然関係ないし.....逝ってきます

>>601
とりあえず、今出回ってるタイプの CodeRed 避けなら、
port 80 以外にするのも手かもしれない。
やってみたらレポよろしく。

こうしんされてた。
日本語翻訳機能つき(藁
http://www.security.nl/misc/codered-stats/

>>598
八倉夏厨は逝け

210.164.202.116
なんだ、、、、しっかりしろよ！Nifty！！

a. [IPネットワークアドレス] 210.164.202.112/28
b. [ネットワーク名] NIFTY-SERVE
f. [組織名] ニフティサーブネットワーク(ニ
フティ株式会社)
g. [Organization] Nifty serve network(Nifty Corp
oration)
m. [運用責任者] YN006JP
n. [技術連絡担当者] KM063JP
y. [通知アドレス]
[割当年月日] 1998/06/11
[返却年月日]
[最終更新] 1998/06/11 11:21:58 (JST)
[email protected]

>>606 何をいまさら（ｗ

つないできた相手がIISかどうかってのはどう判断すんの？
調べ方アップ期盆入

IPさえ判れば判定サイトで調べてもいいし、自分で裏口から入って…ｺﾞﾆｮｺﾞﾆｮ

IISにしか感染しないんだから，叩いてきた奴はIIS

大林組から来てる...
てか、ゼネコン大手の癖にOCNエコノミー使ってんじゃねーよ！

>>608

telnet <相手のアドレス> 80
リターンキー数回。

HTTPアクセスはエラーだが、サーバのバージョンが表示される。

>>610
バックドア起動班が居ることをお忘れなく。

omanko.htmlなどを叩いてIISのエラー画面がでればIIS
でも応答すらできないくらい猛烈にパケットを送出している
アホもいるみたいだよ（ｗ

企業には連絡取った方が良いかな。

罠張ってたらバックドアいじりに来た。
どうやって遊ぼうかな（ｗ

>>614
omanko画像が出たけどこれはIIS？

>>615
連絡が取れるなら...ね。
昨日企業名でアドレス取ってるとこにメール20通ほどうったら、
宛先不明で15通帰ってきたよ。


とりあえず今OCNにTELしといた。
担当の兄ちゃんよく解ってなかったぽい。

でもcode red v3以降亜種が出てきませんね
ﾊｶｰの皆さんは勝手口弄りに忙しいのかな

カンコックってわざと放置してない？

奴等の足りない頭ではF5アタック(藁)が限界だから、
攻撃としてそれより遥かに有効なCodeRedを放置して。。

>>618
うわっ、最低な担当
真面目にサーバ管理してるのが馬鹿らしくなってきたよ(T_T

>>620
そういえば最近は常連が多いな。＞姦国
自分達の首を絞めていることにも気づかないらしい。
ping１万発で鯖落とそうか。
それとも裏口晒してやろうか。

IT先進国と言いつつFTTHなどのｲﾝﾌﾗだけ一丁前で
使う側は所詮ﾁｮﾝということなんだな。始末が悪い。

>>618
OCNにメールしたらいかにもｺﾋﾟﾍﾟってな返事来たよ。
相当数の問い合わせ＆苦情は逝ってるみたいね。

＞CodeRed に感染したと思われる弊社ユーザには、弊社より
＞連絡し対応させて頂いております。
＞
＞また、下記の弊社ホームページに情報を公開し注意を呼び
＞かけております。
＞
＞ＯＣＮホームページ
＞http://www.ocn.ne.jp/announce/2001/0803.html
＞
＞今後とも、宜しくお願い申し上げます。

>>624
ちなみにどこにメールした？
whoisで出た運用責任者（５人もいやがる）の一番上に出したんだけど‥
まだ返事こないしー

うちはOCNからメールの返事無いんでｺﾞﾗｧ!電したんだけど...
全ユーザに一律でメールだしとけって言っといたけどまだこない。
てか、OCNの推奨環境ってNTだよ。
DNSもBIND For NT使えって書いてあるし。
うちはFreeBSD使ってるが。

>>625
OCNの故障担当にメールと電話。
この状況はどう考えても回線異常。

>>587
結局こんなやつばっかりだったんだろう。
だけどワラタ

ttp://bbs.tip.ne.jp/win_slink/101457_13.html
おもろいもんめっけ
このなかのレスつけたやつで感染してるの誰だ？
ププｐ

KRNIC
http://whois.nic.or.kr/english/

APNIC
http://www.apnic.net/

　　　　　　 冫─'　 ~　￣´^-、
　　　　　／　　　　　　　　　　丶
　　　　/　　　　　　　　　　　　　ﾉ、
　　　/　　／ヽ丿彡彡彡彡彡ヽヽ
　　　|　　丿　　　　　　　　　　　ミ
　　　|　彡　＿＿__　　＿＿__ 　ﾐ/
　　　ゝ_/／| =Θ= |⌒| =Θ= |ヽゞ
　　　|tゝ　　＼__／_　 ＼__／　| |
　　　ヽﾉ　　　　／＼_／＼　　 |ﾉ　 ＿＿＿＿＿＿＿＿＿＿
　　　　ゝ　　　/ヽ───‐ヽ　/　／
　　　　 /|ヽ　　　ヽ──'　　 /　＜ハーイ。ビル・ゲイシです。
　　　　/ | 　＼　　　￣　　／　　　＼
　 　／　ヽ　　 　‐-　　　　　　　　　　￣￣￣￣￣￣￣￣￣￣

ＯＳ板の既出ですまんが、いま読むとハラたつ。
http://www.microsoft.com/JAPAN/windows2000/news/dot-truth/default.asp

http://www.sun.co.jp/realitycheck/headsup000216.html

うー、 むかむかするぜ。＞ まいくろそふと

ビル・ゲイツはこんなことを言ったそうです。
「もしＧＭがコンピューター業界のような絶え間ない技術開発競争にさら
されていたら，私たちの車は１台２５ドルになっていて，燃費は１ガロン
１０００マイルになっていたでしょう。」

これに対し，ＧＭは次のようなコメントを出したと言われています。
「もし，ＧＭにマイクロソフトのような技術があれば，我が社の自動車の性能は
次のようになるだろう。」

1.特に理由がなくても，２日に１回はクラッシュする。
2.ユーザーは，道路のラインが新しく引き直されるたびに新しい車を買わなく
てはならない。
3.高速道路を走行中，ときどき動かなくなることもあるが，これは当然のこと
であり，淡々とこれをリスタート（再起動）し，運転を続けることになる。
4.何か運転操作（例えば左折）を行うと，これが原因でエンストし，
再スタートすらできなくなり，結果してエンジンを再インストールしな
ければならなくなることもある。
5.車に乗ることができるのは，Ｃａｒ９５とかＣａｒＮＴを買わない限り，
１台に１人だけである。ただその場合でも，座席は人数分だけ新たに買う
必要がある。
6.マッキントッシュがサンマイクロシステムズと提携すればもっと信頼性があ
って，５倍速くて，２倍運転しやすい自動車になるのだろうが，全道路の
たった５％しか走れないのが問題である。
7.オイル，水温，発電機などの警告灯は「一般保護違反」という警告灯一つだ
けになる。
8.座席は，体の大小，足の長短等によって調整できない。
9.エアバッグが動作するときは「本当に動作して良いですか？」という確認が
ある。
10.車から離れると，理由もなくキーロックされてしまい，車の外に閉め出さ
れることがある。ドアを開けるには，1ドアの取っ手を上にあげる，2キーを
ひねる，3ラジオアンテナをつかむ，という操作を同時に行う。

上手いこと言ってるね。
でも、最後の10はよくわからん。

>>637
ログインするにはCtrl+Alt+Deleteを押してください。

>>633
ﾜﾗﾀ

> ドットコム
> Sun は本当に「ドット イン.com」であるのといえるのか？
> いかなる観点からみても Windows は商用ネットの中心にいます。

商用サーバの多くは Sun や HP のハードウェアだと思うのだが。
俺が携わった仕事では、Windows は単なるクライアントマシン（ブラウザ
を使用するくらい）でしかないことがほとんど。
NT系Windowsをサーバにしたシステムもごく少数であるけど、セキュリティ
ホール対処、ServicePack を当てたことによるプログラムの改造に追われて
だーいぶ苦労されてます。

> 信頼性
> Sun のサーバーはもっと信頼できるのか？
> 多くのユーザーが、Microsoft Windows にその安定性を求めてきりかえています。

「安定性」→「脆弱性」の間違いでは・・・

> 拡張性
> Sun は Windows よりもさらにスケーラブルであるといえるのか？
> Windows 2000 は、その拡張性とパフォーマンスで世界記録を達成しつつあります。

リライト。
「Windows 2000 と IIS の組み合わせは、その脆弱性で世界記録を達成してます。」

> 無料ソフトウェア
> Sun は本当に Solaris をフリーで提供しているのか？
> Sun の提供するソリューションよってかかるコストについて見てみましょう。

商用システムの場合、フリーソフトはまず使わない。
サポートを受けられる有償ソフトを使います。

ナルホド。
ﾔﾙﾈGM!

>>637
パス付きのスクリーンセーバーのことでない？

Solarisの素晴らしさを教えてください
http://cocoa.2ch.net/test/read.cgi?bbs=unix&key=992926342

>>639
本当に被害総額で世界記録を達成するらしいYO
CodeRed で

ま、安全よりも機能、便利なものは何でもつけとけ、
というMSの体質が今回の騒動の一端なのは確かだな。

いろいろなサイト見てもなんか自分が求めてる情報がありません。

いったいどうやってパソコン内に入ってくるのですか？
ポートはどこを通ってくるのですか？
できるだけ詳しく教えてください。

>>645
>>1 と >>2 のリンク先を読め。

探すのだりぃ〜。

>>645
もうちょっと情報がないと…
とりあえずIPアドレスきぼんぬ。

エンジンを止める時は「スタート」ボタンを押す

てのがぬけてんじゃ

>>648
大学のLANなんでグローバルじゃないっす。

Windows VS Solarisかあ。
sadmindはもう記憶の彼方？

>>637
Ctrl+Alt+Del

メール転送機能で３段転送したらどうなるの
堂々巡り？

メールアドレスＡ←−−＋
↓　　　　　　　　　　｜
メールアドレスＢ　　　｜
↓　　　　　　　　　　｜
メールアドレスＣ　　　｜
↓　　　　　　　　　　｜
＋−−−−−−−−−−＋

>>653

やってみたら

>>654
無限にメールが増えてメールサーバハング？

話の内容がマイクロソフトになってる・・・

>>653
気になる気になる。いったいどうなるんだ？

>>656

そもそもMSが悪いからでしょ

┌─────┐
│ ｳｨｿNT 　│　　　　　　　ルーター
│　 IIS　┏┷┓　EtherNet　┏━┓Internet
│(´д｀)┃80┠──────┨80┠─────（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　┗┯┛　　　　　　┗━┛
│　 ISAPI　│
│　　↓　　│
│IndexServe│
└─────┘

┌─────┐
│ ｳｨｿNT 　│　　　　　　　ルーター
│　 IIS　┏┷┓　EtherNet　┏━┓Internet
│(´д｀)┃80┠（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　┗┯┛　　　　　　┗━┛
│　 ISAPI　│
│　　↓　　│
│IndexServe│
└─────┘

┌────────┐
│ ｳｨｿNT 　　　　│　　　　　　　ルーター
│　 IIS　　　　┏┷┓　EtherNet　┏━┓Internet
│（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　　　　┗┯┛　　　　　　┗━┛
│　 ISAPI　　　　│
│BufferOverFlow! │
│　　　　　　　　│
└────────┘

┌────────┐
│ ｳｨｿNT 　　　　│　　　　　　　ルーター
│　 IIS　　　　┏┷┓　EtherNet　┏━┓Internet
│（ﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ（CodeRedﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ（CodeRedﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ
│　　↓　　　　┗┯┛　　　　　　┗━┛
│　 ISAPI　　　　│
│BufferOverFlow! │
│　　　　　　　　│
└────────┘

>>657

実験してみろ！

>>659 ﾜﾗﾀ

なんとなくわかった。

>>659
傑作(w

>>659
ﾜﾗﾀｯ、ずれてなきゃ完璧だったのに。

II のほう (XXXX ね) だと思うんだけど、53 時間くらいリクエストを送って
くるホストがあるんだけど、これって何？ページ開いてみたら日本語だから、
24 時間で再起動しちゃうんじゃないの？

もしかしてダイアルアップ？

┌─────┐
│ ｳｨｿNT　　　│　　　　　　　　　　ルーター
│　 IIS　　　┏┷┓　　EtherNet　┏━┓Internet
│(´д｀)　　┃80┠──────┨80┠─────（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　　 ┗┯┛　　　　　　　 　 ┗━┛
│　 ISAPI　　 │
│　　↓　　　　│
│IndexServe │
└─────┘

┌─────┐
│ ｳｨｿNT 　　│　　　　　　　　ルーター
│　 IIS　　 ┏┷┓　EtherNet　┏━┓Internet
│(´д｀)　　┃80┠（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　　┗┯┛　　　　　　　　┗━┛
│　 ISAPI　　│
│　　↓　　　 │
│IndexServe │
└─────┘

┌────────┐
│ ｳｨｿNT 　　　　　　　│　　　　　　　　ルーター
│　 IIS　　　　　　　 ┏┷┓　EtherNet　 ┏━┓Internet
│（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜───┨80┠─────
│　　↓　　　　　　　┗┯┛　　　　　　　　┗━┛
│　 ISAPI　　　　　　　│
│BufferOverFlow! 　 │
│　　　　　　　　　　　　│
└────────┘

┌────────┐
│ ｳｨｿNT 　　　　　　　│　　　　　　　　ルーター
│　 IIS　　　　　　　┏┷┓　EtherNet　┏━┓Internet
│（ﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ（CodeRedﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ（CodeRedﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ（CodeRedﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ
│　　↓　　　　　　　┗┯┛　　　　　　　┗━┛
│　 ISAPI　　　　　　　│
│BufferOverFlow! 　 │
│　　　　　　　　　　　　│
└────────┘

再起動したとたんまた感染

まだちょっとずれてるなぁ。

このネタも結構続くなあ、既に６００越しているんですか、、
まるで、CodeRed の LOG みたいだ、、

/default.ida?XX.......

自分は感染しないから面白くない。

┌─────┐
│ ｳｨｿNT 　│　　　　　　　ルーター
│　 IIS　┏┷┓　EtherNet　┏━┓Internet
│(´д｀)┃80┠──────┨80┠─────（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　┗┯┛　　　　　　┗━┛
│　 ISAPI　│
│　　↓　　│
│IndexServe│
└─────┘

┌─────┐
│ ｳｨｿNT 　│　　　　　　　ルーター
│　 IIS　┏┷┓　EtherNet　┏━┓Internet
│(´д｀)┃80┠（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　┗┯┛　　　　　　┗━┛
│　 ISAPI　│
│　　↓　　│
│IndexServe│
└─────┘

┌────────┐
│ ｳｨｿNT　　　　　　　│　　　　　　　ルーター
│　 IIS　　　　┏┷┓　EtherNet　┏━┓Internet
│（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　　　　┗┯┛　　　　　　┗━┛
│　 ISAPI　　　　│
│BufferOverFlow! │
│　　　　　　　　│
└────────┘

┌────────┐
│ ｳｨｿNT 　　　　│　　　　　　　ルーター
│　 IIS　　　　┏┷┓　EtherNet　┏━┓Internet
│（ﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ（CodeRedﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ（CodeRedﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ
│　　↓　　　　┗┯┛　　　　　　┗━┛
│　 ISAPI　　　　│
│BufferOverFlow! │
│　　　　　　　　│
└────────┘

図見た限りじゃ、ルーターは無意味ですか？

AsciiArtEditorでは大丈夫なのに・・・

　

┌─────┐
│ ｳｨｿNT ..　 .│　　　　　　　ルーター
│　 IIS　　 .┏┷┓EtherNet.┏━┓Internet
│(´д｀)　　┃80┠────┨80┠─────（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓ . . ..┗┯┛　　　　　. ┗━┛
│　 ISAPI　 . .│
│　　↓　 .　 . │
│IndexServer│
└─────┘

┌─────┐
│ ｳｨｿNT　　 .│　　　　　　　ルーター
│　 IIS　.　 ┏┷┓　EtherNet　┏━┓Internet
│(´д｀)　　┃80┠（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　　 ┗┯┛　　　　　　..　┗━┛
│　 ISAPI 　. .│
│　　↓ 　 　 ..│
│IndexServer│
└─────┘

┌────────┐
│ ｳｨｿNT　　　　　　　│　　　　　　　ルーター
│　 IIS　　　　　　　┏┷┓　EtherNet　┏━┓Internet
│（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　　　　　　...┗┯┛　　　..　　　　┗━┛
│　 ISAPI　　　　　 .　│
│BufferOverFlow! 　.│
│ 　 　　　 　　 　 　 　│
└────────┘

┌────────┐
│ ｳｨｿNT 　　　　 .　　│　　　　　　　ルーター
│　 IIS　　　　　　　┏┷┓　EtherNet　┏━┓Internet
│（ﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ（CodeRedﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ（CodeRedﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ
│　　↓　　　　.　　 ┗┯┛　　　..　　　　┗━┛
│ 　 ISAPI.　 .　 　 　 │
│BufferOverFlow!. 　│
│　　 .　　　　　　 　 　│
└────────┘

お、完璧。
ルーターはこの場合、ポート80をサーバーに転送していると
言う事で。

内容の前にずれてるんですが。

>>673
ポート80に入ってくるのを止めれば、対策になる。
個人鯖を開いてなきゃ、止めてもかまわないでしょ？

>>673
Lanの構成とルータの設定による。
うちのW2Kはクライアントとして使ってるけど
ポート80をインターネット側からは閉めてるので一度も
ぞぬの警告が来ませんが、Linux+apacheサーバーには
びしばし、アタックが来ています。

すまぬ。
Webサーバーのみポート80は開けています。

80と8080ってどう違う？

80はWeb用8080はproxy

変種ワーム「コードレッド2」が活発化、ハッカーの侵入口開放
http://news.yahoo.co.jp/headlines/bcn/010808/cpt/14300000_bcncpt010.html

遅っ

>>683
thanx

>>682
101倍違う

>>686
遅レスの割につまらないね。

>>686
確かに・・・ププｐ

http://210.64.51.186

なぜにＮＴ？
おまえらコバルト売る気ないんか？

同じところからは２４時間or４８時間以上離れてアタックにこないと
思ってんだけど、そうでもないのはなぜに？
FWの内側で増殖していて、こちらで見えるのは一緒ってだけ？

　　 　,-‐――､　ｺｰﾄﾞﾚｯﾄﾞﾃﾞｰｽ♪
　　 /　　┃┃ ヽ-､
　　 し 　'' ∇ ''　|‐'
　　 ヽ___ 　 ＿ノ、
　 　 'ｰ-'￣ `ｰ-'

c36.h061013015.is.net.tw - - [08/Aug/2001:16:11:30 +0900] "GET /default.ida?
c36.h061013015.is.net.tw - - [08/Aug/2001:16:11:35 +0900] "GET /default.ida?

665 です

>>690

そうゆことだったのか。気づかなかったよ。そこの LAN すごい
ことになってるんだろうね。

>>689
たしかに笑える。
っていうか、ドメイン無いヤンここ。

>>693

がい出だったのねスマソ

━━━━━CodeRedIIは笑えた！
default.ida１０００アクセスごとにカウントしてたのってオレだけ？
（よっしゃー２０００アクセス突破！よーし次は３０００アクセス突破しろーって）
でも結局は６０００アクセスしかきてねえんだよね。全然、騒ぐほどじゃないし。
CodeRedIIは笑えた。まじで
SlashdotJapanで知って、手を叩いてわらったなぁ。
おまえらがCodeRedIIにあってる間、2chでIP晒し上げてた
アホだなーこいつらって思いながら
わざわざnet sendで警告送ろうかと思ったよ。
でもCodeRedIIのおかげで何かしらの利益を得た人だっている訳だし
結果的には良かったんじゃないかな。
たしかJPCertやIPAがユーザーへのAdvisoryを渋っていたけどさ、
あそこらへんってADSL厨が多いからそのまま全滅させたかったんだよね。
今でもブロードバンドで繋いでるやつがいるらしいけど、
せこいんだよ！俺らの帯域なんだよね。むかつく。
ところでCodeRedII感染後はあいつらってインターネットどうしてたの？
もしかして気づかずに露画像ダウソ？厨房だなぁー。
どちらにしろSECURITY.NLのRed Code worm statsはまさに
原子爆弾のようで壮観だった！
気持ちの良い夕刻でした

>>696
どっかで見た文面だな。>>233

メールで感染を指摘したある会社の管理者の返事。

「ご指摘ありがとうございます。
　担当者に連絡しフォーマット後、再インストールしました。
　これで大丈夫だと思います」

をい。パッチは当ててないのか？？？
きっとこの返事を書いている間に再感染してるぞ・・・。

>>698
晒せ！晒せ！晒せ！

>>698
「ご指摘ありがとうございます。
　担当者に連絡しフォーマット後、再インストールしました。
　これで大丈夫だと思います」
　　　　　　　　　　　　~~~~~~~~~
アウト。

>>698
絶対パッチなんて当ててないよ、それ。
今ごろもう一回感染してるんで、バックドア開けてみ。

http://www.nifty.com/support/information/virus_text.htm
ニフティもやっと告知始めたけどこんな奥まったとこだけかい！

　　　　　 ・ ．
　　　　　● ・　ぺた。

>>702
更新日時見たら8/8 11:24になってるね。
昨日大量に@niftyにログ送った甲斐があった（ﾁｮﾄﾀﾞｹ）

ちなみにOCNでは、CodeRedに気づいたのは今週に入ってからだといってた。

・ ．
● ・　ぺた。

Code Redに感染しないパッチのあるサイトを教えてください。

♥

一番古いのはこれだな
titan.ttlc.net - - [19/Jul/2001:23:35:12 +0900]

この時期対応パッチでてたっけ？

　　　　　　　　　　　　　　　・ ．
　　　　　　　　　　　　　　　● ・　ぺた。

　　　　　　　　　. ┏━━━━━━━━━━━━━━━━━━┓
　┏━━━━━┫　　　　　　　　　　　　☆　　　　　　　　　　　　 .┃
　┃　　　　　　　,┗┳━━┳━━━━━━━━━━┳━━┳┛
　┃ .＿＿＿＿＿ ,┃||●||┃┌────┬───┐┃ 　　 ┃
　┃｜┃┃┃┃｜┃||新||┃│　　　　　...│　 　 　 │┃. ■, ┃
　┃｜┃┃┃┃│┃||宿||┃└────┴───┘┃. □, ┃
　┃ .￣￣￣￣￣ ,┃||署||┣━━━━━━━━━━┫ 　 　┃
　┃　　　　　　　　 ,┃ 　 　┃　　　　　　　　　　　　　　..┃ 　 　┃
　┃　　　　　　　　 ,┃ 　 　┃　　　　　　　　　　　　　　..┃ 　 　┃
　┃　　　　　　　　 ,┃ 　 　┃　　　　　　　　　　　　　　..┃┏━┻━━━┓
　┃　　　　　　　　 ,┃　　　<,＝＠=.ﾌ　 　　　　.　 　　　┃┃本日の… . .┃
　┃　　　　　　　　 ,┃　　　（　・∀・） 　.　 　　　 　∬　 ┃┃ 犯罪者 　３┃
　┃　　　　　　　　 ,┃　　　（,, ーＹ‐）　　　,　　　　,旦＿┃┃ 感染者　 ９┃
　┃　　　　　　　　 ,┃　　 　|.＝◎=|.　　　||＿　└┬─┨┃ 夏厨　　20 ┃
　┃　　　　　　　　 ,┃　　　（_＿）＿）　 　　�]　　..│　 ┃┗┳┳━━┳┛

1分間に20回も同じ所から来るのは普通？

>>709
パッチは6月に出てるし、ニュースサイトでも比較的大きくとりあげられている。
つまり、まともな管理者ならば CodeRed 出現の1ヶ月前にすでに対策は完了していたはず。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
http://www.zdnet.co.jp/news/0106/19/e_iisflaw.html
http://www.zdnet.co.jp/news/0106/25/e_iis.html

>>713

NTの世界のことは良く知らないんだ。情報Thx｡

ちなみにV2は8/4からだね。

>>705
Webサーバ運用してれば、アルバイトでも気づくだろーに。ふぅぅぅですね。

>>712
ウチは14秒の間に15回きたよ。

>>712
(1) proxy経由でしょう。
(2) nat経由でしょう。
(3) わざとでしょう。

>>715
ログなんて見てないんでしょう。きっと...

しかし、ＭＳのダウンロードのページは、英語
これで勝手にダウンロードしろとは、ちょっと素人さん相手にひどいんじゃないかな。＞ＭＳ
大体パッチをダウンロードできても、IIS の止め方も知らないんじゃないかな。
Windows の息の根の止め方から懇切丁寧に説明してあげてね。＞ＭＳ

各プロバイダも、少し配慮が足りない気がする。　今は、犯人を遮断しているかもしれないけど、
どうやって、パッチを当てさせようとするんだろう。

昨日の２１時から　６３４匹　Nが１匹のみ　後は全部X
８割が　KRから

海底ケーブル切断　AA　きぼんぬ

>>719
彼らの言い分は、「家庭用PCは関係ない」んだそうですんで（藁

>>720
昨日からDNS引ける奴とか、国内のやつはうんと減ったようだよね。
おなじくAAきぼんぬ

>>719
ﾎﾝﾄ ｿｳﾀﾞﾈ･･･
とっとと日本語ﾍﾟｰｼﾞにしろやｺﾞﾙｧ・・・です。
ついでに浣酷語と厨獄語もね（藁

井ってよし
ttp://www.nefty.net/desktop/haritsuke/img-box/img20010808002632.gif

確かにjpドメイン減ってきた。
ドメイン不明な奴はほとんどｶﾝｺｯｸ・台湾なんだろうな・・。なんとかしろｺﾙｧ(´д`)

浣酷ｺﾘｬｰ!!
いいかげんに気付けよな

どなたか「コードレッド逝ってヨシ」リング作りませんか？

ＭＳＫＫが無料問合せ窓口開設
ttp://www.zdnet.co.jp/news/bursts/0108/08/ms.html

>>721
窓2kを売り出した頃は、
コンシューマにも売り込みたがっていたような記憶があるけれど、
気のせい？

イベントビューアでシステムログ見るとIIS Admin Serviceとかが不正終了してるんだけど
これって未だに感染してるって事でしょうか？パッチと駆除プログラムで対応したつもりなのに・・・

今は↑の方にあった対策法のページを再確認して手順通りやったけど、また再感染するのでは
と不安でしかたありません・・・ふぅ、ひよこ管理者には辛いッす

>>729
気のせいです（藁

中国からはCHINANET
韓国からはDACOM BORANETとKOREA TELECOM
台湾からはHINET
が多い。今日になって一回ロシアからNが来た。

>>730
もうこのさい、WinでもApacheに変えたほうがあとあと楽では？
＃コンテンツが多くてそうもいかないとか・・・

ううっ、ColdFusion使ってるんで現状NT+IISの組み合わせから脱却できないす
ああっColdFusionも逝って良しなんて言わないで下さいね(涙

ASPをPHPに書き換える仕事が儲かりますか？（藁

>>733
「動作保障のないものなんか駄目！」とか、オエラ方が言い出すに１票。

>>733
AN HTTPDでｺﾞﾒｿ

>>734
お仕事お疲れさんです。
.idaなど、ColdFusionの使わない、いらんMS独自機能を切るくらいしかなさそうですね。
でわでわ

>>736
大手でもSolarisなんかはApache多いよ？

IBMとかも、適当に拡張して自分とこの製品にして売ってたような。

>> 733

IBM に保証してもらおう。お金をつんで。

>>736
どっちみち責任とってくれるのは誰かいな〜という会社の仕組みシリーズですね。

レスどうもです>>738
.idaとやらは手順に従い削除しました、今のところは不正終了は起こっていないようですが
もうすぐ退社時間なので明日の朝どうなってるかがドキドキす

＃こんなの幾つもくぐってにわとり管理者位になって行くのでしょうか？道は険しい

>>741
疲れるハナシです。
せっかく会社の為にヨカレと思ってハナシしてるのにね〜。

まして、ウチの会社はシステム屋ですぜ。（泣

>>742
お仕事ご苦労さん。
ＩＩＳと付き合う限り、山あり谷ありでしょうね。
谷ばっかりになったりして・・

ns.microsopt.com - - [08/Aug/2001:03:45:44 +0900] "GET /default.ida?XXXXXXX

>>742
失礼、.idaを消しても、.idaに関連付けられたDLLを起動しちまうとまずいので、
拡張子とDLLのマッピング定義を削除する必要があるのでした。

mailserver.nyaes.go.kr

（ぷ

>>743
そうでなくても、技術用語がわからない上司の上司への説明文を書かされる。
・・・え〜っと、なんだかCodeRedと関係のない方向へ (藁

http://cj3154674-a.yahat1.ky.home.ne.jp/
見たいよぉ。

拡張子とDLLのマッピング・・・ﾒﾓﾒﾓ
おっしゃる意味は解るんですがどこをどうすればいいか皆目見当もつかんので
調べに逝ってｷﾏｽ。その間にうちのヘボ鯖が噛みついてもおこらんでください（汗

あと10分で業務終了だ！？間に合うのかな？こういう時”残業禁止”が恨めしいです、ﾊｲ

>>748
いやいや、世のサーバー管理者が愚痴モードに入ってるのはCodeRedのせ
いなんだから無関係とは言えないですよ（藁

>>750
用語はテキトーなので、用語まちがってたら文意を汲んでくれい。

ほんっと〜〜〜〜っに韓国（筆頭客人）を切り離してほしくなってきたぞぅｺﾞﾙｧ
生IPばっかでうざすぎる

よそでやってくれや

>>752
スマソ。追加情報。
プロパティ−仮想ディレクトリ(タブ)−アプリケーションの設定(フレーム)
−構成ボタン(ボタン)−アプリケーションのマッピング
ホームディレクトリと、それぞれの仮想ディレクトリごと。

地図は更新されてないけど、グラフは日曜の量を超えましたね。
定常状態になってしまったかも・・・
http://www.security.nl/misc/codered-stats/

なんだこれ？　GET /default.ida? がない

61-218-137-90.hinet-ip.hinet.net - - [08/Aug/2001:18:28:45 +0900] "XX (略) XX%u9090%u6858 (略) %u0078%u0000%u00=a HTTP/1.0" 400 -

>>757
既出のよ〜です。種無しバージョンと勝手に命名。

隊長！
Code Red を臆面も無く商業的に利用するHPをﾊｯｹｿしました！

http://member.nifty.ne.jp/i-tech/codered/menu.htm
http://www2.to/codered/

>>759
ほかにもミュージシャンのサイトがあったぞ。忘れたけど。

>>760
http://www3.airnet.ne.jp/codered/

>>760
http://www3.airnet.ne.jp/codered/

>>758
どうもです。

おまえら三流プログラマーに何が出来るんじゃ！！

ウィルス＆メルボム上等！

来週ＰＣ買い換えるから折れを潰してみろよ！

どうせおまえらなんか何も出来ないと思うけど。

折れにはノートン君がついてるからまず無理だよね。

　　　　　　　[email protected]

>>764
実は憎い相手のメアドだったという話

「株式会社いわもと」とかいうたけのこ会社からアタックが来た。

>>758

「種無し」だから子はできないのかな？

暇つぶしに感染してますねってディレクトリ勝手に作ってみた。はは（藁
winnt 削除するよりはいい人だろ？

http://www.dogonvillage.com/codered/
http://www.codered.org/
http://www.code-red.co.uk/

18:24 全国２百カ所で感染。新種のコンピューターウイルス
「コードレッド２」。警察庁が全国の警察に被害防止対策を指示。

>>770
200どころじゃないだろう（藁

>>770
具体的に何できるのK察庁？

警察の管轄なのか...

警察官が来て立ち会いの元でWinの再インストールを...

>>774
で、パッチをあてそこなって元の木阿弥。
チャンチャン♪

>>774
令状とか持ってくるとしたらcode redにやられてみたいかも(w

777かな？

昨日今日と同じプロバイダーの別IPアドレスから
"GET /default.idaがあったんでそれぞれ通告し、
昨日は「対応しました」と返事があったんだけど、
今度はそのプロバイダー自身のサーバーから"GET /default.ida来たよ（鬱

警察官が来て立ち会いのもとでバックドアから（自粛

>>764
お〜いこの人の母は？父は？妹は？弟もいるのか？

>>767
そう。＃すまん。飯召し上がっててレス遅れた。

だんだんマターリスレになってきましたね。
今夜もダイアルアップ厨の赤虫ヲチすること決定か（ｗ

>>780
>>764へのファンレターは
　http://ton.2ch.net/test/read.cgi?bbs=sec&key=996326020&ls=50
　でsageでやってね。まあ、可哀相な子なんだからあんまりイヂメないように。

>>724
けっこういいかも。
萌えというほどではないが。

>>783
上げて鷹、スマソ

>>781
ありがと

>>782
今晩は、実況中継はやだな。止めたのに・・・

DoS攻撃間違い無し(藁
http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/msn/137249

http://www.nava21.co.jp/
名張二十一世紀ケーブルテレビジョン株式会社

この会社、サイト内で当社の鯖は感染してませんとか言っといて
俺のところにちゃんとアタックログのこってるっちゅうねん。

日付: 2001/08/08 時刻: 19:18:16
未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 61.121.231.14,http

MSによる苦情^H^H駆除ガイド情報

http://www.microsoft.com/japan/technet/security/codeptch.asp

mesh.ad.jpってbiglobeで合ってるよね？
ここから爆撃が止まない

今朝方、他人のおいたバックドアから侵入してた人たちいるみたいだけど、犯罪だよ。
こんなとこで公言してると近いうちに御用だよ。ちょっと調子に乗りすぎちゃったね。

>>790
改行しろｺﾞﾙｧ＞MS

>>792
うむ。深夜とそれ以外でガラっと雰囲気変わるもんな。このスレ（ｗ

dionにおたくのユーザーが感染してますよって教えてあげたらCodeRedって何？って聞かれた（ｗ

>>793
バッファーあふれを狙ったと思われ(藁

管理者とプロバイダにメール & 電話かけまくり作戦活動中の 1 です。
戦況は思わしくないです。
昨日、対策の約束をしたサイト、まだ放置プレイされたままの所多数。
鬱だ。どうしてくれよう。

>>795
いいなー、楽そうな会社だ。

>>797
電話掛けるのばからしいんだけど、
メールだけじゃダメ？

>>795
うちのかーちゃんでも、知っているのに。
新聞の1面に載ったから。

うちのマシンにもバンバン来るよ、って言ったら
来るとこ見たいって。（藁

>>799
エラーメールになったりする所は電話かけてます。
電話代ﾓｯﾀｲﾅｲ...

>>801

キミの努力がInternetを支えてるんだ。ガンバレ(><)

ｵﾚﾓﾒｰﾙｵｸﾘﾏｸﾘﾀﾞﾖ(ﾟдﾟ)

>>792
>こんなとこで公言してると近いうちに御用だよ。

ばーか！！

うわぁ、厨房くせえ、ホンモノだね>>803

朝までには900いきそうだね。

>>803
夏ですね・・・

　／￣￣￣￣￣￣￣
　|　今日も割れ物探しニダ〜〜♪
　＼＿＿　＿＿＿＿
　　　　∨　　　　＿＿＿ 　　　ｶﾀｶﾀﾆﾀﾞ〜
　　　∧＿∧　　|｜＼　L G＼￣| ￣｜
　　 <丶｀∀´>　|｜　｜￣￣｜｜：｜ 　
　┌（　　つ／￣|｜／　￣￣/ ｜＝｜
　｜　ヽ　|二二二」二二二二二二二二」
　　￣］|_＿７|　|　　　　　　　|　|
　　／￣＼　／　 |　　　　　　／　.|
　 ◎　　◎［＿＿」　　　　 ［＿＿」

　 　　　　　　　 　　　　 　　　／）
　　　 　　　　　　　　　､2)Y⌒ 　⌒フ　　　＋
　　　　　　　　　　　ｯ-i'´ 　　 　 　⌒フ
　　　　　　 　　　 (´ ,.-ﾞー-、 　　　 ろ、
　　　　　　 　＊　シ彡ノ"ﾐVv　　　　）
　　　　 　* 　　　ﾉﾉﾉﾉ"ヽヽヽミ 　　シ　 ／￣￣￣￣￣
. 　 　　　　　　　,l'）∩　 ∩ |)|ヾ　ミ　　＜　コードレッド ってす・て・き！
　 　 　 　 　 　,○）、 ▽　 ﾉjl| YYﾞ　　 　＼＿＿＿＿＿
　 　 　 　 　　 {_∃ ｀l____/⌒'i|
　 　 　 　 　　　￣ Yl"ﾞ⌒lY　|　　＋
　 　 　 　 　 　 　　,ﾄ|＿_/ﾊ　i、
　　　　　　 　　　　,iﾆiﾆiﾆﾕ ﾞh,,）
　　　 　　　　　　 ﾉtYTYヾ＼
　　　 　　　　　　/''フ''''ー<"ヽ、
　 　 　 　 　　　/__ﾉ 　 　　＼ノヽ、
　 　 　 　　　 （＿_）　　　　　ゞ＿_）

　　　＼从/ 　　　　＿＿＿ 　　　
　　　∧＿∧　　|｜＼　L G＼￣| ￣｜
　Σ <；｀Д´>　|｜　｜￣￣｜｜：｜ 　
　┌（　　つ／￣|｜／　￣￣/ ｜＝｜
　｜　ヽ　|二二二」二二二二二二二二」
　　￣］|_＿７|　|　　　　　　　|　|
　　／￣＼　／　 |　　　　　　／　.|
　 ◎　　◎［＿＿」　　　　 ［＿＿」

　　　..’　’∧＿∧　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　，；;::　<；｀Д.⊂ヽ＜　アイゴー一体どうなってるニダ〜〜〜 ！！！！！！
　　　，;::⊂　　　 　ノ　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　　　　 人　 Ｙ
　　　　　　レ （＿フ

どうやら、ここ感染してます。

　 ∧∧∧∧∧∧∧∧∧∧∧∧∧∧∧
＜　とりあえず脊髄反射で
＜　ﾁｮﾊﾟｰﾘに謝罪と補償を恫喝するニダ！！！
　 ∨∨| ./∨∨∨∨∨∨∨| ./∨∨∨
　　　　 |/ 　　　　　　　　　　 |/
　　　888888　　　　　　 　Λ＿Λ
　　<丶｀∀´>　　　　　　<丶 ｀∀´> 　ﾌｧｲﾃｨﾝ!!!!!!!!
　　（┌斤Y斤⊃　　　　 （　　y 　）
　　／ / .|　| ヽ　　　　　 ./　/　/..
.　└-レ─レ─ゝ　　　〈＿フ__フ 　

／￣￣￣￣￣￣￣￣￣￣￣￣￣￣
| 反応速度が「電子レベルか？」ってやつ結構いますよね
＼＿＿ 　　＿＿＿＿＿＿＿＿＿＿
　　　　　∨
　　　 ∧＿∧　　　　　　　　 　　∧＿∧　　　 ／￣￣￣￣￣￣￣￣￣￣
　　　（　・∀・）　　　　　　 　　　（´∀｀　）　＜　そのわりに無駄な処理かましてるけどな。
　　　（　つ　　）つ□　　　□ ⊂（　　　　）　　|
　　┃ﾚ ＿＿ 　 |￣￣￣￣ |　 ._＿＿ノ┃ 　＼＿＿＿＿＿＿＿＿＿＿
　　┗━┳┳＼ |￣￣￣￣|　./━┳┳┛
　　　　　┃┃　　|＿_＿_＿|　 　　.┃┃ 　

>>813
ｵﾒｰがﾑﾀﾞﾀﾞ

　 Λ＿Λ　　　／￣￣￣￣￣
　（　´∀｀）　＜　　オマエモナー
　（　　　　）　　 ＼＿＿＿＿＿
　｜ ｜　|
　（_＿）＿）

　彡ミ　 |　|　 ∧＿∧|＿＿
　　|ヽ　 |　|　（　´ー｀/　　/ まったく、厨房には困ったものだな。
　　|ヽ 　|　|　（　　　,/＿〇
　 ⊥　　|　￣|￣||￣￣￣￣￣|
　 |__| 　 ◎￣|￣|￣￣￣￣￣|

　彡ミ　 |　|　 ∧＿∧|＿＿
　　|ヽ　 |　|　（ ´ー｀ /　　/ そう思わんか？
　　|ヽ 　|　|　（　　　,/＿〇
　 ⊥　　|　￣|￣||￣￣￣￣￣|
　 |__| 　 ◎￣|￣|￣￣￣￣￣|

アンケートに答えて「素敵なマイクロソフトオリジナルグッズ」をもらおう！
http://smb.microsoft.co.jp/technet/feedback/form.asp

そろそろ次のスレタイトルでも考えようか。
「コードレッド (Code Red) 赤丸が世界を覆う」
なんてどう？
赤虫もタイトルに入れたいところだけど。

>>818
赤虫→赤厨　ってのどう？

>>818 >>819
漏れ的には爆心地イメージがあるんで818がいいっす。

イントラのPCが感染しまくりで大騒ぎ。
firewallは立てているのに。
どーやって入り込んだのかなぁ。。。

>>821
(1) 勝手なダイアルアップサーバが立っていた (怒
(2) DMZがDMZになってなかった(藁

>>818-820
1 に書く文面とリンク先も考えよう

新スレ立てる方へ

Win2kProってデフォルトじゃIISはインストールされないでしょ？ 素人はサービス追加したり弄ったりしないだろうからまず大丈夫。
コンピュータの管理＞サービスとアプリケーション＞サービス＞インデックスサービスが停止してれば問題なし。
これは間違い。インデックスサービスを潔く削除

この文入れてください。

インデックスサービスの削除じゃなくて.idq .ida
のスクリプトマッピングの解除じゃかったっけ？

>>824
それは書かないほうがいい事だと思う。

>>823
これ入れない？
>>691

ニフティーはユーザー多いだけあって
アタックログも多い。

会員に注意喚起するメールを送るべき
だと思うんだけどみんなはどう思う？

>>824
Windows 2000 Professionalユーザが認識すべきこと

>Win2kProってデフォルトじゃIISはインストールされないでしょ？
>素人はサービス追加したり弄ったりしないだろうからまず大丈夫。
>コンピュータの管理＞サービスとアプリケーション＞サービス＞インデックスサービスが停止してれば問題なし。

これは間違い。"インデックスサービスを潔く削除"すること。
(ここに削除の方法)

---
こんなのはどうでしょうか。

>>828
　ニフティって広告メールは沢山寄越すくせに
　そういうメールは寄越さないんだよね〜

>>428　も入れておきたいところだね。

>>823

ひとまずえいやーで国内サイトの更新。

マイクロソフト、Code Red対策で24時間電話問い合わせ窓口
http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/msn/137249
MSによる防護策・駆除方法の説明
http://www.microsoft.com/japan/technet/security/codeptch.asp
逝っちゃってるプロバイダ情報
http://watch.impress.co.jp/broadband/news/2001/08/06/codered.htm
hash's Security Alert 2001-02
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html
カンコックでは官公庁が感染
http://news.yahoo.co.jp/headlines/reu/010807/int/18345001_japan_47407_1.html
IISから、Apache for win32 にアップグレード （藁
http://www.ring.gr.jp/pub/net/apache/docs/windows.html

ところで、インデックスサービスを削除すると本当にidq.dllは消えるの？

>>829
いちおう、MSサイトにでた駆除方法に画像入りで載ってました。
「予防方法としても有効」と注釈すればィィ！かと。

>>833
消えないので、832からMSのサイト見てください。そのページにある。

俺もニフなんだけどニフユーザーからのちょっかい多過ぎ。
シナとコリアとニフばっか。ニフは61が多いからかなぁ。

ところで…
しみじみ語っていいですか…

このスレ、というかコードレッド騒ぎも、バックドア侵入が主題となってきましたね…
わが社にもきているパケットも殆ど「XXXXXXX…」です。わが社のサーバー（Linux）は、
今のところ安定して稼動しています…

…ところで私、前スレで「しみじみ語った…」ものですが、前スレの＞＞14でもありま
す。その節はつい過熱した書き込みをしてしまい、失礼いたしました。あのころの方々
は、皆さんお元気でしょうか？今となっては、良い思い出です。

それではまだまだゴミパケットはネット上をかけめぐり続けるでしょうが（このパケッ
トがゼロになるのはいつの日でしょうか…忘れた頃にネット上に解き放すと、受けそう
ですね…）、皆さんお体を大切に、さようなら…

これまで入れるとやりすぎ？
http://japan.cnet.com/News/1999/Item/990716-1.html?mn

ぐえ。スレ２本目ももう800台かい。
昨日立ったんだよな。早いねえ。そろそろﾈﾀも尽きただろうに。

>>837 練習が足りません。３点。

ありがとう。夏のボーナスが出せます。

>>837
しみじみ君が前スレの14だったか・・・
そういわれてみればそんな感じだね。
まあしみじみ君も体に気をつけ、仕事に励んでくれ

age

>>837

あのときついわれを忘れて、涙と汗と(藁 を流したことをよく覚えているであります。

昨晩も、熱い体験を求めてやってまいりましたが、目の当たりにしたのは、その場に
いるだけでやばそーな劣情アタックの実況中継・・・

さて、御社とゆーかみなさんに届くパケットが「XXXXX・・・」ばかりでなく「YYYYY・・・・」
「ZZZZZ・・・」「萌え萌え萌え萌え・・・」ばかりになったり「はっきりいって、これからは
インターネットはこういうものにな」ったりもせず、暮らしやすいインターネットが戻る日を
切に願うで有ります。

では、お体をお大切に・・・

>>823
忘れてたが、傑作のコレは？(本人の了解はとってない)
http://www.oresama.org/default.ida

>844
遣っちゃおうかな。。。。(#ﾟДﾟ)(#ﾟДﾟ)(#ﾟДﾟ)

ええと、
http://www.microsoft.com/japan/technet/security/codeptch.asp
によると、個人の Win2kPro ユーザーでも Office XP の SharepPoint
とか FrontPage とかのユーザーは気がつかないうちに IIS を動かしてる
かもしれないので、次の 1 に書く案内には

　　個人ユーザーで Windows NT/2000 を使っている人も、念のため次の
　　確認をしましょう

　　・Ctrl-Alt-Del を押して「タスク マネージャ」を起動
　　・「プロセス」タブを押す
　　・Inetinfo.exe プロセスを探す

　　Inetinfo.exe があった人は、インデックスサービスの使用有無に
　　*かかわらず* 以下の確認をしましょう

　　(チェック項目貼り付け)

という感じにしませんか？

あっと、>>847さんに同意、
自分も書いたので一応
●Win2000/NTのユーザーさんへ、
　IISなんか使ってないから平気だよ、と思ってますね。
　本人の知らないうちにIISが稼働している事があるようです。

タスクマネージャのプロセスにInetinfo.exe
が存在してたらIISが稼働中です。

また、
　c:\explorer.exe
　d:\explorer.exe
　c:\inetpub\scripts\root.exe
　c:\Program Files\Common Files\System\MSADC\root.exe
　が存在、あるいは、
　SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\Scripts
　SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\msadc
　SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\c
　SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\d
　のレジストリキーが存在していれば感染してます。

　なんらかの事情がありパッチを当てられない場合には

　http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofothers
　に従い、
　.idq、.idaのidq.dlへのアプリケーションマッピングの削除を行いましょう

>>848
バックドアあけられているからそれじゃ駄目だろう。
とりあえずIIS止めないことには何も始まらない。

>>847

そうですね。
詳細は、比較的正確に書かれたサイトの情報(JPCERT, MS)に絞り、書かないほうが
混乱しないかも。

思い込み勝ちな誤りのみ、注意点を書けばいいんじゃないかな
・default.ida消してもダメ！
・MSの復旧策、個人レベルではともかく、裏口から色々やられて痕跡破壊されたらとき
には十分なポリシーじゃなく、本格的にサーバ立ててるなら徹底検証か再インストっ
てことなど

>>848-850 さんきゅです。

思い込みがちな誤りに追加したいっす
・インデックスサービスは停止していても感染します。

長くすると一覧のとき表示されないので、1 に注意点の要約、2 に重要リンク
3 にその他の情報リンクと分けたほうがいいかも。

とりあえずIISを走らせてないと思っていても動いてる場合が
あるというのは1に入れておきたいかな。

がいしゅつだったら、スマソ。対象製品などのリスト
http://www.microsoft.com/japan/technet/security/codeptch.asp

こういうのはやくだせ、ｺﾞﾗｧ＞M$

そういえば、「アパッチ健」って最近どうしてるん？

フレッツISDNでつないでて、さっきまでIPが61で始まってたんだけど
その時は61から始まるIPのアクセスが集中してた。
一旦切断して211から始まるIPに変わったら今度は211のIPからのアクセスが集中。

ふ〜ん。そうゆう関係だったのか。

>>855
プロバイダの運用管理者、だからロクに気づかないとかいう可能性も・・・

さすがは、自称インターネット先進国!!
http://www.security.nl/misc/codered-stats/geodist.gif
↓ その中心は....
http://jove.prohosting.com/~wingtxt/source/nakasu121.jpg
謝罪と賠償を....

>>855
こっちなんか同じプロバから１日で３０回くらいノックされてるよ

http://www.security.nl/misc/codered-stats/
収束しないなぁ。見事に24hごとの波があるのがﾜﾗｴﾙ。

>>857
もうちょっとで日本全部飲み込む・・・(´Д｀；)

>>858
@nifty(infoweb)、昼は根絶してたが、夜になって(ワームが)復活してきた。
再感染するPPP野郎、多数とみられ。

>>857
　何げに米、EUも広がってきてるね。

東北大学から飛んできたよ？
203.252.165.233
203.253.21.139　逝ってる
203.144.224.242　逝ってる
203.155.53.246　宗教か？テクノロジー？haha
203.239.63.7 　　２４連発
203.232.131.14　have a good time　が笑える

他の板でも警告スレ立てた方がいいんじゃない？

211で始まるIP、ｶﾝｺｯｸばっかりでつまんない。
おれも203になりて〜。
もう一回切断＆再接続でIP変えようっと。

ダメだ。
ウチのプロバって61と211しかないみたい。
しょうがないから61で我慢するか・・・

ウチは61しか割り当てられない。つまんない。

俺のところは210だけど、211とか65なんかが来たことあるよ。
これってNNNかな？

61はHINETがウザイ

>>>868
　coderedIIは
2分の1の確率でスレッドは最初の1バイトが感染ホストと同じIPアドレスをランダムにスキャンする。

8分の3の確率でスレッドは最初の2バイトが感染ホストと同じIPアドレスをランダムにスキャンする。
8分の1の確率でスレッドはランダムなIPアドレスをスキャンする。

>>868
あ、ホントだ。
昔のアクセスログのNNN系はランダムなIPだった。

なんかパチンコの当たり振り分けみたいだな（笑）

うち210。やけに*.*.ethome.net.twが多い。台湾、韓国の
大学とかも結構あるけど、大学ってどこもこんなもんかね

61.*.*.*はつまらんとこが多い。
日本からはODNの自家鯖が殆ど。

　　　　　[ 添削キボンヌ ]
(　´Д｀)／　先生! よくわからないけど不安です

1. 使ってるOSは Windows NT4.0/2000ですか？
　　　NT4.0 → 2.
　　　2000 (Server だけじゃなくて Professional 含む) → 3.
　　　どちらでもない → ﾖｶｯﾀﾈ
2. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofnt4
　　を見てすぐに対処しよう
3. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofw2k
　　を見てすぐに対処しよう


(　´Д｀)／　先生! 感染しちゃったみたいです。

すぐに IIS を停止しよう。それから
http://www.microsoft.com/japan/technet/security/codeptch.asp#extermination
を見て駆除しましょう。でも、すでに他のバックドア(裏口)を作られ
ちゃってるかもしれないので、なるべくなら OS の再インストール
を。くれぐれも再インストール中に感染しないように注意。

詳しくは、>>2 のリンク先をドウゾ

スレタイトルは？

ME+PWSなんていうヘタレでサーバの真似事をしてみました。
２分に１回の割りで、Code Red IIのアッタクがありました。
まあ、IISじゃないから感染はしてないはずだけど、びびりました。
PWS即停止です。

>>875 感染チェックのページも載せたほうがよいと思う。

>>876 タイトルは >>818 で良いかと。

すまぬ。これから出なきゃいけなくなったので 900超えたら誰か
次立ててください。

夜遊びはほどほどにな

>>876
私にも感染せます

そこはかとなくおっさんの香りが・・・

W2Kproはsp2をあててればいいの？

>>881
私にも感染るんです・・・か？

>>883
さらにパッチ必要。すぐ上で参照されてるMSのページ全部よめ。

>>884
　パパ、撮って？

タスクマネージャ呼び出しはCTRL+ALT+DELETEからよりも
Ctrl＋Shift＋ESC の方が良くない？

なんでMSはそのまえのsadmindやCode　Red IでWindows Update出さなかったのか。。。
＃過去形じゃないなもう。

「赤虫（code red）赤丸が彼の国を覆う」なんてどう？

888

>>887
またひとつ、賢くなった (藁

原案どおり、世界覆っとくほうが志は高いだろう(なんでだ)。>>889

>>884
みっちゃんのママ募集中。

おいおいもう次のスレ準備かＹＯ

ほれ。各国のIP割り当て。IPv4な。
http://www.apnic.net/maps/tld-list.html

日本
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=jp
韓国
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=kr
中国
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=cn

「fuck USA Goverment」を見てしまった･･･。

懐かしいな

やっぱりみんなさすがにカッコ悪いと思うせいか、実名を晒す奴はいないな（藁

http://people.site.ne.jp/2001/2001.html
すごいペースだな

(´д`)900

>>895
Code Red とはぜんぜん関係ないんであれだけどさ、
SINET につながってる 130 とか 133 とかは
>>895のところでは出てこないんだよね。
これってどこが管理してるの？

さて、新スレよろしく
>>900

>>901
Class Aで日本だと思うが。895には、Class Bしか載ってないと思われ。

>>900
よろしーく

>>900
がんばってください。

あ〜もうアクセスログ見るのもうんざり

IISから、Apache for win32 にアップグレード

ダウンロードはここから
http://www.ring.gr.jp/pub/net/apache/dist/httpd/binaries/win32/apache_1.3.20-win32-no_src-r2.msi
使い方はここをみろ
http://www.ring.gr.jp/pub/net/apache/docs/windows.html

うぅ、新スレ立たないと寝れん

おいおい、はやくたてろや

まぁまぁ

今ブラウザで久々に２ＣＨ見たけどこんなに重いの？

急に振られた900が大変かと思われ。

はいはいもうちゅぐですからね〜

ばぶばぶ

さっきからリロード連発。
ﾄﾝだらｺﾞﾒｿ

900過ぎるとだれるなぁ。

>>915
氏んでください。

　　　　∧ ∧＿__
　 　／(*ﾟーﾟ)　／＼
　／|￣∪∪￣|＼／
　 　|　 　 　 　 |／
　 　 ￣￣￣￣

新スレ案
猛威を振るっている Code Red とその亜種 (自称 Code Red II など)
についての情報を追いましょう。
●前スレ コードレッド (Code Red) 逝ってヨシ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588

(　´Д｀)／　先生! よくわからないけど不安です

1. 使ってるOSは Windows NT4.0/2000ですか？
　　　NT4.0 → 2.
　　　2000 (Server だけじゃなくて Professional 含む) → 3.
　　　どちらでもない → ﾖｶｯﾀﾈ
2. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofnt4
　　を見てすぐに対処しよう
3. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofw2k
　　を見てすぐに対処しよう


(　´Д｀)／　先生! 感染しちゃったみたいです。

すぐに IIS を停止しよう。それから
http://www.microsoft.com/japan/technet/security/codeptch.asp#extermination
を見て駆除しましょう。でも、すでに他のバックドア(裏口)を作られ
ちゃってるかもしれないので、なるべくなら OS の再インストール
を。くれぐれも再インストール中に感染しないように注意。

重要リンク>>2)
そのたの情報>>3
感染の確認>>4-5

スレ2
IPA による CodeRed II 注意喚起 (日本語)
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
JPCERT/CC による Code Red II 注意喚起 (日本語)
http://www.jpcert.or.jp/at/2001/at010019.txt
CERT Advisory 2001-23 和訳
http://www.reasoning.org/jp/cert/incident_notes/in-2001-09-j.html

マイクロソフト、Code Red対策で24時間電話問い合わせ窓口
http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/msn/137249
MSによる防護策・駆除方法の説明
http://www.microsoft.com/japan/technet/security/codeptch.asp
逝っちゃってるプロバイダ情報
http://watch.impress.co.jp/broadband/news/2001/08/06/codered.htm
hash's Security Alert 2001-02
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html
カンコックでは官公庁が感染
http://news.yahoo.co.jp/headlines/reu/010807/int/18345001_japan_47407_1.html
IISから、Apache for win32 にアップグレード （藁
http://www.ring.gr.jp/pub/net/apache/docs/windows.html

スレ3
Code Red II 情報(英語) : 解析情報へのリンクあり
http://www.incidents.org/react/code_redII.php

Code Red II の警告と解析レポート (英語PDF)
http://aris.securityfocus.com/alerts/codered2/

CodeRed Scanner (英語) : CodeRed 感染の可能性があるホストをスキャン
http://www.eeye.com/html/Research/Tools/codered.html

ヤマハ RT80i, RT50i の脆弱性
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html

古川電工 MUCHO-E シリーズが受ける影響
http://www.humind.or.jp/~higasino/ML/infusers/2001-Aug/msg00003.html

崩壊させられているプロバイダ INTERLINK の障害情報
http://www.interlink.or.jp/notification/backno/2001/trb029.html

東アジア壊滅の図
http://www.security.nl/misc/codered-stats/

Code Red騒ぎでCode Redソーダが絶好調 (日本語)
http://www.zdnet.co.jp/news/0108/04/b_0803_11.html

●IISから、Apache for win32 にアップグレード

ダウンロードはここから
http://www.ring.gr.jp/pub/net/apache/dist/httpd/binaries/win32/apache_1.3.20-win32-no_src-r2.msi
使い方はここをみろ
http://www.ring.gr.jp/pub/net/apache/docs/windows.html

>>915
２番は取らなくていいんだぞ

スレ4
タスクマネージャのプロセスにInetinfo.exe
が存在してたらIISが稼働中です。

また、
　c:\explorer.exe
　d:\explorer.exe
　c:\inetpub\scripts\root.exe
　c:\Program Files\Common Files\System\MSADC\root.exe
　が存在、あるいは、
　SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\Scripts
　SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\msadc
　SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\c
　SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\d
　のレジストリキーが存在していれば感染してます。

スレ5
　なんらかの事情がありパッチを当てられない場合には

　http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofothers
　に従い、
　.idq、.idaのidq.dlへのアプリケーションマッピングの削除を行いましょう

　　個人ユーザーで Windows NT/2000 を使っている人も、念のため次の
　　確認をしましょう

　　・Ctrl-Alt-Del を押して「タスク マネージャ」を起動
　　・「プロセス」タブを押す
　　・Inetinfo.exe プロセスを探す

　　Inetinfo.exe があった人は、インデックスサービスの使用有無に
　　*かかわらず* 以下の確認をしましょう

>>901
どことは？
130.in-addr.arpa.とかで判らんか？

900はがんばりました○

>>900
例の「default.ida?XXXXXXXXXXXXX〜」も書いておけ。

　　 ＠ノハ＠
　　 （　‘д‘)つ　　　あいぼんやでぇ！
　（( （⊃　 (⌒) ))
　　　 (__ﾉ

　　　 ＠ノハ＠　　　　かかってこいやゴルァ！
　　　 （‘д‘　)__　♪
　（(　⊂⊂　 　_)
　　　　　(__ﾉ￣　彡

　　　＠ノハ＠　　　　オラオラオラオラー！！
　　　（‘д‘ ∩ )）
　（(　 （⊃　丿
　　　　(__)し'

>>900
お〜いちゃんと立ててるか〜

>>900
ご苦労様です。がんばってね。

本日もポート80祭りでございました。
111も、ちらほらあったけど。そろそろ寝るわ・・・。

>>923-924は内容が重複してるから
適当にまぜて一つにした方がいいかな。

900の書いた内容で問題ないよね？

>>927
どこ〜？

>>928
ここはモー板ではありません！
でもオモシロイ

もしかして立て方知らない人でパニクテルとか・・まさか

パッチを当てたらインデックスサービス以下にいろいろ追加されたんですけど、これはほっといていいんですよね

まー立てても２日持つまい。
あと新タイトル長すぎ。

…ところでさ、「…24時間電話問い合わせ窓口」って、とうぜんオペの女性なりが
出てくるわけだよね、２Ｃｈ的に逝ってそれって…ﾊｱﾊｱ

>>927もしかして>>81?
これでいいんかい？立てるよ？

>>933
うーん。前の板の>>300-600あたり。

もぅ、みんなの意見なんぞ聞かずに
立ててしまえ〜〜〜〜

>>900
もういい。任せる。

>>900
いいから気にせず立てろ。
寝られないだろ。

勃てれ〜

早く〜
もう寝るよ〜

900は今がんばってます。
少々お待ちを・・・

立つまでまて！
お疲れ様ぐらいいってからねれ

>>928
これは、有名なアパッシュダンスか？

ま〜こまったでちゅね〜もうちょっとでちゅよ〜

セキュリティ板の全員がこのスレに集中してるだろ。
他のスレ誰も相手してくれなくて寂しいぞ

>>901
どっかで聞いた事あるが、割り当て時期がJUNETの
時代だからね。1980年代の終わり。きちんとした
割り当てが行われる以前の話だよ。

900踏まなくて良かったと思ってる奴の数->(???)

0：01

0:02

ここが1000超える前に立つよね？

そういえばうちの大学Class Bを二つ持っている。
昔は気前よくClass Bが貰えたらしい。

0:03

立ったよ

>>951の間違い。

０時すぎたー。寝る。

お疲れ様でした〜〜

新スレ。コードレッド (Code Red) 赤丸が世界を覆う
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899&ls=50

>>900
お疲れ様
2踏みたがる奴多いんだな...

新スレも立ったことだし、ラーメンでも喰い行こ。

新スレ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377&ls=50

新スレ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377&ls=50

新スレ。コードレッド (Code Red) 赤丸が世界を覆う
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899&ls=50

うちはファイアーウォールでhttpボートをステルスにしているせいか、
一度もアタックらしきものはないんですが、大丈夫ってことですよね？

コードレッド (Code Red) 赤丸が世界を覆う
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377
が次スレです。

http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899は
スレ立て失敗してしまいました。
申し訳ありません>皆様
失敗スレはは削除依頼に出しておきます・・

211.103.56.46 (TCP Port 3520) [TCP Flags: S].
210.241.20.2 (TCP Port 4837) [TCP Flags: S].
210.160.99.130 (TCP Port 1072) [TCP Flags: S]. ns.it.iwasakinet.co.jp
210.109.62.98 (TCP Port 4476) [TCP Flags: S].
210.85.112.184 (TCP Port 3767) [TCP Flags: S]. 184.c210-85-112.ethome.net.tw
210.179.226.130 (TCP Port 3166) [TCP Flags: S].
210.216.153.20 (TCP Port 1939) [TCP Flags: S].
210.223.208.15 (TCP Port 4220) [TCP Flags: S].
210.85.17.20 (TCP Port 1193) [TCP Flags: S].
210.202.176.133 (TCP Port 2599) [TCP Flags: S].

211.236.70.229 - - [09/Aug/2001:18:41:45 +0900] "GET
/default.ida?NNNNN

漏れ61なんだけど、今時Ｎ、更に違うグループ
ちょっと嬉しい。

９００超えスレッド発見

１０００狙う！！！！！！！！！！